사물인터넷(IoT) 시대의 보안 위협에 대비해 국내에서는 어떤 준비를 해야 할까. 정보기술(IT)·보안 전문가들은 정부 규제는 최소화하고, IoT 제품을 준비하는 각 기업에서 해킹 가능성을 철저히 차단하는 것이 바람직하다고 입을 모은다.

[IoT, 세상을 바꾼다] 기술 속도가 법제화보다 빨라…정부규제 대신 기업별 대안 필요
IoT 전문가인 최윤석 한국오라클 전무는 “정부는 IoT에 활용할 수 있는 공공정보 개방 등에 신경써 산업이 진흥될 수 있는 기반을 마련하는 것이 바람직하다”며 “프라이버시나 데이터 공유·이용권한에 얽힌 문제는 최대한 자율에 맡기되, 서비스를 하는 주체가 보안에 대한 책임을 지도록 해야 한다”고 강조했다.

스마트TV 등 스마트 가전, 스마트 차량 등의 IoT 해킹 사례를 연구하는 김승주 고려대 정보보호대학원 교수도 “현재 제조물 배상 관련 법체계에 따르면 고객이 구매한 제품이 불량일 경우 제조사가 배상을 해야 한다”며 “마찬가지로 IoT 보안 규정도 정부가 나서서 만들 것이 아니라, 각 기업이 알아서 해킹에 대비하고 문제가 생겼을 때 과징금 등을 물리는 식으로 틀을 갖춰 놓아야 한다”고 말했다.

IoT에 대한 세부적인 보안 규제를 만들기 어려운 이유는 △인터넷과 연결될 수 있는 사물이 다양해 일원적으로 통제할 수 없고 △기술의 속도가 법제화 속도보다 빠르며 △보안을 법규정으로 명시하면 산업을 옥죄는 결과로 이어질 수 있기 때문이다.

김 교수는 “IoT는 사물에 인터넷을 연결해 가치를 높일 수 있다는 일반적 개념이고, 보안은 사안별로 개별적으로 다뤄야 하기 때문에 ‘IoT 보안’이라고 하나의 영역을 정해 대비할 문제는 아니다”며 “보안에 대해 잘 모르는 제조사들을 대상으로 IoT 보안 교육의 기회를 제공하는 설명회를 열고, 강제 적용을 하지 않는 최소한의 자가점검 항목을 만들어 주는 정도가 정부가 도와줄 수 있는 부분”이라고 설명했다.

또 다른 보안 전문가도 “IoT 제품을 만드는 각 업체에 특정한 보안규정을 지키라고 규제해도 기술의 속도가 워낙 빨라 유명무실한 규제가 될 수 있다”며 “금융 보안 영역에 널리 쓰이는 액티브X 등과 같이 불필요한 규제가 나타나 산업의 발목을 잡을 가능성도 높다”고 지적했다.

각 기업은 IoT 제품을 최대한 편리하고 효율적으로 만들되 일어날 수 있는 보안 위협에 대비해 설계해야 하는 ‘상충관계(트레이드 오프)’를 숙제로 안게 됐다.

IoT 제품은 기존의 PC나 태블릿PC, 스마트폰과 달리 연산능력이 높지 않다. 조명 냉·난방장치 전자레인지 등 단순한 가전 설비부터 출입문 스프링클러에 이르기까지 일상생활에 쓰이는 모든 제품에 인터넷이 연결돼 빠르게 소통하는 것이 핵심이므로 ‘저전력’이 화두다. 유비쿼터스의 실시간 특성을 최대한 살리면서 보안까지 고려하는 것이 쉽지는 않을 것이라는 게 보안·IoT 전문가들의 공통된 의견이다.

오는 10월 부산에서 열리는 ‘2014 국제전기통신연합(ITU) 전권회의’에서도 IoT를 포함한 인터넷 관리체계가 핵심 의제다. 각국의 IoT 산업화 현황과 관련 제도에 대해 논의될 예정이다.

김보영 기자 wing@hankyung.com