급증하는 IoT 보안 위협, 어떻게 준비하고 있는가?

[CCTV뉴스=이승윤 기자] 4차산업혁명이 진행됨에 따라 다양한 ICT 산업이 빠르게 발전을 하고 있다. 특히 사람, 프로세스, 데이터, 사물 등을 포함한 모든 것이 네트워크로 연결되는 초 연결(hyperconnectivit) 시대로 진화하면서 사물인터넷(IoT) 시장이 급격하게 성장하고 있다. Machina 리서치 조사에 따르면 세계 사물인터넷 시장은 2022년까지 연평균 21.8% 성장률을 보이며 1조2000억 달러 규모까지 성장할 것이라 전망헸으며, 글로벌 조사기관 가트너도 2020년까지 300억 개의 사물들이 인터넷과 연결돼 쓰일 것으로 전망했다. 하지만 IoT 성장과 함께 보안위협도 증가하고 있는 가운데 이를 어떻게 준비하고 있는지 궁금하다.

IoT 시장이 성장하면서 이와 함께 IoT를 겨냥한 정보보안 위협이 증가하고 있다. 2016년 악성코드 미라이(Mirai)를 통해 IoT 기기인 가정용 공유기, 보안 카메라, DVR 등을 감염시켜 좀비화된 기기를 통해 딘(DYn) 서비스를 디도스 공격한 사례가 있었으며, 2017년 스위스 한 보안 업체가 디지털 비디오 방송•지상파(DVB-T) 수신기가 해킹코드가 삽입된 신호를 수신할 경우, TV에 내장된 웹 브라우저의 취약점을 이용해 권한을 탈취하고 기능을 제어할 수 있다는 것을 발표하며 IoT 보안 위험성을 경고했다.

IoT 위협이 급증하면서 이에 대응하기 위해 국내 및 글로벌 보안 업체들은 IoT 보안을 위한 솔루션을 개발하고 있으며, 전세계 국가 기관 및 국제단체에서 안전한 IoT 환경을 조성하기 위해 다양한 IoT 보안가이드를 제시하고 있다. 특히 IoT 시장이 빠르게 활성화가 이뤄지고 있는 성장 중인 미국, 유럽, 일본 등 선진국들은 IoT 보안에 대한 심각성을 빠르게 인지하고 대책마련을 위해 다양한 정책을 선보이고 있다.

미국과 일본 등 선진국의 IoT 보안 준비 상황

일본의 IoT 시장은 매년 급성장 하고 있다. KOTRA가 발표한 ‘일본, IoT 시장 현황 및 전망’ 보고서에 따르면 2015년 사물인터넷 시장규모는 6조2232억 엔으로 집계됐으며, 2020년에는 13조7596억 엔 규모의 시장으로 성장할 거라고 설명했다. 또한, 이렇게 IoT 시장이 급성장한 배경은 기기 및 인프라 운용 시 효율성을 높일 수 있고 사용자에 대한 만족도 제고를 위한 서비스로 인정, 유익한 기술로 인식해 적극 도입하고 있다고 설명했다.

일본은 IoT 시장의 빠른 성장은 보안 위협도 크게 증가시키고 있다. 지난해 12월 인터넷 통신업체 ‘IIJ’가 일본 국내의 IoT 기기 바이러스 감염상황 조사 결과 IoT 기기 1만2천대 감염됐다고 발표했으며, 일본 정보통신연구기구(NICT)는 지난해 보고서에서 인터넷과 연결된 NICT의 모니터에 대한 사이버 공격이 50배 가량 증가한 것이 감지됐다고 밝혔다.

이처럼 일본은 다양한 IoT 보안위협으로 일본은 법제화와 함께 IoT 보안 인증제 도입을 서두르고 있다. 일본 총무성은 지난해 IoT 관련 사이버보안 위기 확산에 대응하기 위해 IoT 보안 종합대책을 발표했으며, 2018년 안에 정보보안정책국 설립을 구상하고 있다. 또한, 바이러스 방어 체제를 갖춘 IoT 기기에 대해 공적 인증제도를 2020년까지 도입할 예정이다. 이미 IoT 보안 환경 구축을 위해 2016년 일본의 경제산업성 산하 정보처리추진기구(IPA)를 통해 IoT 보안 가이드인 연결세계의 개발 지침과 IoT 개발의 보안 설계 가이드를 발표했다.

