[디지털투데이 유다정 기자] PC나 모바일을 넘어 가전부터 자동차, 의료기기까지 도시 전체가 인터넷에 연결되는 상황에, 최근 IP카메라 해킹 사건이 또다시 터지면서 사물인터넷(IoT) 보안에 대한 관심이 커지고 있다. 박창열 KISA IoT융합보안팀장은 보안문제 해결을 위한 종합적인 정책추진과 함께 'IoT보안인증' 서비스 활용을 강조했다.

국내외 사물인터넷 시장은 기하급수적으로 성장하고 있다. 현대경제연구소의 '사물인터넷 관련 유망산업 동향 및 시사점' 리포트에 따르면, 세계 IoT 시장 규모는 2015년 약 3000억달러였지만 2020년엔 1조달러 정도로, 연평균 28.8% 성장할 전망이다.

사업이 성장함에 따라 사이버 위협에 따른 피해액도 증가하고 있다. KT경제경영연구소의 '보안시장에서의 새로운 기회' 리포트에 따르면 2015년에는 13조4000억 정도였던 피해액은 2020년 17조7000억, 2030년에는 26조7000억에 달할 전망이다.

 박창열 KISA IoT융합보안팀장은 "사후 보안조치가 불가능할 수도 있는 상황에서 보안 내재화가 필수"라며 "이제는 ISP 뿐만 아니라 이용자와 제조사, 서비스 제공자들까지 모두 보안에 열을 올려야 하는 시점"이라고 지적한다.  

일례로 지난 2014년 중국의 한 화이트 해커집단이 테슬라의 자율주행자동차를 원격으로 해킹하는 동영상을 유튜브에 올린 적이 있다. 물론 테슬라는 취약점을 인정하고 보안패치를 만들어서 배포했다.

하지만 박창열 팀장은 "보안패치 만들어서 배포했다고 기업의 역할과 책임을 다한 것은 아니"라며 "쉬운 업데이트를 하게 하는 것도 제조사의 몫"이라고 강조했다. 

KISA에서는 보다 안전한 사물인터넷을 위해 'IoT보안인증서비스'를 지난해 11월 29일에 론칭하고, 올해 1월부터 본격적으로 운영해오고 있다. 

인증서비스는 인증·암호·데이터보호·플랫폼보호·물리적보호 5개 영역에 대해 평가한다. 등급은 23개의 평가항목을 거친 '라이트'(Lite)와 41개 항목을 거치는 '스탠다드'(Standard) 2가지로 나뉜다. 스탠다드의 경우 국제적인 가이드와 표준을 총망라한 기준으로, 인증받을 경우 글로벌 진출시에도 별탈이 없을 정도라는 설명이다. 

다만 이 인증이 모든 IoT 모든 보안을 커버할 수 있다는 것을 뜻하지는 않는다. 기기에 대한 인증 사물인터넷 보안뿐만 아니라 IoT 전용망(네트워크)에 대한 보안수준, IoT기기를 제어하고 데이터를 수집∙분석하는 서버시스템 등에 대해서도 보안성 강화가 필요하다.

또한 IoT보안인증은 법에 근거한 제도가 아니라 KISA 명의로 제공하는 서비스다. 즉 법적인 의무가 아니라 제조사의 자율적 의지에 의해 받는 인증이다.

박창열 팀장은 "IoT 제조기업 80%이상이 50인 미만의 중소업체이고 IoT 제조사는 제품을 하루빨리 출시해 판매해야 하는 상황"이라며 "보안성을 고려하여 개발할 여력이 부족하다"고 말했다. 

그는 "법으로 강제하는 것은 결국 규제고, 기업을 압박하는 부정적인 영향을 미칠 수도 있다"며 "인증 서비스의 목적은 중소, 영세 기업들을 보조해주기 위한 것으로, 이들이 홍보에 적극적으로 활용할 수 있도록 좀더 활성화되길 바란다"고 전했다.

KISA에서는 인증받은 제품과 제조사를 홈페이지에 공지하고 있으며 IoT마크가 새겨진 홀로그램 부착 스티커 제공해 지원하고 있다. 소비자들은 가격비교사이트 다나와에서 'IoT보안인증' 키워드로 인증받은 제품을 검색할 수도 있다. 

한편 이밖에도 KISA는 개발자 대상으로 상시 전문 교육, 일반인 대상 기초 교육을 진행 중이다. 홈가전, 의료, 제조, 교통, 에너지, 환경, 재난 등 7개 분야에 대한 테스트베드를 구축해 IoT제조사들이 취약점 분석 및 개선 조치를 할 수 있도록 조치하고, 대학원, 연구소 직원 대상으로 분야별 IoT 보안연구 활동도 지원한다.