SECURITY NEWS
[보안뉴스] 국내 IoT 기기 보안 강화, 아직 지지부진한 이유 | ||
---|---|---|
|
||
2018년 12월 송희경 의원의 쇼단 지적 이후 6개월...큰 변화 없어
IoT 기기 취약점 점검 시스템, IoT 보안인증 서비스 등 해결책...법적 문제로 활성화 어려워 [보안뉴스 원병철 기자] 4차 산업혁명과 함께 다양한 산업에 IoT 기기가 접목되면서 이제는 우리 생활 속에서도 쉽게 찾아볼 수 있지만 아직까지 보안문제는 제대로 해결하지 못해 생활안전을 위협하고 있다. 특히, 지난 2018년 10월 송희경 의원이 국회에서 어둠의 구글이라 불리는 ‘쇼단(Shodan.io)’을 언급하며 정부의 IoT 기기 관리를 지적했지만, 마련된 대책 역시 법적 강제성이 없어 큰 성과를 거두지 못한 것으로 알려졌다. [이미지=iclickart] 민간분야 정보보호를 담당하는 한국인터넷진흥원(KISA)은 2018년 12월 한국형 쇼단이라 불리는 ‘IoT기기 취약점 점검 시스템’을 구축하고 2019년부터 본격적으로 운용하고 있다. 특히, 이 시스템은 랜덤으로 조사하는 쇼단과 달리 사전에 동의를 받은 기업과 개인사용자 IPv4를 스캔하며, 외부망 접속기기는 물론 내부망 접속기기까지 모두 스캔할 수 있다. 아울러 신규 취약점 발견시 커스터마이징이 가능한 것도 특징이다. 문제는 정보통신망법 48조(정보통신망 침해행위 등의 금지)에 의거해 동의없는 취약점 스캔이 불가능하다는 것. 이 때문에 점검 대상이 사전에 동의를 해야만 점검이 가능하다. KISA 역시 이를 개선하기 위해 노력하고 있지만, 아직까지 진전이 더딘 상태다. 가까운 일본의 경우 IoT 취약점 점검을 목적으로 기기 접근을 한시적(5년)으로 허용하는 법을 2018년 11월 시행했다. 국립 연구개발법인 정보통신연구기구(NICT) 법은 인터넷상에 연결된 모든 일본 내 IoT 기기(약 2억개 추정)를 대상으로 하며, 알려진 패스워드 입력 등을 통해 보안에 취약한 IoT 기기를 탐지한 후 이를 ISP(Internet Service Provider)가 통보하는 식으로 운영한다. ▲IoT 보안인증 서비스[자료=KISA] 한편, KISA는 IoT 기기의 취약점을 해결하기 위해 2017년부터 ‘IoT 보안인증 서비스’ 제도를 운영하고 있다. IoT 기기와 연동 모바일앱의 보안수준을 시험해 인증서를 발급해주는 이 서비스는 Lite와 Basic, Standard 등 3단계 등급으로 운용되고 있다. 인증 수수료는 없으며, 기기의 사양에 따라 등급(Lite는 센서 등 소형기기, Basic은 저사양 OS를 탑재한 중소형 제품, Standard는 중대형 스마트 가전기기) 별로 인증을 받아야 한다.
[출처: 보안뉴스(https://www.boannews.com), https://www.boannews.com/media/view.asp?idx=80212] |
||
이전글 | [보안뉴스] 새 리눅스용 멀웨어 히든와습, 현존 백신 탐지율 0% | |
다음글 | [보안뉴스] IT 분야 종사자들이 지금부터 공부해야 하는 것들 |