일본과 마찬가지로 미국도 IoT 급성장으로 인해 발생하는 보안 위협에 대처하기 위해 법제화와  IoT 가이드를 제시하며 IoT 보안을 준비하고 있다. 2016년 미 상무부 산하 표준기술연구소(NIST)가 IoT 디바이스의 보안을 강화하기 위한 가이드(SP 800-160)을 발표했다. 2017년 미국 민주당 의원들이 주축으로 벤치마크 테스트에 기반한 IoT 기기 보안 성능 인증을 위해 보안배지와 라벨링 프로그램 도입이 중심내용인 ‘사이버쉴드법안’을 발의했다.

유럽의 경우 IoT 보안에 집중된 법률은 제정돼 있지 않지만 올해 5월 25일부터 시행되는 유럽 개인정보보호법(GDPR)에 IoT와 관련된 ‘프라이버시 중심 설계(Privacy by Design)’라는 규정을 통해 IoT 기기에 대한 보안을 준비하고 있다. ‘프라이버시 중심 설계’ 규정은 시스템을 구축하는 단계에서부터 데이터를 보호하도록 설계해야 한다는 의미를 담고 있어 IoT 디바이스 생산업체들이 유럽에서 IoT 기기 판매하기 위해서는 보안을 준수한 제품을 생산해야 판매가 가능하다.

이렇듯 선진국들은 안전한 IoT 보안 환경을 위해 법제화 추진, IoT 관련 규정과 지침을 만들기 위해 지속적인 연구를 진행하며 보안을 준비를 하고 있다. 우리나라도 선진국과 함께 IoT 보안위협에 대응하기 위해 법안 발의와 IoT 보안 가이드를 발표했으며, 국가기관 처음으로 한국인터넷진흥원(KISA)에서 ‘IoT 보안 인증제’를 시행했다.  

’시큐어코딩’으로 잠재적 위협 차단…’IoT 보안 인증제’를 통해 안정성 강화  

우리나라는 2016년 ‘IoT 공통보안 가이드’를 발표했으며, 이후 한국시장에서 많이 사용되는 IoT 기기인 홈 가전에 맞춘 세부적인 보안 가이드인 ‘홈·가전 IoT 보안가이드’를 개발해 지난해 발표하면서 IoT 보안을 준비하고 있다. 또한, IoT 취약점에 대해 개별 사업자에게 개선 권고에 대한 실효성을 강화하기 위해 ‘소프트웨어산업 진흥법’ 일부개정법률안이 발의됐다.

우리나라의 IoT 보안 준비는 선진국들과 비슷하지만 다른 점이 있다. 국내 IoT 공통 보안 가이드를 살펴보면 다른 국가기관과 CSA, GSMA 단체의 가이드와 다른 특징적인 부분이 있다. 소프트웨어 보안과 로컬 보안에 대한 취약점을 사전에 예방하는 방법인 ‘시큐어 코딩’의 적용을 원칙으로 하고 있다는 점이다.

시큐어 코딩(Secure Coding)이란 안전한 소프트웨어 개발을 위해 소스 코드 등에 존재할 수 있는 잠재적인 보안 취약점을 제거하고, 보안을 고려하여 개발 과정에서 지켜야 할 일련의 보안 활동을 의미한다. 국내에서는 행정안전부에서 발간한 ‘시큐어 코딩 가이드’에서 협의적인 의미로 소프트웨어의 개발 과정 중 구현단계에서 보안 약점을 배제하기 위한 코딩 방법론으로 정의하고 있다. 국내에서는 IoT에서 잠재적인 보안 취약점에서 나타나는 보안 위협에 대한 위험성을 인지하고 소프트웨어 해킹 방지와 로컬 해킹 방지 2가지 형식에 모두 코딩을 적용하는 방법을 제시하고 있다.

미국 일본 유럽 등의 선진국들은 법안 발의와 IoT 보안 가이드만을 제시하고 있지만 국내의 경우 IoT 보안 가이드와 함께 안정성을 인증 받을 수 있는 ‘IoT 보안 인증제’를 도입, 시행한 것이다.

