제품 출시 전 무료 보안 점검, KISA IoT 보안인증서비스
[IT동아 이상우 기자] PC나 스마트폰 등 인터넷에 접속할 수 있는 장치가 늘어난 만큼, 외부 공격자가 이러한 기기를 통해 여러 시스템에 침입할 수 있는 가능성도 높아졌다. 특히 최근 늘어나기 시작한 사물인터넷(이하 IoT) 기기 역시 공격 대상이 될 수 있다. 이러한 기기의 경우 사용자 개인의 일상 정보를 다루는 경우가 많은 만큼, IoT 보안에 관한 필요성 역시 크다.
한국인터넷진흥원 IoT 융합보안팀 박창열 팀장은 "IoT는 한 번 도입하면 사후조치가 어렵거나 불가능한 만큼, 제조 혹은 개발 단계에서부터 보안을 내재화할 필요가 있다. 정부에서는 이를 위해 사물인터넷 분야별(5개) 가이드라인을 배포했으며, 올해에는 2개 분야를 추가해 가전, 제조, 의료, 유통, 에너지, 환경, 재난 등 7개 분야에 대한 가이드라인을 발표할 계획이다. KISA 역시 지난해부터 IoT 보안인증서비스를 도입해 운영 중이다"고 말했다.
KISA는 IoT 보안은 기존의 정보보호 관점과는 조금 다르게 접근해야 한다고 설명했다. 기존의 보안은 보안 성능이나 가용성 등을 중시했다면, IoT 시대에는 초경량/저전력 장치를 사용하는 환경에 맞춰 보안의 개념을 조금 바꿔야 한다. 기존에는 보안전문업체나 인터넷 망 공급자(ISP)를 중심으로 보안이 이뤄졌다면, 이제는 IoT 기기 제조사 역시 제조 단계에서 보안을 내재화해야 한다.
KISA IoT 보안인증서비스는 이러한 사물인터넷 기기의 보안 수준을 평가하고, 이에 대한 인증을 제공하는 무료 서비스다. 법적으로 강제된 제도는 아니지만, 인증 서비스를 통과할 경우 제조사는 이를 마케팅이나 홍보로 알릴 수 있다. 특히 KISA는 온라인 가격 비교 서비스인 '다나와'와 협력해 제품 검색 시 IoT 보안 인증을 통과한 제품만 검색할 수 있는 메뉴도 신설할 계획이다.
박창열 팀장은 "보안인증서비스는 기기 제조사가 지켜야 할 요구 사항에 대한 것들을 판단하고 이에 대한 인증을 제공하는 서비스다. 기기 제조사는 시큐어 코딩으로 보안 취약점을 줄이도록 해야하며, 이미 알려진 보안 취약점을 제거해야 한다. 또, IoT 기기를 사용할 때 사용자가 안전한 비밀번호를 사용할 수 있도록 비밀번호를 직접 설정하게 유도해야 하고, 전송 및 저장 데이터를 암호화할 필요가 있다. 이 밖에도 주기적인 업데이트 제공 및 업데이트를 하도록 유도하는 기능이 필요하다"고 설명했다.
인증 대상은 IoT 기기 및 이와 연동하는 앱이다. 시험 및 인증 기관은 진흥원이며, 무료로 진행하는 서비스다. 한 번 인증을 받을 경우 3년간 인증을 유지할 수 있고, 재인증을 통해 인증 기간을 2년(1회) 추가할 수도 있다. 인증은 크기 스탠다드와 라이트 두 가지로 나뉘며, 라이트는 기본적인 취약점에 대한 보안을, 스탠다드는 국제 수준의 요구에 맞춘 41개 항목을 통과한 제품이다.
다만, 이 인증은 기기 자체에 대한 보안 인증이다. 바꿔 말하면, 아무리 기기에 대한 보안이 철저하더라도, 위험에 노출된 네트워크에 연결할 경우 공격 대상이 될 수 있다는 의미다. 하지만, 기기 자체가 공격당할 가능성은 줄일 수 있다. 어차피 네트워크나 서버 등 인프라 단의 보안은 일반 소비자가 진행할 수 없는 부분이며, 이는 ISP 등이 해결해야 할 문제다.
박창열 팀장은 "자율인증으로 시행 중인 만큼 신청이 그리 많지 않은 것도 사실이다. IoT 기기 제조사 대부분은 영세 중소업체인 경우가 많고, 제품을 빠르게 개발하고 판매하는 데 급급한 경우가 많다. 이 때문에 우리는 이러한 인증서비스는 물론, 주기적인 교육을 통해 중소업체가 조금은 더 쉽게 보안을 고려할 수 있도록 돕고 있다"고 말했다.
또, 그는 "이름이 '보안인증제'가 아니라 '보안인증서비스'인 것도 같은 맥락이다. 인증을 법으로 강제할 경우 전반적인 보안 수준을 높일 수는 있겠지만, 결국 규제가 생기는 셈이다. IoT 보안인증서비스는 영세한 중소기업을 지원하기 위해 만든 서비스인 만큼, 규제보다는 다른 방법으로 해결하는 것이 좋다"고 덧붙였다.
글 / IT동아 이상우(sw@itdonga.com)