[데이터넷] IoT 보안 위협에 대응하기 위해 개발한 시스템이 규제에 발목이 잡혀 무용지물이 되고 있다. 특히 가정용 IP 카메라 해킹으로 인한 사생활 침해 피해가 잇따르고 있으며, 가정용 공유기, AI 스피커, 드론 등 각종 IoT 기기 취약점으로 인한 위협이 심각한 수준에 이르고 있지만, 보안을 위한 노력은 소극적인 상황이어서 심각성을 더한다.
한국인터넷진흥원(KISA)은 정보보호 R&D센터에서 45억원의 예산을 들여 개발한 IoT 디바이스를 고속 점검할 수 있는 원천기술을 적용한 IoT 취약점 점검 시스템을 운영하고 있다. 이 시스템은 네트워크에 연결된 기기를 대상으로 알려진 보안 취약점을 점검하는 시스템이다.
KISA나 NVD 및 유관기관 등으로부터 국내외 공개된 취약점 정보를 수집해 DB화하며, 인터넷 내·외부에서 IoT 기기와 전산장비의 취약점을 스캔한다. 취약점이 있다고 판별되면 해당 기기의 정보를 분석하고 위협 정보를 도출한다.
현실적인 규제 개선 시급
인터넷에 연결된 기기 정보를 검색하는 민간 서비스로 ‘쇼단’이 있다. 쇼단은 랜덤으로 생성된 IPv4 전역을 상시 스캔하며, 취약점을 도축하고 취약한 ID/PW 사용유무를 확인해준다. 기본 서비스는 무료로 제공하지만 유료 사용자에게는 추가적인 상세 정보를 제공한다. 그러나 쇼단은 공격자도 취약점을 알 수 있다는 문제가 있다.
IoT 취약점 점검 시스템은 외부망 뿐 아니라 내부망·폐쇄망에서 운영 중인 기기에 대해서도 점검하며, IP 카메라 영상이 노출된 페이지까지 확인하고 신규 취약점이 발견되면 커스터마이징도 가능하다. 이 시스템은 정보통신망법에 따라 IoT 기기 소유자에게 점검 동의를 받아야 하는데, 이 때문에 사용자 확대가 어려운 상황이다. 이 시스템의 인지도가 낮은 것도 문제이지만, 기기 소유자들이 적극적으로 자신이 사용하는 기기의 취약점을 해결하려는 인식이 없다는 것도 한계다.
이재일 KISA 사이버침해대응본부장은 “IoT 기기는 취약점이 매우 많지만, 보안 패치나 업데이트는 소홀한 상황이다. 이에 대한 인지도를 높이기 위한 노력이 계속되고 있지만, 인식 변화가 쉽지 않다”며 “미국, 일본 등에서는 IoT 보안에 대한 강력한 규제를 시작했다. 우리나라에서도 현실적인 방향의 개선이 이뤄져야 한다”고 강조했다.
실제로 일본에서는 2020년 도쿄올림픽에 대비하기 위한 사이버 보안 규제를 강화하고 있다. 지난해에는 정부가 IoT 취약점 점검을 목적으로 사용자 동의 없이 기기 접근을 한시적(5년)으로 허용하는 법을 시행했다. 인터넷 상에 연결된 모든 일본 내 IoT 기기 2억여개를 대상으로 실시하고 있다.
업계 반발로 진행 더딘 IoT 보안 인증
미국 캘리포니아주에서는 IoT 기기에 강력한 패스워드 설정을 강제하는 법안이 지난해 통과돼 내년 1월부터 시행된다. 이 법에 따르면 IoT 기기는 반드시 보안 기능을 필수적으로 탑재해야 한다.
우리나라에서는 이와 유사한 제도로 IoT 보안인증제가 실시되고 있으며, 필수 보안 기능을 적용한 기기와 서비스에 인증을 부여하는 제도다. 그러나 이 제도 역시 크게 환영을 받지 못하는 상황이다.
보안 내재화된 기기와 서비스를 사용해야 안전한 IoT 운영이 가능하다는 데 이의를 제기하는 사람은 없지만, 제조사와 서비스 사업자들은 보안 내재화로 인해 설계 및 제조 기간이 늘어나 타임 투 마켓의 요구를 맞출 수 없으며 원가가 상승해 가격경쟁력을 가질 수 없다고 반발하고 있다. 현재 IoT 보안 인증을 받은 제품은 10개이며, 99는 인증을 진행하고 있다.
신대규 KISA 융합보안단장은 “IoT 보안인증에 대한 인지도를 제고하기 위해 KT, 서울시, LH, SH 등 여러 기관과 MOU를 체결하면서 제조사들이 보안인증을 획득한 제품을 납품하도록 유도하고 있다”며 “통신 3사와 IoT 제조사 등 유관업체를 대상으로 인증에 대해 꾸준히 안내하고 정보공유와 홍보활동을 강화하면서 IoT 보안 내재화를 이루도록 노력하겠다”고 말했다.
5G·융합환경 보안 전략 마련
한편 KISA는 IoT 제품과 서비스의 보안수준을 자체 검증하고 보완할 수 있는 IoT 보안 테스트베드를 운영하고 있으며, 홈·가전 및 에너지부터 교통, 공장, 의료, 오픈소스, 안전·재난·환경 관련 분야까지 보안 테스트를 제공한다. 더불어 5G 상용화와 스마트시티·스마트팩토리·커넥티드카 등 ICT 융합 환경이 도래하면서 발생하는 보안위협에 대응하기 위한 전략도 만들어가고 있다.
신대규 단장은 “IoT와 융합기술 환경에서 보안위협이 매우 다양한 형태로 발생하고 있으며, 심각한 피해를 일으키고 있다. 그래서 새로운 환경에 맞는 보안 전략이 필요하지만, 그렇다고 지나치게 강력한 규제를 통해 산업 발전을 막는 것도 바람직하지 않다. 업계의 자율적인 실천을 통해 모든 기기와 서비스의 보안 내재화를 활성화 할 수 있도록 적극 노력하겠다”고 설명했다.
