default_setNet1_2

[IoT와 접근제어②] 현실성 있는 규제 ‘시급’

기사승인 2018.11.07  08:29:30

공유
default_news_ad1

- 현실과 동떨어진 규제, 시장 성장 발목 잡아…‘IoT 보안인증’, 보안 내재화 촉진할까

IoT는 일상생활을 더 편리하게 했지만, 그만큼 보안위협도 높였다. 관리되지 않은 수많은 단말, 암호화되지 않은 통신, 취약한 인증 시스템 등으로 인해 공격 장벽이 낮아지고 방어는 어려워졌다. 보안이 내재화된 IoT가 아니면 IoT가 재앙이 되는 것은 시간문제다. 강력하고도 편리한 접근제어 기술로 IoT를 보호하는 방법을 살펴본다.<편집자>

IoT 보안 내재화 위해 규제 현실화해야

보안칩은 IoT를 안전하게 이용하기 위한 필수 장치다. 비인가자, 비인가 기기의 접근을 차단해 공격자가 IoT 기기나 네트워크를 장악하지 못하도록 하며, 종단간 암호화를 보장해 데이터 탈취 공격으로부터 안전하게 보호할 수 있다.

그러나 보안칩 시장 성장 속도는 더디기만하다. 기기 제조사와 서비스 공급자들이 보안칩에 큰 관심을 두고 있지 않기 때문이다. IoT 기기와 서비스가 비용에 민감한 특징이 있기 때문에 원가 상승 요인이 되는 보안 투자에 소극적일 수 밖에 없다.

특히 제조사들은 보안 내재화된 기기를 생산하기 위해 기존 제품의 설계를 다시 해야 하며, 관련 인증도 다시 받아야 해 많은 시간과 비용 투자가 필요하다고 항변한다. IoT 기기 라이프사이클은 6개월 이하인데, 제품 설계부터 생산, 인증, 유통에 그 이상 시간이 필요하다. 적시에 제품을 내놓지 못하면 제조사들은 막대한 피해를 입게 된다.

이성재 한국인터넷진흥원 IoT융합보안혁신센터장은 “IoT 기기 제조사와 서비스 기업들이 직면한 현실적인 문제는 잘 알고 이해하고 있다. 그렇다해도 IoT 보안위협의 심각성을 외면한 채 서비스를 제공해서는 안된다”며 “초기 투자가 필요하다 해도 안전한 IoT 기기와 서비스를 만들어야 경쟁력을 가질 수 있다. 글로벌 시장 진출에도 반드시 필요한 것이 ‘보안’”이라고 지적했다.

그러나 IoT 보안과 관련된 규제 중에서는 현재 기술을 제대로 반영하지 못한 비현실적인 규제가 있으며, 이를 개선하기 위한 노력이 필수적으로 요구되는 것도 사실이다. 일례로 암호인증을 위한 보안칩은 KCMVP 인증을 받아야 한다. 그러나 KCMVP 인증은 소프트웨어 단의 암호화만을 평가하기 때문에 하드웨어 칩 단에서의 암호화 모듈을 평가하지 않는다.

오상근 eWBM 대표는 “관련 기관에서 하드웨어 암호화 모듈 평가 규격을 위해 연구하고 있지만, 상당한 시간이 걸릴 것으로 본다. 그 때가 되면 암호칩 시장은 성장 기회를 놓치고 해외 벤더에게 시장 주도권을 빼앗길 수 있다”고 지적했다.

이효승 네오와인 대표는 “현실에 맞지 않는 규제 때문에 국내 기업의 성장에 발목이 잡혀있는 상황이다. 기술력 있는 국내 기업을 육성하기 위해서는 현실에 맞지 않는 규제는 빨리 개선해야 한다”고 덧붙였다.

영세한 제조사 지원 위해 ‘IoT 보안인증’ 제공

IoT는 도입 후 사후 보안 조치가 불가능하거나 매우 높은 비용을 수반한다. 최근 가정용 IP 카메라 해킹 사고가 빈번하게 발생하는 것을 보면 알 수 있다. 비밀번호가 설정돼 있지 않거나 기본 설정된 비밀번호를 유지하는 경우, 공격자가 관리자 권한을 탈취해 사생활을 엿본다. 지난해에는 중국 성인사이트에 사생활이 그대로 중계되는 것이 발견된 사례도 있었다. 이러한 사고가 잇따르고 있음에도 사용자들은 비밀번호조차 변경하지 않는다. 몰라서 못 하는 경우도 있고, 관심이 없는 경우도 있다.

IoT은 이제 사회의 기본 인프라로 작동하고 있으며, 일상적으로 사용되기 때문에 보안을 내재화 해 설계해야 한다. 사용자들이 암호화 통신을 설정하고 안전한 패스워드 관리, 펌웨어 업데이트를 꾸준히 하도록 유도해야 한다. 기기 제조사들은 시큐어코딩, 알려진 보안 취약점 제거, 안전한 패스워드 사용 기능 제공, 전송·저장 데이터 보호, 안전한 업데이트 등을 보장해야 한다.

   

▲KISA가 운영중인 IoT 보안 테스트베드 개요

이 같은 내용은 ‘IoT 보안인증 서비스’에 담겨있으며, 이 서비스는 한국인터넷진흥원이 무료로 지원하고, 제조사들이 자율적으로 신청할 수 있도록 하고 있다. IoT 보안인증 중 라이트(Lite) 등급은 기본적으로 갖춰야 할 보안요건을 정의한 것이며, 스탠다드(Standard)는 국제적 요구에 부합하도록 한 것으로 해외 진출을 꾀하는 제조사에게 도움이 된다.

IoT 보안인증 서비스는 지난해 11월 시작해 IoT 센서 노드, IP 카메라, 공기질 측정기, 스마트 IoT 통합 단말기 등 6개 기업 7개 제품이 추진하고 있다.

박창열 KISA IoT융합보안팀장은 “IoT 보안인증은 보안 투자 여력이 낮은 영세한 기기 제조사에게 도움이 될 수 있다”며 “KISA는 IoT 보안인증 서비스를 활성화하기 위해 KT, 서울시, 부산시 등 IoT 수요처와 전략적 업무제휴를 통해 보안인증을 받은 제품이 공급될 수 있도록 안내하고 있다”고 말했다.

박 팀장은 “IoT 보안인증이 의무 인증은 아니지만, 인증 받은 로고를 제품 안내에 붙이게 된다면 판매할 때 경쟁사 대비 차별화된 장점을 드러낼 수 있을 것”이라며 “기기 제조사들에게 이 점을 알리면서 설득하고 있으며, IoT 기기 수요처에 지속적으로 홍보하면서 알리고 있다”고 덧붙였다.

한편 KISA는 홈가전, 의료, 제조, 교통, 에너지, 환경, 재난 등 7대 IoT 분야에 대한 보안 가이드와 테스트베드를 개발·운영하고 있으며, 개발자와 일반인 대상 교육을 진행한다.

김선애 기자 iyamm@datanet.co.kr

<저작권자 © 데이터넷 무단전재 및 재배포금지>
default_news_ad4
default_side_ad1

인기기사

default_side_ad2

포토

1 2 3
set_P1
default_side_ad3
default_setNet2
default_bottom
ad28
#top