'IoT 보안인증제' 과연 실효성 있는 정책으로 자리잡을까?
상태바
'IoT 보안인증제' 과연 실효성 있는 정책으로 자리잡을까?
  • 이승윤 기자
  • 승인 2017.12.29 10:01
  • 댓글 0
이 기사를 공유합니다

한국인터넷진흥원, 12월 28일부터 IoT 보안 인증제 정식 시행

[CCTV뉴스=이승윤 기자] IoT(internet of Things)는 사람과 사물 간을 서로 연결해 초연결 사회를 구축하고 사용자 중심의 지능형 서비스를 제공하기 위한 기술로, 4차산업의 새로운 성장 동력으로 주목받고 있다. 글로벌 시장조사 기관 가트너(Gartner)에 따르면 “2020년까지 IoT로 창출되는 부가가치는 약 1조 9000억 달러가 예상된다”고 예상했으며, IBM은 “2020년까지 네트워크 연결되는 사물들은 500억 개 이상이 될 것이다.”고 전망했다. 이미 국내에도 KT의 기가 IoT 홈캠, SKT 스마트 방범안전창 원가드, 스마트 에너지미터 등 다양한 IoT 제품들이 출시됐다.

IoT 성장에 따라 보안 위협도 함께 증가하고 있다. 2016년 대규모 공격으로 미국 동부지역을 마비시켰던 미라이 봇넷(Mirai Botnet)이 관리자 계정이 취약한 IoT 단말기를 공격해 악성코드를 전파한 바 있으며 유사한 시도가 계속될 것으로 예상된다. 또한, 스마트카와 드론 등 새로운 스마트기기에 대한 위험도 감지되고 있다.

IoT 보안위협이 증가하면서 이를 사전에 예방하고 피해를 최소화하기 위한 보안인증에 대한 관심이 높아지고 있다.일본, 국제이동통신 사업자 협회(GSMA), 국제 웹 보안표준 단체(OWASP), 국제 클라우드 보안 협의체(CSA) 등 다양한 국가와 단체에서 IoT 보안인증 가이드를 개발하고 있으며, 한국은 2016년 9월 IoT 공통 보안 가이드를 발표하고 2017년 12월 28일부터 IoT 보안인증제를 정식 시행했다. 그러나 IoT 제품 품목 규정이 없으며, 보안 인증에 대한 규제나 별도의 제제조치가 없어 실효성이 의심된다.

●설계 단계부터 정확한 보안을 목표로 하는 한국 IoT 보안인증

한국인터넷진흥원(이하 KISA)에서 발표한 IoT 공통 보안 가이드를 살펴보면 제조부터 출시까지 전 과정에 보안인증 심사가 들어가 있다. KISA가 제시한 IoT 제품에 대한 원칙은 다음과 같다. ▲정보보호와 프라이버시 강화를 고려한 IoT 제품·서비스 설계 ▲안전한 소프트웨어와 하드웨어 개발기술 적용과 검증 ▲안전한 초기 보안설정 방안 제공 ▲안전한 설치를 위한 보안 프로토콜 준수와 안전한 파라미터 설정 ▲IoT 제품·서비스 취약점 패치와 업데이트 지속 이행 ▲안전운영 관리를 위한 정보보호와 프라이버시 관리체계 마련 ▲IoT 침해사고 대응체계와 책임 추적성 확보 방안 마련이다.

특히 국내 IoT 공통 보안 가이드에는 CSA, GSMA 단체의 가이드와 다른 특징적인 부분이 있다. 소프트웨어 보안과 로컬 보안에 대한 취약점을 사전에 예방하는 방법인 ‘시큐어 코딩’의 적용을 원칙으로 하고 있다는 점이다. 시큐어 코딩(Secure Coding)이란 안전한 소프트웨어 개발을 위해 소스 코드 등에 존재할 수 있는 잠재적인 보안 취약점을 제거하고, 보안을 고려하여 개발 과정에서 지켜야 할 일련의 보안 활동을 의미한다. 국내에서는 행정안전부에서 발간한 ‘시큐어 코딩 가이드’에서 협의적인 의미로 소프트웨어의 개발 과정 중 구현단계에서 보안 약점을 배제하기 위한 코딩 방법론으로 정의하고 있다. IoT 공통 보안 가이드에서도 시큐어 코딩의 중요성을 대해 인지하고 소프트웨어 해킹 방지와 로컬 해킹 방지 2가지 형식에 모두 코딩을 적용하는 방법을 제시하고 있다.

전체 기사를 보시려면 로그인 필요

로그인 또는 회원가입을 해주세요. (회원만 열람가능)

로그인 회원가입


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
0 / 400
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.