신대규 KISA 융합보안단장이 사물인터넷(IoT) 보안 인증 체계에 대해 설명하고 있다.
신대규 KISA 융합보안단장이 사물인터넷(IoT) 보안 인증 체계에 대해 설명하고 있다.
한국인터넷진흥원(KISA)이 사물인터넷(IoT) 보안 인증 체계 활성화에 나선다. 기술의 발전으로 현관문, 조명, TV, 가스밸브 등 집의 많은 영역에 인터넷이 연결되고 있지만, 동시에 보안 취약점도 커지고 있는 탓이다.

이와 관련해 지난 5일 신대규 KISA 융합보안단장은 “KISA가 직접 IoT취약점 탐지 분석 시스템을 개발하고 IoT 보안인증서비스를 운영하고 있다”며 “등급을 기존보다 세분화하는 등 제도 활성화를 위해 노력하고 있다”고 말했다.

KISA가 운영하는 IoT 취약점 탐지 시스템 개발은 빈번하게 발생한 IP카메라 해킹 사건에서 시작됐다. 반려동물 관찰이나 폐쇄회로(CC)TV 용도로 설치되는 IP카메라는 손쉬운 해킹 표적이 되곤 한다. 지난해에는 반려동물용 IP카메라를 해킹해 2900여대 카메라 영상을 훔쳐보고 녹화한 일당이 적발되기도 했다.

IoT 기기는 24시간 작동해야 하는 특성상 소비전력과 크기를 낮춘다. 이를 위해 연산 능력도 낮아지며, 때문에 강력한 보안 프로그램을 구동할 수 없다는 악순환이 이어진다. 여기에 이용자 부주의도 더해진다. IP카메라 해킹 사건 대부분은 제품을 설치한 뒤 초기 비밀번호를 바꾸지 않은 탓에 발생한다. 제3자 누구나 접속할 수 있는 기기가 되는 것.

KISA는 이러한 문제를 해결하고자 최소한의 보안성을 갖춘 기기를 인증하는 IoT 보안인증서비스를 운영한다. 가령 초기 비밀번호를 바꿔야만 사용할 수 있도록 기기를 만들어야 인증을 발급하는 식이다. 등급도 기존 ‘스탠다드’, ‘베이직’에 ‘라이트’를 추가해 3개로 세분화했다. 대형 스마트가전은 스탠다드, 소형 IoT 기기들은 베이직, 소형 센서는 라이트 등급 인증이 적용된다.

다만 인증 활성화에는 어려움을 겪고 있다. 신 융합보안단장은 “현재까지 10개 기기가 인증을 받았고 9개가 인증을 진행 중”이라며 “기업들이 인증을 잘 모르거나, 사용자 불편 등을 이유로 꺼리는 경우가 있다”고 토로했다. 그는 “명시적인 동의가 없다면 기기에 취약점이 있는지 점검하는 것도 불법이기에 현실적인 어려움이 있다”고 덧붙였다.

신 융합보안단장은 “의무화 전환의 가능성도 남아있지만, 민감한 문제이기에 아직은 활성화에 방점을 찍고 있다”며 “주요 기관과 협력을 통해 인증 기기에 가점을 부여하는 방안을 추진 중이다. KT와 업무협약을 체결했고 서울시, SH, LH공사 등과도 논의 중”이라고 말했다.

오세성 한경닷컴 기자 sesung@hankyung.com
기사제보 및 보도자료 open@hankyung.com