IoT 보안 인증 서비스는 ▲인증 ▲암호 ▲데이터보호 ▲플랫폼보호 ▲물리적보호 5개 영역에서 일정 보안 기준을 충족한 제품에 대해 인증서를 발급해주는 제도이다. 인증 서비스는 2개 등급으로 핵심 항목만 시험·인증을 받는 라이트(Lite) 등급, 글로벌 기준에 맞춘 종합 보안 시험을 통해 인증을 거치는 스탠다드(Standard) 등급이 있다. 인증 평가 항목은 초기 비밀번호 무작위 대입 공격으로 인한 IP카메라 사생활 정보 유출, 스니핑(sniffing)공격을 통한 중요정보 탈취 등 주요 해킹 위협에 대한 보안성을 강화하는 것이 평가 목록으로 구성됐다.

안정성을 인증받는 ‘IoT 보안 인증제’ 실효성은 아직

지난해부터 ‘IoT 보안 인증제’가 시행됐지만 완성도 있는 인증까지는 갈 길이 멀다. 먼저 시행되고 있는 인증제는 필수 인증이 아닌 민간 자율 인증제로 국내에서 IoT 인증을 받지 않아도 판매하는데 제지를 당하거나 불이익이 없어 인증에 대한 실효성이 부족하다.

라이트 등급과 스탠다드 등급 제품 품목 규정도 없다. 작은 소형기기는 라이트 등급, 홈 IoT 등 보안 기능이 많이 필요한 제품들을 스탠다드 등급으로 구분하고 있지만 권고사항일 뿐 강제성은 없다. KISA 이성재 IoT 융합보안혁신센터장은 “다양한 IoT 기기들은 각각 다른 기능을 가지고 있어 정확히 품목을 규정하기 어렵다”고 밝혔다.  .

시큐어 코딩에 대한 검증 방식의 신뢰성도 의심된다. 현재 ‘IoT 보안 인증제’의 시큐어 코딩 검사 방법은 소스코드 공개, KISA ‘정보보호 클러스터’에서의 테스트 진행, 자체결과보고서 제출 3가지 방법이 있다. 시큐어 코딩의 경우 국내 IoT 보안인증에 다른 선진국과 다른 특징적인 부분으로 정확한 검증이 진행돼야 한다. 그래서 3가지 방법을 혼합해 사용하는 것이 아닌 가장 신뢰성이 높은 검사방법을 권고가 아닌 규정할 필요가 있는 것이다.

KISA에서는 국가기관 중 IoT 보안 인증서비스를 시행하는 것은 한국이 유일하다고 설명했다. 한국이 IoT 인증제를 처음 시행한 만큼 실효성 있는 인증제도로 자리잡기 위해서는 현행 권고사항을 규제화, 인증평가 방식 등 아직 개선할 부분이 많다. 규제화를 통해 IoT 보안을 정착시키고 평가방식을 개선한다면, 한국의 IoT 인증제는 신뢰성 있는 인증서비스로 자리잡을 것으로 보인다.

IoT보안 인증제를 관리 시행하고 있는 KISA에서는 현재 시행되고 있는 인증제에 대해 어떻게 생각하고 있을까? 또한 어떤 방식으로 가야할지도 궁금하다. 본지는 이와 관련하여 IoT융합보안혁신센터 이성재 센터장을 만나 국내 IoT 보안 상황과 보안인식, ‘IoT 보안 인증제’에 대한 이야기를 들어보았다.

MINI INTERVIEW

이성재 KISA IoT 융합보안혁신센터장 

Q 우리나라 IoT 보안시장에 대한 규모는 어떻게 보고 있으며 성장성은 어느 정도 보고 있는가

국내 IoT 보안시장에 대해 발표된 통계조사 자료는 없다. 하지만 과학기술정보통신부가 발표한 이동통신 사물인터넷 가입회선수를 살펴보면 ’14년 346만회에서 ’17년 660만 회선으로 연 24%의 증가율을 보이는 등 급성장 추세이며, 전체 이통회선의 10%를 차지하고 있다. IoT 시장 비율과 보안 시장 비율은 정비례 하기 때문에 가입회선 수만큼 현재 국내 IoT 보안시장 규모도 그 정도라고 볼 수 있다.

또한, 가입 회선수를 매년 성장할 것이라고 전망되기 때문에 이를 기반으로 국내 IoT 보안 시장 성장성을 측정하면 2020년에는 국내 정보보호 시장 정도의 규모가 될 것이라고 예측되며, 최소한 20% 이상의 성장할 것으로 예상된다.

