[이미지=iclickart]

▲IoT 보안인증 서비스[자료=KISA]

한편, KISA는 IoT 기기의 취약점을 해결하기 위해 2017년부터 ‘IoT 보안인증 서비스’ 제도를 운영하고 있다. IoT 기기와 연동 모바일앱의 보안수준을 시험해 인증서를 발급해주는 이 서비스는 Lite와 Basic, Standard 등 3단계 등급으로 운용되고 있다. 인증 수수료는 없으며, 기기의 사양에 따라 등급(Lite는 센서 등 소형기기, Basic은 저사양 OS를 탑재한 중소형 제품, Standard는 중대형 스마트 가전기기) 별로 인증을 받아야 한다. 

문제는 해당 제도가 시행된 지 1년 반이 지났음에도 지금까지 인증 받은 제품이 10개(9개 인증 대기 중)에 불과하다는 점이다. 이는 역시나 법적 제제사항이 아니어서 강제성이 없고, 인증서 발급에 따른 반대급부가 미흡하기 때문으로 분석된다. 

KISA 역시 이러한 문제점을 해결하기 위해 지난 6월 4일 KT와 ‘5G·융합ICT 사이버보안 강화를 위한 업무협약’을 맺고 IoT 보안내재화 확산을 위한 공동협력을 하기로 약속했다. 특히, KT는 IoT 보안인증 서비스를 활용해 IoT 서비스 보안을 강화하기로 했으며, KISA는 서울시, SH, LH공사 등과도 협약을 준비 중이다. 아울러 이통 3사와 IoT 기기 제조사 등 유관업체를 대상으로 관련 서비스를 홍보하는 한편, 대국민 보안인식 제고 홍보활동도 강화하겠다고 강조했다. 

또한, 기업들이 직접 IoT 제품과 서비스의 보안수준을 자체 검증 및 보완할 수 있는 IoT 보안테스트베드를 판교에 운영하고 있으며, 스마트홈과 스마트자동차, 스마트공장 등 산업별로 IoT 서비스 테스트 환경도 구축했다. 특히, Standard 등급은 향후 국외 인증과의 상호인정 가능성을 고려해 국제적으로 요구되는 수준의 보안항목으로 구성한 만큼 해외 IoT 보안인증과의 상호협력도 적극 추진하겠다고 밝혔다. 

다만 KISA가 기업들의 부담을 우려해 의무화보다는 활성화에 초점을 맞추고 있어 급속한 확대는 어려워 보이는 만큼 일본처럼 한시적으로라도 IoT 기기 보안점검을 위한 법적 장치를 마련하거나 IoT 보안인증 서비스를 활성화할 수 있는 실질적 인센티브 부여 등의 방안이 시급하다는 지적이다. 
[원병철 기자(boanone@boannews.com)]

[출처: 보안뉴스(https://www.boannews.com), https://www.boannews.com/media/view.asp?idx=80212​]