"IoT 보안은 '제조사' 역할 중요"…'IoT 보안인증 서비스' 확대

KISA 'IoT 보안인증서비스' 1월 도입 이후 6개 기업 신청

[아시아경제 한진주 기자] 사물인터넷(IoT) 기기가 확대되면서 기기 제조사의 보안 역량이 더욱 부각되고 있다. 올 초 보안 인증 서비스를 도입한 인터넷진흥원도 IoT 보안 인식을 개선하고 인증제도 알리기에 팔을 걷어부쳤다.

4일 인터넷진흥원(KISA)에 따르면 IoT 보안인증을 신청한 기업은 삼성전자를 포함한 6곳이다. 삼성전자는 지난달 24일 공기청정기에 대한 보안인증 서비스를 신청했고 엠투클라우드, 비전하이텍, 알엠테크, 케이웨더, 현진ICT 등도 IoT 보안인증을 신청했다.

박창열 KISA IoT융합보안팀장은 "IoT 보안인증은 법에 근거한 제도가 아니어서 기업들에게 강제할 수 없고 제조사의 의지에 따라 보안수준을 인정받아 마케팅 등에 활용하도록 한 것"이라며 "자율인증 방식이다보니 신청업체가 많지 않은 실정"이라고 말했다.

올해부터 시작된 'IoT 보안인증 서비스'는 IoT 기기와 모바일 앱을 대상으로 KISA가 보안 관련 항목을 심사해 제공하는 인증 서비스다. 기업들이 필수로 받아야 하는 인증은 아니며, 인증 서비스는 무료다.

IoT 보안인증은 시험 항목이나 목적에 따라 두 개의 항목으로 나뉜다. 해킹 사례가 많은 주요 보안취약점을 개선할 수 있게 핵심 보안항목만 살펴보는 '라이트' 등급, 국제적으로 요구되는 수준의 종합 보안항목으로 시험하는 '스탠다드' 등급이 있다. 인증 유효기간은 3년이며 1회에 한해 2년간 연장 가능하다.

현대경제연구소에 따르면 국내 사물인터넷 시장 규모는 2015년 3조3000억원에서 2020년 17조1000억원으로 연 평균 38.5% 가량 성장할 것으로 전망된다. 이처럼 IoT 환경이 확대되면서 정보보호 대상이나 주체도 변화하고 있다. IoT 기기 제조사가 제품을 설계할 때부터 보안 취약점을 줄이고 보안에도 관심을 기울여야하는 상황이 됐다. 대다수 기업들이 중소기업인데다 출시 일정이나 인력 부족 등으로 보안 요소까지 고려하지 못하고 있는 실정이다.

KISA는 IoT 보안을 내재화하기 위해 제조사 차원에서 ▲시큐어코딩을 통해 보안취약점 최소화 ▲알려진 보안취약점 제거▲안전한 패스워드 제공(3종류 이상 문자·8자리 이상) ▲전송·데이터 보호 ▲업데이트 알림 등 안전한 업데이트 구현 등이 필요하다고 조언한다.

박창열 팀장은 "IoT 보안인증 서비스로 모든 IoT 보안을 커버할 수 있는 것은 아니다. 기기 보안 외에도 IoT 전용망(네트워크) 보안수준, IoT기기를 제어하고 데이터를 수집·분석하는 서버시스템 등에 대해서도 보안성 강화가 필요하다"고 말했다.