'IoT 보안인증제' 과연 실효성 있는 정책으로 자리잡을까?

[CCTV뉴스=이승윤 기자] IoT(internet of Things)는 사람과 사물 간을 서로 연결해 초연결 사회를 구축하고 사용자 중심의 지능형 서비스를 제공하기 위한 기술로, 4차산업의 새로운 성장 동력으로 주목받고 있다. 글로벌 시장조사 기관 가트너(Gartner)에 따르면 “2020년까지 IoT로 창출되는 부가가치는 약 1조 9000억 달러가 예상된다”고 예상했으며, IBM은 “2020년까지 네트워크 연결되는 사물들은 500억 개 이상이 될 것이다.”고 전망했다. 이미 국내에도 KT의 기가 IoT 홈캠, SKT 스마트 방범안전창 원가드, 스마트 에너지미터 등 다양한 IoT 제품들이 출시됐다.

IoT 성장에 따라 보안 위협도 함께 증가하고 있다. 2016년 대규모 공격으로 미국 동부지역을 마비시켰던 미라이 봇넷(Mirai Botnet)이 관리자 계정이 취약한 IoT 단말기를 공격해 악성코드를 전파한 바 있으며 유사한 시도가 계속될 것으로 예상된다. 또한, 스마트카와 드론 등 새로운 스마트기기에 대한 위험도 감지되고 있다.

IoT 보안위협이 증가하면서 이를 사전에 예방하고 피해를 최소화하기 위한 보안인증에 대한 관심이 높아지고 있다.일본, 국제이동통신 사업자 협회(GSMA), 국제 웹 보안표준 단체(OWASP), 국제 클라우드 보안 협의체(CSA) 등 다양한 국가와 단체에서 IoT 보안인증 가이드를 개발하고 있으며, 한국은 2016년 9월 IoT 공통 보안 가이드를 발표하고 2017년 12월 28일부터 IoT 보안인증제를 정식 시행했다. 그러나 IoT 제품 품목 규정이 없으며, 보안 인증에 대한 규제나 별도의 제제조치가 없어 실효성이 의심된다.

●설계 단계부터 정확한 보안을 목표로 하는 한국 IoT 보안인증

한국인터넷진흥원(이하 KISA)에서 발표한 IoT 공통 보안 가이드를 살펴보면 제조부터 출시까지 전 과정에 보안인증 심사가 들어가 있다. KISA가 제시한 IoT 제품에 대한 원칙은 다음과 같다. ▲정보보호와 프라이버시 강화를 고려한 IoT 제품·서비스 설계 ▲안전한 소프트웨어와 하드웨어 개발기술 적용과 검증 ▲안전한 초기 보안설정 방안 제공 ▲안전한 설치를 위한 보안 프로토콜 준수와 안전한 파라미터 설정 ▲IoT 제품·서비스 취약점 패치와 업데이트 지속 이행 ▲안전운영 관리를 위한 정보보호와 프라이버시 관리체계 마련 ▲IoT 침해사고 대응체계와 책임 추적성 확보 방안 마련이다.

특히 국내 IoT 공통 보안 가이드에는 CSA, GSMA 단체의 가이드와 다른 특징적인 부분이 있다. 소프트웨어 보안과 로컬 보안에 대한 취약점을 사전에 예방하는 방법인 ‘시큐어 코딩’의 적용을 원칙으로 하고 있다는 점이다. 시큐어 코딩(Secure Coding)이란 안전한 소프트웨어 개발을 위해 소스 코드 등에 존재할 수 있는 잠재적인 보안 취약점을 제거하고, 보안을 고려하여 개발 과정에서 지켜야 할 일련의 보안 활동을 의미한다. 국내에서는 행정안전부에서 발간한 ‘시큐어 코딩 가이드’에서 협의적인 의미로 소프트웨어의 개발 과정 중 구현단계에서 보안 약점을 배제하기 위한 코딩 방법론으로 정의하고 있다. IoT 공통 보안 가이드에서도 시큐어 코딩의 중요성을 대해 인지하고 소프트웨어 해킹 방지와 로컬 해킹 방지 2가지 형식에 모두 코딩을 적용하는 방법을 제시하고 있다.

