[디지털투데이 석대건 기자] 2020년을 2개월 앞둔 현재 스마트TV, 스마트 냉장고부터 각종 웨어러블 기기까지 우리 실생활에서 ‘사물인터넷(Internet of Things, 이하 IoT)'는 쉽게 찾아볼 수 있는 기술이 됐다. 

과학기술정보통신부에 따르면, 홈네트워크를 포함한 IoT 서비스 가입 수는 2017년 말 1400만 대에서 2018년 말 1865만대로 늘어났다. 약 33% 상승한 수치다. 가구당 IoT 보유기기도 평균 1.2대를 보유 중이다. 

이는 더욱 증가해 오는 2022년까지 전 세계의 네트워킹 기기는 약 285억 개에 달할 것으로 예측된다. 그중에서 절반은 IoT기기가 차지할 것으로 보인다. 

그러나 동시에 보안 취약점 역시 커지고 있다. 최근에는 대표적인 가정용 IoT기기인 IP카메라가 해킹 당해 사생활이 그대로 인터넷을 통해 노출되는 사건도 발생했다.

지승구 KISA 융합보안지원팀장은 IoT기기가 보안에 취약한 이유로 “네트워크 기기 자체 취약점, 취약점 업데이트 하지 않은 경우, 사용자 관리 부재, 공장 출고 셋팅 취약한 인증정보 그대로 사용 등”을 들며, “특히 쇼단 엔진을 사용하면, 누구나 검색 창에 IP, 국가 등 특정 키워드를 넣어 검색해 기기정보 및 취약점 정보를 조회 가능하기 때문에 위험하다”고 전했다.

여기서 쇼단 엔진은 네트워크가 연결된 IoT기기를 검색하는 포털 사이트와 같은 개념이다.

이에 한국인터넷진흥원(이하 KISA)은 개인(가정)과 기업을 대상으로 지난 10월 1일부터 ‘IoT 취약점 점검 서비스’를 진행하고 있다.

신청자가 KISA에 점검 서비스를 신청하면, KISA는 네트워크, IoT기기 정보 등을 검토를 통해 적격심사를 거친 후 점검에 들어간다. 점검 후에는 결과보고서 및 보안 컨설팅 제공하고 있다. 비용은 무료다.

아쉽게도 약 한 달이 지난 지금, 신청 건수는 8건에 그치고 있다. 이마저도 기업은 2건에 불과하고, 개인의 경우 적격심사에서 맞지 않은 경우가 많아 실질적인 점검이 어려울 것으로 예상된다. 

보안 위협은 증가하고 있는데, 사이버 공격 위험에 대한 인식도 적어 보안 당국도 이러지도 저러지도 못하는 상황인 셈. 

일본의 경우, IoT 기기의 취약점 점검 목적에 한해, 임의적 점검을 허용하고 있다. 해킹 신고 혹은 정보 유출 등의 신고를 받게 될 경우, 직접 점검이 가능한 것. 하지만 우리나라에서는 정보통신망법 48조에 따라 이용자의 사전 동의를 받지 못하면 IoT기기를 점검하기 위한 스캔 행위는 위법이다.

지승구 KISA 융합보안지원팀장은 “한국도 모든 IoT 기기를 점검할 순 없지만, 일본 사례를 참고해 한시적으로라도 적용하면 관련 취약점 피해는 감소하지 않을까 생각한다”고 밝혔다. 

또 점검 자체의 효력에 대해서도 “점검 서비스는 사전 예방 차원의 개념”이라며, “현재 (점검 후 취약점 강화를) 법으로 강제할 수는 없기 때문에 계속 가이드를 주고 안내할 수밖에 없다”고 설명했다. 

이어 “유관 기관 및 협회, IoT 제조사 관련 협회 등을 통해 지속적 홍보할 예정”이라고 덧붙였다.