한국인터넷진흥원(KISA)이 IoT 보안인증 기준을 8월까지 마련하고 IoT 기기 제조사들의 자율인증을 유도할 계획이다. IoT 보안인증은 국제 보안 표준을 고려해 마련하며, 기기 제조사들이 해외에 진출할 때에도 도움이 될 수 있도록 국제적인 협력관계를 확대할 계획이다.
IoT 보안 위협은 날이 갈수록 심각한 상황이다. 최근 애완동물을 위해 가정 내에 설치한 IP카메라가 해킹을 당해 사생활이 중국 성인사이트에 중계되는 피해 사례가 보고된 바 있다. 지난해 미라이 봇넷으로 미국의 중요 인터넷 서비스 기업이 피해를 입었으며, 워너크라이와 같이 취약점을 이용해 퍼지는 웜 방식을 이용하면 순식간에 공격자가 전 세계를 장악할 수도 있다.
홈IoT가 확산되면서 IoT 공격 위협은 더욱 높아지고 있다. 아파트 내부 월패드를 장악해 스마트 가전기기를 중단시키거나 랜섬웨어 공격으로 막대한 비용을 요구할 수 있다. 최근 홈IoT는 스마트폰 앱을 이용해 통제하는 서비스도 나오고 있는데, 스마트폰 앱은 해킹에 취약해 더 쉽게 공격이 일어날 수 있다.
보안 내재화로 IoT 보호
공격 위협은 높아지고 있지만, IoT 보안 문제는 여전히 풀기 어렵다. IoT 기기는 IT 리소스가 작아 보안 프로그램을 설치하기 어렵고, IT를 잘 모르는 사용자들이 많이 사용하므로 관리자 계정도 취약한 상태로 방치돼 있다.
이 문제를 해결하는 방법으로 IoT 기기를 제조할 때 보안기능을 적용하는 ‘보안내재화’가 추진된다. 보안칩을 이용해 관리자 권한이 탈취되지 않도록 하며, 보안 플랫폼을 이용해 OS와 애플리케이션의 위변조를 막고 공격자가 기기를 장악하지 못하도록 한다.
IoT 보안인증은 보안이 내재화된 기기를 설계하고, 중요 데이터 암호화와 암호화 통신으로 통신 중 데이터를 탈취하지 못하도록 하는 등의 내용이 담긴다. 기기와 관리자를 식별하고 인증하며, 외부 인터페이스 차단, 물리적 보안 등을 통해 공격 가능성을 차단한다.
박창열 KISA IoT 보안기술팀장은 “이미 미래부 고시로 홈 네트워크 건물 인증제도가 운영되고 있으며, 홈IoT를 위한 보안점검 항목도 추가됐다. 자율규제이기는 하지만 홈IoT 보안을 위한 기준이 마련됐다는 점에서 의미가 있다”며 “IoT 보안인증 역시 자율규제로 추진하지만, IoT 보안 위협이 높아지는 만큼, 보안인증제도를 강화하는 방법을 마련해야 한다. 국가적으로 중요한 시설에 대해서는 더 높은 수준의 보안이 내재화된 제품을 사용하는 등의 방안이 추진될 것”이라고 말했다.
그는 “국제 표준에 맞는 IoT 보안인증 기준을 마련해 기업들의 자율적인 참여를 유도하는 한편, 국제협력을 통해 해외 진출시 보안인증 규제를 중복해 받지 않도록 하거나 국내 인증기관의 인증으로 국제 인증과 같은 효력을 가질 수 있도록 제도를 만들어 나갈 것”이라며 “IoT 보안은 일상 생활의 안전과 밀접한 관계에 있으므로 안전한 IoT 확산을 위해 제도를 정비하고 기업들이 동참하도록 독려하겠다”고 말했다.
KISA, IoT 스타트업 인큐베이팅 진행
한편 KISA IoT 혁신센터는 IoT 기술을 가진 스타트업을 위한 인큐베이팅 프로그램을 진행하고 있으며, 스타트업이 제품 개발부터 상용화까지 지원한다. 개발 과정에서 보안 취약 요소를 검토하고 보완할 수 있도록 지원하고 있다.
박 팀장은 “IoT 기기 제조사들은 대부분 영세한 상황으로 보안에 투자하는 것을 부담스러워 한다. 그러나 보안이 내재화 되지 않은 제품을 고집해서는 사업에 어려움을 겪게 될 수 있다. 영세 제조사들이 보안 내재화된 IoT 기기를 생산해 성장할 수 있도록 지원하는 한편, 합리적인 규제를 제정해 단계적으로 적용해나가 안전한 IoT 환경 조성을 도울 계획”이라고 말했다.
