"1조4천억 달러 IoT 시장, 사이버 공격으로 위협 받을 수 있다"

한국, IoT 보안 강화 위해 시험•인증 서비스 확대 및 정보통신망법 개정

한국정보보호학회(정수환 회장. 숭실대 교수)가 7월 16일~17일 양일간 개최한 2020 NetSec-KR 제26회 정보통신망 정보보호 컨퍼런스에서 이용필 KISA 단장은 ‘IoT 보안 개요 및 인증’을 주제로 강연을 진행했다.

2023년 전세계 IoT 기기는 149억 개에 달할 예정이며 1인당 3.6개의 네트워크 연결기기를 보유하고 가구당 10개의 네트워크 연결 기기를 보유할 것으로 전망된다.

반면 IoT는 도입 후, 사후 보안조치가 불가능하거나 고비용이 수반된다. 따라서 IoT 제품 및 서비스 개발 모든 주기에 걸쳐 시큐리티가 고려되도록 보안 내재화가 요구되는 시점이다.

IoT 서비스에 대한 보안 위협은 계속 증가하고 있으며 해외 조사기관에 따르면, 2024년 사이버 공격으로 인해 약 1조4천억 달러 시장이 위협 받을 수 있다는 조사결과도 발표됐다.

해외 IoT 위협사례도 사마트 공장, 자율주행차, 디지털 헬스케어, 스마트 시티 등 다양한 분야에서 발생하고 있다.

노르웨이 알루미늄 공장에서 랜섬웨어 감염(2019년), 대만 반도체공장 바이러스 감염(2018년), 독일 BMW 차량 원격 접근 가능 14개 취약점 발견(2018년), ICS-CERT에서 자동차 CAN버스 표준 취약점 발견(2017년), ICS-CERT에서 심장박동기에 대한 취약점 발견(2019년), 미국 FDA에서 해킹조작 위험 우려로 심장박동기 50만대 리콜(2017년), 미국 애틀랜타 시행정 시스템이 랜섬웨어 감염(2018년), 미국 텍사스주의 경보시스템이 해킹당해 비상 사이렌 작동(2017년) 등이 대표적인 사례다.

IoT 보안위협에 대비해 한국은 2009년 사물지능통신 기반구축 기본계획 발표를 시작으로 2014년 IoT 정보보호 로드맵을 수립하고 2015년 IoT 공통보안 원칙을 발표한다. 2016년에는 K-ICT 융합보안 발전전략을 발표하고 IoT 공통보안가이드를 개발한다. 2017년부터 19년까지는 IoT 보안인증서비스를 시행하고 분야별 IoT 보안가이드를 개발했고 IoT 보안테스트베드 구축도 진행중이다.

현재 IoT 7대 핵심분야 보안 내재화를 위해 보안원칙과 서비스 가이드를 개발, 보급하고 있다.

‘IoT 공통 보안원칙’은 다음과 같다.

-정보보호와 프라이버시 강화를 고려한 IoT 제품, 서비스 설계

-안전한 소프트웨어 및 하드웨어 개발기술 적용 및 검증

-안전한 초기 보안 설정 방안 제공

-보안 프로토콜 준수 및 안전한 파라미터 설정

- IoT 제품, 서비스의 취약점 보안패치 및 업데이트 지속 이행

-안전한 운영관리를 위한 정보보호 및 프라이버시 관리체계 마련

- IoT 침해사고 대응체계 및 책임추적성 확보 방안 마련

위 원칙하에 2017년 홈가전, 의료, 자동차, 공장, 안전재난환경, 에너지 분야 IoT 보안가이드를 제시하고 2018년부터 IoT 보안인증 서비스를 시행하고 있다.

또 IoT 보안 테스트베드 구축은 IoT 제품 및 서비스의 보안수준을 자체 검증 및 보완해 보안내재화를 확산하는데 필수다. IoT 보안 테스트베드 운영을 통해 홈가전, 에너지, 스마트카, 스마트팩토리, 스마트의료 등에 대해 보안컨설팅, 교육프로그램 운영, 보안테스트 환경을 제공하고 있다.

IoT 보안 시험·인증은 한국인터넷진흥원에서 IoT 제품 및 연동 모바일 앱에 대해 일정 수준의 보안을 갖추었는지 시험해 기준 충족 시 인증서를 발급해 주고 있다. 검증사항은 인증, 암호, 데이터 보호, 플랫폼 보호, 물리적 보호 등이며 유효기간은 3년(2년 연장 가능)이다.

현재 시험, 인증 실적은 2018년 4건, 2019년 24건, 2020년 현재까지 9건 등 총 37건이다.

한편 IoT 보안 강화를 위해 정보통신망법도 개정됐다. 추진 배경은 초연결을 가속화하는 5G 상용화, ICT 융합 등으로 융합서비스, 융합 제품의 보안 문제가 중요해짐에 따라 변화에 부응하는 법제도를 마련하기 위해서다. 그리고 IP카메라, 지능형CCTV, 스마트홈, 자율주행차 등 융합서비스와 제품에 대한 보안위협은 국민의 신체, 재산 피해와 사회적 혼란을 야기할 수 있어 선제적 대응이 필요하기 때문이다.

현재 융합보안강화를 위한 정보통신망법 개정안은 지난 5월 20일 국회를 통과했다.

주요 개정 내용은 △정보보호 지침 규율대상에서 정보통신망 연결기기 제조, 수입업자가 추가되고, △정보통신연결기기(IoT 기기) 등에 대한 침해사고 발생시 원인분석 및 관계중앙행정기관장에 조치를 요청할 수 있도록 하고 있다. △또 정보통신망 연결기기에 대한 ‘정보보호 인증’제도도 신설한다는 내용이다. 현재 하위법령 마련을 위한 법제 실무반을 구성해 개정안을 마련중에 있다.

★정보보안 대표 미디어 데일리시큐!★

◇국내 최대 의료기관 개인정보보호&정보보안 컨퍼런스(MPIS 2020) 개최
-주 최: 데일리시큐 / 후 원: 보건복지부, 병원정보보안협의회 등
-일 시: 2020년 7월 30일(목) 09:00~17:00
-장 소: 한국과학기술회관 지하1층 대회의실
-참석대상: 전국 의료기관 및 관련 공공기관 개인정보보호/정보보안 담당자(무료 참석)
(이외 참석자는 11만원 유료 참석만 가능)
-사전등록: 사전등록 클릭
-참가기업 문의: 데일리시큐 길민권 기자(mkgil@dailysecu.com)

■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★

길민권 기자 다른기사 보기