Q 글로벌에 비해 우리나라 기업들의 IoT 보안에 대한 인식은 어느정도 수준인가

국내 기업의 IoT에 대한 보안 인식 낮은 수준이었다. 하지만 미라이 사건이 이후 많이 향상되고 있는 추세라고 본다. 그러나 이 기준은 국내 대기업과 중견기업에 해당되는 것이며, 중소기업 은 아직도 보안 인식이 낮은 것으로 분석된다. 특히 국내 IoT 기업의 81%가 50인 미만의 중소기업으로 이들 기업들은 금전적 부담으로 인해 보안에 투자가 미흡하다. 이들에 대해 KISA는 보안수준을 높혀주기 위해서 제품 개발단계부터 보안 내재화 할 수 있도록 IoT 보안테스트베드를 무상으로 제공하고 있으며, 분야별 보안 가이드라인 배포 및 IoT 보안교육을 제공하고 있다.

Q IoT 보안 가이드 이후 KISA가 준비하는 것은 무엇인가

2016년 IoT 공통보안가이드 발표 이후 이를 기반으로 2017년부터 홈가전 IoT 보안가이드를 발표했다. 현재는 분야별로 가이드를 확대를 추진하고 있다. 향후 의료, 교통, 에너지, 재난, 환경 등 7대 IoT 분야에 대한 보안가이드를 개발해 제공할 예정이다.

또한, IoT 보안인증서비스가 작년 12월 런칭해 현재 다양한 IoT 제품을 대상으로 보안시험 하고 있다. 이외에도 IoT 제품의 보안취약점을 감소시키기 위한 노력으로 매년 IoT 제품의 보안취약점을 찾아 신고자에게 포상금을 지급하는 IoT 버그바운티 제도를 운영하고 있다.

Q ‘IoT 보안 인증제’의 신청현황과 인증획득 현황이 궁금하다.

의료, 홈 가전 관련 IoT 제조사들의 인증 문의가 계속 들어오고 있는 실정이다. 현재 몇 개 제조사의 제품이 인증신청을 받아 기기시험을 진행 중에 있다. 기업의 이름은 밝힐 수 없지만 빠른 시일 내에 인증을 통과한 첫 번째 인증기기가 탄생할 것으로 보인다.

Q 미국 일본 등 다양한 나라에서 IoT 인증을 활발하게 준비 하고 있는데, KISA는 다른 나라의  IoT 동향을 어떻게 보고 있는지

현재 다른 나라 IoT 보안 준비는 관련된 가이드를 배포하고 이를 권고하는 수준의 민간주도 자율정책을 추진하고 있다고 보고 있다. 미국의 경우 UL이라는 기관에서 전자제품 인증의 일환으로 UL-CAP인증을 운영하고 있으나 극히 제한된 보안인증 프로그램으로 국내 IoT보안인증제 처럼 IoT 기기에 대해 세부적으로 보안시험 및 인증을 수행하는 사례는 없는 것으로 알고 있다.

그러나 전세계 나라들이 IoT 인증제를 도입이 빠르게 진행되고 있는 것은 사실이다. 일본은 올해 IoT보안 인증제도를 도입하려고 추진 중인 것으로 알고 있으며 미국 또한 IoT 기기의 보안성 향상을 위한 정책을 검토 중인 것으로 알고 있다.

Q IoT 보안 인증제가 민간 자율로 시행되고 있는데 향후 법제화 될 가능성은 있는가

IoT 기업들의 부담을 최소화하기 위해 자율인증으로 도입된 제도임으로 법제화에 따른 규제가 IoT 기업들에게 큰 부담으로 작용될 수 있어 검토 수준일 뿐 계획은 없다.

Q IoT는 글로벌 국제 표준이 중요한데, KISA는국제 표준에 맞춰서 준비하는 것이 있는가

IoT보안인증 기준을 ITU-T에 표준화 안건으로 상정하기 위해 준비하고 있다. 또한, 5월에 한국에서 개최되는 한중일 CJK ITU-T 회의에 인증기준을 발표할 예정이며, 표준화 의제로 채택될 수 있도록 많은 준비를 하고 있다.