주요 국가가 글로벌 사물인터넷(IoT) 경쟁에서 주도권을 확보하기 위해 IoT 보안을 강화하고 있어 국내 중견·중소기업이 대응해야 한다는 주장이 제기됐다. 자칫 국내 기업이 IoT 제품 수출에 차질을 빚을 수 있다는 판단이다.
한국전자정보통신산업진흥회(KEA)는 27일 'IoT제품 보안·인증 세미나'를 개최, 국내 중견·중소기업의 IoT 제품 보안 강화 방안을 공유했다.
스마트폰 뿐만 아니라 인공지능(AI) 가전 보급이 확산되며 가정 내 모든 기기를 IoT로 연결하는 스마트홈 구현이 빨라지고 있다. 이에 영국, 미국, 일본 등 주요 국가들은 IoT 보안 기준을 강화하고 있다.
미국은 IoT 제품의 '사이버보안 라벨링 프로그램'을 연내 시행할 계획이다.
프로그램은 QR코드를 이용해 소비자에게 스마트 제품에 대한 구체 보안 등급과 사후관리 정보를 제공하는 것이 골자다. 특히 소프트웨어 업데이트 기능 탑재를 필수로 제시해 제조사에 사후관리 역량을 높이도록 했다. 소비자 보안 의식을 높이기 위해 라벨링 받은 IoT 제품 구매를 장려한다.
나아가 미국 국무부는 사이버 라벨링 프로그램 확산과 동맹국·파트너사 참여 유도를 지원하는 방안도 추진하고 있다.
유럽연합(EU)은 'prEN 18031-1' 규정을 준비하고 있다. 기존에는 ETSI EN 303 645 IoT 사이버보안 시험을 거치도록 규정했다. 당초 8월 1일 강제 시행 예정이었으나 내년 8월 1일로 연기됐다.
영국은 EU보다 빠르게 IoT 사이버보안에 대응하고 있다. 제품 보안을 위한 최소 기준을 담은 제품 보안과 통신 인프라법(PSTI)을 2022년 12월 발표했다. 이어 올해 4월 29일부터 PSTI에 명시된 IoT 사이버보안 의무화를 시행했다. 스마트TV, IP 카메라, 라우터, 스마트 조명, 가정용 제품 등 소비자용 커넥티드 제품이 주로 해당한다.
우리나라는 IoT 보안인증에 대한 시험인증 기준을 마련해 시행하고 있으나 아직 강제화하진 않았다. 일부 지자체나 공공기관 등 수요처가 도입 목적에 따라 IoT 보안 인증서를 요구하는 정도다. 아파트용 월패드 등 일부 제품 중심으로 IoT 보안 인증을 취득한 사례가 대부분이다.
정원석 한국기계전기전자시험연구원(KTC) 소프트웨어융합센터장은 “보안인증 기준 충족까지 고려한 IoT 제품을 개발하는 기업 문화 확산이 필요하다”며 “아직 국내에서는 IoT 보안 인증이 강제화되지 않았지만 보안 리스크가 상존하는 만큼 대비해야 한다”고 강조했다.
조영민 지엔 대표는 “IoT 보안 기준을 충족하려면 전문성 높은 펌웨어 보안 전문가가 필요하지만 실제로는 1명당 감당해야 할 IoT 기기수가 6680대 수준으로 전문가가 크게 부족하다”고 진단했다. 또 보안 자동화 솔루션으로 부족한 전문인력 문제를 보완하는 솔루션을 제안했다.
한편, KEA는 다음달 중 IoT 제품 보안취약점 분석 서비스 지원 기업을 선정한다.
배옥진 기자 withok@etnews.com
