사물인터넷(IoT) 기기 보안 인증제가 개편된다. 현행 제도에선 일괄적인 평가 기준을 적용했으나, 앞으로는 가전, 교통, 금융, 스마트도시, 의료, 제조 및 생산, 주택, 통신 등의 분야에서 쓰이는 기기 특성에 따라 보안 수준을 평가받게 된다.
5일 과학기술정보통신부 관계자는 "지난해 운영한 IoT 보안 인증 제도 개선 연구반을 통해 이같은 내용을 담은 제도 개선안을 마련했다"며 "관련 고시 개정 작업을 2분기까지 마무리할 계획"이라고 밝혔다.
IoT 보안 인증제는 지난 2017년말부터 시행된 이후, 한국인터넷진흥원(KISA)에서 평가 기준 마련, 심사 등 인증제도 업무를 수행해오고 있다.
작년 정보통신망법이 개정됨에 따라 IoT 보안 인증 제도에 대한 법적 근거가 마련됐다. 이에 정부는 본격적으로 제도를 재정비하고자 연구반을 운영했다. 이를 통해 주요 개선 방향을 마련했다.
현행 IoT 보안 인증제는 기기 크기에 따라 ▲'라이트' ▲'베이직' ▲'스탠다드' 등급으로 나눠 인증을 부여하고 있다. 크기가 클수록 보다 다양한 보안 조치를 평가한다. 기기의 종류는 평가 기준에서 고려되지 않는 상황이었다.
과기정통부는 관련 고시를 개정해 이런 부분을 개선한다는 입장이다. 이 관계자는 "IoT 기기들이 공통적으로 준수해야 할 부분도 있고, 분야에 따라 특화돼야 할 부분이 있어서 각 산업 영역에 특화된 보안 요소를 도출하고자 한다"며 "제품이 보유한 기능에 따라 인증 수준을 세 단계로 나눠 결정할 수 있게 하는 방안을 보고 있다"고 설명했다.
인증 평가 기관이 KISA가 아닌, 대행기관이 될 것이란 점도 바뀌는 부분 중 하나다. 대행기관이 인증 충족 여부를 평가하고, KISA는 평가 결과를 최종적으로 인정해 인증서를 발급해주는 식으로 변경될 예정이다. 보다 중립적이고 전문성을 갖춘 기관이 평가 업무를 전담하고, KISA는 정책 및 기준 마련에 집중할 수 있게 한다는 취지다.
인증 평가를 대행기관이 하게 되면서, 평가 수수료도 발생할 예정이다. 과기정통부는 제도 개편 초기에는 인증 평가 수수료를 지원할 예정이라고 밝혔다.
IoT에 대한 보안 우려는 갈수록 증가하는 상황이다. 스마트홈, 헬스케어 등 민감한 정보가 오가는 분야에서의 활용이 느는 반면, 보안 수준은 일반적인 전자기기보다 취약한 상태로 시중에 출시될 뿐더러, 사후 관리도 제대로 되지 않는 경우가 많기 때문이다.
보안 인증 제도가 활성화되면 IoT 보안 수준을 향상하는 데 기여할 수 있다. 사용자가 기기를 선택할 때 보안 수준을 고려할 수 있고, 제조사 입장에서도 보안을 충분히 갖춘 기기의 경쟁력을 높여주기 때문이다.
관련기사
- 내년 '집콕' 노린 해킹 증가…"홈 IoT 보안 중요"2020.12.28
- IoT·블록체인으로 백신 상온 노출 사고 막는다2020.11.30
- 기기 데이터 전부 지우는 봇넷 등장2020.10.08
- 누군가 당신의 유무선 공유기 노린다2020.07.21
다만 제도가 권고성에 그치고 있어 IoT 기기 생태계 전반에서의 적용 수준은 아직 미미한 상황이다. 과기정통부 관계자는 "비용 등 인증에 대한 기업 부담도 존재해 제도를 의무화하는 건 어려울 것으로 본다"고 답했다.
보안 인증 제도를 의무화하는 대신 정부는 IoT 기기를 대량으로 공급받는 수요처를 중심으로 제도 이용을 확산하려 하고 있다. 한국토지주택(LH)공사, 서울주택도시(SH)공사, 서울시, KT 등과 업무협약(MOU)를 체결하고 보안 인증을 받은 IoT 제품을 납품받게 하는 등의 행보를 보이고 있다.