소프트웨어 쪽은 개발자가 가장 많이 사용하는 C언어와 JAVA에 대한 가이드라인이 있다. C언어의 경우 58개의 보안 약점에 대한 시큐어 코딩과 안전하지 않은 코드, 안전한 경우의 코드 예시가 들어있으며, JAVA는 83개의 보안 약점과 정보시스템 구축 시 필수적으로 포함해야 하는 43개의 보안 약점을 제시하고 있다. 공통 보안 가이드는 IoT 같은 경량 장치의 경우 경량화된 운영체제와 컴파일러를 통해 실행 파일이 실행돼 가이드 개발이 어렵기 때문에 전통적인 개발 툴인 C언어나 JAVA를 활용해 환경에 맞는 적절한 가이드를 구축해야 한다고 설명했다.

로컬 보안의 경우 주로 개방된 장소에 설치되는 IoT 장치 특성을 이용해 장치를 분해해 펌웨어 추출과 중앙 서버와 단절된 근거리 통신 주파수 공격 위협이 예상되어 IoT 공통 보안 가이드에서는 ▲장치 주변 인터페이스를 통한 접근 ▲디버그 포트 부트로더 진입점 제거 ▲소스코드 보호 안전한 메모리에 비밀번호 저장 등의 장치 웹 인터페이스 보안 등의 로컬해킹을 고려한 시큐어 코딩 추가 고려사항이 제시돼 있다.

●국내 IoT 보안인증 현재 상황

KISA는 2017년 12월 28일부터 민간 자율의 사물인터넷(IoT) 보안인증 서비스를 시행했다. 이번 IoT 보안 인증 서비스는 ▲인증 ▲암호 ▲데이터보호 ▲플랫폼보호 ▲물리적보호 5개 영역에서 일정 보안 기준을 충족한 제품에 대해 인증서를 발급해주는 제도이다. 인증 서비스는 2개 등급으로 구분되며 주요 보안 취약점을 개선할 수 있도록 핵심 항목만 시험·인증을 받는 라이트(Lite) 등급, 한 층 심화된 종합 보안 시험·인증을 거치는 스탠다드(Standard) 등급으로 나뉜다.

보안인증 평가 항목은 초기 비밀번호 무작위 대입 공격으로 인한 IP카메라 사생활 정보 유출, 스니핑(sniffing)공격을 통한 중요정보 탈취 등 주요 해킹 위협에 대한 보안성이 강화에 대한 것이 평가 목록으로 구성됐다.

KISA 보안 인증을 희망하는 기업은 보안시험 신청서, 시험기준 준수명세서, 제품 사용설명서 등 필요서류와 시험대상 사물인터넷 기기를 제출하면 된다. KISA는 기업의 부담 완화와 인증 활성화를 위해 당분간 무료로 인증서비스가 제공될 예정이며, 신청부터 시험까지 한 달 안에 완료될 수 있도록 신속하게 진행한다고 설명했다.

●아직 갈 길 먼 한국 IoT 보안인증서비스

2017년 12월 28일부터 IoT 보안인증서비스가 시행됐지만 안전한 보안 인증까지는 수정할 사항이 많다. 먼저 라이트 등급과 스탠다드 등급 제품 품목 규정이 없다. KISA IoT 융합 보안팀 관계자에 따르면 기능이 작은 소형기기는 라이트 등급, 홈 IoT 등 보안 기능이 많이 필요한 제품들을 스탠다드 등급으로 구분하고 있지만 권고사항일 뿐 아직 규정은 없다고 말했다. 또한, IoT 보안 인증에 대한 규제나 별도의 제제조치가 없어 인증에 대한 실효성이 의심된다.

해외 기업의 시큐어 코딩 대한 검증 방식에 대한 신뢰성도 의심되는 상황이다. KISA IoT 융합 보안팀 관계자는 해외 기업의 시큐어 코딩 검사 방법이 소스코드 공개, ‘정보보호 클러스터’를 방문해 직접 테스트 실행, 자체결과보고서 제출 3가지 방법이 있다고 설명했다. 시큐어 코딩의 경우 IoT 보안인증에 중요한 부분으로 정확한 검증이 진행되어야 한다. 그래서 3가지 방법을 혼합해 사용하는 것이 아닌 가장 신뢰성이 높은 검사방법을 권고가 아닌 규정하는 것이 시급하다고 판단된다.

IoT 보안 인증서비스를 시행하는 것은 한국이 유일하다. 먼저 인증을 시도한 만큼 정확한 검사 방식과 규정을 통해 신뢰성 있는 인증서비스가 되기를 바란다.