[CCTV뉴스=이승윤 기자] 4차산업혁명이 진행됨에 따라 다양한 ICT 산업이 빠르게 발전을 하고 있다. 특히 사람, 프로세스, 데이터, 사물 등을 포함한 모든 것이 네트워크로 연결되는 초 연결(hyperconnectivit) 시대로 진화하면서 사물인터넷(IoT) 시장이 급격하게 성장하고 있다. Machina 리서치 조사에 따르면 세계 사물인터넷 시장은 2022년까지 연평균 21.8% 성장률을 보이며 1조2000억 달러 규모까지 성장할 것이라 전망헸으며, 글로벌 조사기관 가트너도 2020년까지 300억 개의 사물들이 인터넷과 연결돼 쓰일 것으로 전망했다. 하지만 IoT 성장과 함께 보안위협도 증가하고 있는 가운데 이를 어떻게 준비하고 있는지 궁금하다.

IoT 시장이 성장하면서 이와 함께 IoT를 겨냥한 정보보안 위협이 증가하고 있다. 2016년 악성코드 미라이(Mirai)를 통해 IoT 기기인 가정용 공유기, 보안 카메라, DVR 등을 감염시켜 좀비화된 기기를 통해 딘(DYn) 서비스를 디도스 공격한 사례가 있었으며, 2017년 스위스 한 보안 업체가 디지털 비디오 방송•지상파(DVB-T) 수신기가 해킹코드가 삽입된 신호를 수신할 경우, TV에 내장된 웹 브라우저의 취약점을 이용해 권한을 탈취하고 기능을 제어할 수 있다는 것을 발표하며 IoT 보안 위험성을 경고했다.

IoT 위협이 급증하면서 이에 대응하기 위해 국내 및 글로벌 보안 업체들은 IoT 보안을 위한 솔루션을 개발하고 있으며, 전세계 국가 기관 및 국제단체에서 안전한 IoT 환경을 조성하기 위해 다양한 IoT 보안가이드를 제시하고 있다. 특히 IoT 시장이 빠르게 활성화가 이뤄지고 있는 성장 중인 미국, 유럽, 일본 등 선진국들은 IoT 보안에 대한 심각성을 빠르게 인지하고 대책마련을 위해 다양한 정책을 선보이고 있다.

미국과 일본 등 선진국의 IoT 보안 준비 상황

일본의 IoT 시장은 매년 급성장 하고 있다. KOTRA가 발표한 ‘일본, IoT 시장 현황 및 전망’ 보고서에 따르면 2015년 사물인터넷 시장규모는 6조2232억 엔으로 집계됐으며, 2020년에는 13조7596억 엔 규모의 시장으로 성장할 거라고 설명했다. 또한, 이렇게 IoT 시장이 급성장한 배경은 기기 및 인프라 운용 시 효율성을 높일 수 있고 사용자에 대한 만족도 제고를 위한 서비스로 인정, 유익한 기술로 인식해 적극 도입하고 있다고 설명했다.

일본은 IoT 시장의 빠른 성장은 보안 위협도 크게 증가시키고 있다. 지난해 12월 인터넷 통신업체 ‘IIJ’가 일본 국내의 IoT 기기 바이러스 감염상황 조사 결과 IoT 기기 1만2천대 감염됐다고 발표했으며, 일본 정보통신연구기구(NICT)는 지난해 보고서에서 인터넷과 연결된 NICT의 모니터에 대한 사이버 공격이 50배 가량 증가한 것이 감지됐다고 밝혔다.

이처럼 일본은 다양한 IoT 보안위협으로 일본은 법제화와 함께 IoT 보안 인증제 도입을 서두르고 있다. 일본 총무성은 지난해 IoT 관련 사이버보안 위기 확산에 대응하기 위해 IoT 보안 종합대책을 발표했으며, 2018년 안에 정보보안정책국 설립을 구상하고 있다. 또한, 바이러스 방어 체제를 갖춘 IoT 기기에 대해 공적 인증제도를 2020년까지 도입할 예정이다. 이미 IoT 보안 환경 구축을 위해 2016년 일본의 경제산업성 산하 정보처리추진기구(IPA)를 통해 IoT 보안 가이드인 연결세계의 개발 지침과 IoT 개발의 보안 설계 가이드를 발표했다.

