KISA는 인증 항목 기준을 모두 충족시킨 IoT 기기에 대해 인증서를 발급키로 했다. 대상은 IoT 센서부터 IP카메라, 커넥티드까지 IoT로 통용되는 모든 완제품이다. 이를 통해 소비자가 제품 선택 때 보안 신뢰도를 함께 고려할 수 있도록 할 예정이다.

IoT 보안인증제는 IoT 기기에 대한 보안성을 검증 받고자 하는 제조사 또는 개발사가 자율적으로 신청해 인증 받는 제도다.

KISA는 국민의 실생활에 밀접하게 사용되는 IoT 기기에 대한 보안내재화를 촉진하기 위해 이 제도를 도입하게 됐다고 설명했다. 이에 IoT 기기가 사이버위협에 대응하기 위한 기본적 요건을 갖출 수 있도록 기준을 마련해 시험 및 인증에 착수한다. 기본 요건은 소프트웨어 보안, 물리적 보안, 보안기능, 플랫폼 보안 등 보안항목으로 시험·인증한다.

이는 공통인증인 만큼, IoT 기기라고 말할 수 있는 제품과 분야를 모두 포괄적으로 포함하고 있다. IoT 센서부터 스마트도어락, 나아가 커넥티드카까지 대상이 될 수 있다.

당초 정부에서는 IoT 보안인증제에 대해 유보적인 입장을 보여 왔었다. IoT 제품을 제조하는 기업들 상당수는 중소·영세 규모라, 저전력·저비용·경량화를 꾀하는 상황에서 보안기능까지 추가하는 것에 대한 부담이 상당했기 때문이다.

하지만 최근 몰래카메라로 변하는 IP카메라, 해커에게 제어당한 커넥티드카, 사이버공격에 노출된 스마트홈까지 인터넷에 연결되는 IoT 기기와 관련된 보안위협 우려가 증가했다. IoT 기기를 악용한 디도스(DDoS) 공격부터 사생활 침해 등은 사회문제로 부각됐다.

KISA에서 발표한 최근 3년간 IoT 취약점 신고건수를 살펴보면 ▲2014년 6건 ▲2015년 130건 ▲2016년 362건 ▲2017년 2분기 기준 199건으로 매년 큰 폭으로 늘어나고 있다.

또한, 지난달 미국에서는 IoT 사이버보안 법안이 발의되고 지난해 유럽연합(EU)에서는 사이버보안 트러스트 라벨제가 실시되는 등 세계적으로 IoT 제품에 대한 보안인증제 도입 움직임이 나타나고 있다.

이에 IoT 보안인증제를 의무사항이 아닌 기업 스스로 결정할 수 있도록 자율제도로 추진키로 했다. 법적 강제성이 없는 만큼, 시장의 참여도가 이 제도의 성패를 가릴 것으로 보인다. 다만, IoT 제품을 구매하는 소비자들이 보안신뢰도를 측정할 수 있는 수단으로 활용할 수 있다.

박창열 KISA IoT융합보안팀장은 “IoT 기기를 생산하는 제조사나 개발사가 자율적으로 제품에 대해 인증 신청을 하면, 점검·시험한 후 적합하다고 판단 때 KISA 이름으로 인증서를 발급할 계획”이라며 “현재 평가 기준을 개발 중이며, 기업들의 의견수렴을 받을 예정”이라고 말했다.

이어 “IP카메라 해킹사고 등 IoT 사이버위협이 커지고 있어 보안인증제 실시를 검토하게 됐고, 의무대상은 아닌 만큼 기업들이 자발적으로 신청하면 된다”며 “IoT 보안인증제는 KISA에서 무료로 진행한다”고 덧붙였다.

<최민지 기자>cmj@ddaily.co.kr