일본과 마찬가지로 미국도 IoT 급성장으로 인해 발생하는 보안 위협에 대처하기 위해 법제화와  IoT 가이드를 제시하며 IoT 보안을 준비하고 있다. 2016년 미 상무부 산하 표준기술연구소(NIST)가 IoT 디바이스의 보안을 강화하기 위한 가이드(SP 800-160)을 발표했다. 2017년 미국 민주당 의원들이 주축으로 벤치마크 테스트에 기반한 IoT 기기 보안 성능 인증을 위해 보안배지와 라벨링 프로그램 도입이 중심내용인 ‘사이버쉴드법안’을 발의했다.

유럽의 경우 IoT 보안에 집중된 법률은 제정돼 있지 않지만 올해 5월 25일부터 시행되는 유럽 개인정보보호법(GDPR)에 IoT와 관련된 ‘프라이버시 중심 설계(Privacy by Design)’라는 규정을 통해 IoT 기기에 대한 보안을 준비하고 있다. ‘프라이버시 중심 설계’ 규정은 시스템을 구축하는 단계에서부터 데이터를 보호하도록 설계해야 한다는 의미를 담고 있어 IoT 디바이스 생산업체들이 유럽에서 IoT 기기 판매하기 위해서는 보안을 준수한 제품을 생산해야 판매가 가능하다.

이렇듯 선진국들은 안전한 IoT 보안 환경을 위해 법제화 추진, IoT 관련 규정과 지침을 만들기 위해 지속적인 연구를 진행하며 보안을 준비를 하고 있다. 우리나라도 선진국과 함께 IoT 보안위협에 대응하기 위해 법안 발의와 IoT 보안 가이드를 발표했으며, 국가기관 처음으로 한국인터넷진흥원(KISA)에서 ‘IoT 보안 인증제’를 시행했다.  

’시큐어코딩’으로 잠재적 위협 차단…’IoT 보안 인증제’를 통해 안정성 강화  

우리나라는 2016년 ‘IoT 공통보안 가이드’를 발표했으며, 이후 한국시장에서 많이 사용되는 IoT 기기인 홈 가전에 맞춘 세부적인 보안 가이드인 ‘홈·가전 IoT 보안가이드’를 개발해 지난해 발표하면서 IoT 보안을 준비하고 있다. 또한, IoT 취약점에 대해 개별 사업자에게 개선 권고에 대한 실효성을 강화하기 위해 ‘소프트웨어산업 진흥법’ 일부개정법률안이 발의됐다.

우리나라의 IoT 보안 준비는 선진국들과 비슷하지만 다른 점이 있다. 국내 IoT 공통 보안 가이드를 살펴보면 다른 국가기관과 CSA, GSMA 단체의 가이드와 다른 특징적인 부분이 있다. 소프트웨어 보안과 로컬 보안에 대한 취약점을 사전에 예방하는 방법인 ‘시큐어 코딩’의 적용을 원칙으로 하고 있다는 점이다.

시큐어 코딩(Secure Coding)이란 안전한 소프트웨어 개발을 위해 소스 코드 등에 존재할 수 있는 잠재적인 보안 취약점을 제거하고, 보안을 고려하여 개발 과정에서 지켜야 할 일련의 보안 활동을 의미한다. 국내에서는 행정안전부에서 발간한 ‘시큐어 코딩 가이드’에서 협의적인 의미로 소프트웨어의 개발 과정 중 구현단계에서 보안 약점을 배제하기 위한 코딩 방법론으로 정의하고 있다. 국내에서는 IoT에서 잠재적인 보안 취약점에서 나타나는 보안 위협에 대한 위험성을 인지하고 소프트웨어 해킹 방지와 로컬 해킹 방지 2가지 형식에 모두 코딩을 적용하는 방법을 제시하고 있다.

미국 일본 유럽 등의 선진국들은 법안 발의와 IoT 보안 가이드만을 제시하고 있지만 국내의 경우 IoT 보안 가이드와 함께 안정성을 인증 받을 수 있는 ‘IoT 보안 인증제’를 도입, 시행한 것이다.