인터넷에 연결된 사물인터넷(IoT) 기기들이 해킹 등 보안 위협에 노출되고 있지만 이를 막을 제도는 제 기능을 못한 채 ‘낮잠’을 자고 있다는 지적이다.

6일 한국인터넷진흥원(KISA)에 따르면 KISA가 2017년 12월부터 운영하고 있는 ‘IoT 보안인증 서비스’를 통해 보안 성능을 검증 받은 제품은 고작 10개에 불과한 것으로 나타났다. IoT 보안인증 서비스는 IoT 제품이 적합한 수준의 보안을 갖췄는지 KISA가 직접 시험한 뒤 기준을 충족하면 인증서를 발급해 주는 서비스다.

KISA는 판교 정보보호클러스터에 인증에 필요한 요구사항을 사전에 시험하거나 보완할 수 있는 시설을 기업들에게 개방하는 한편 인증서도 무료로 발급해주고 있다. 하지만 국내 IoT 사업체가 2200여개사에 달하는 것을 감안하면 인증서비스 이용률은 극히 저조한 수준이다.

현재 보안인증을 받은 IoT기기는 센서 등 소형기기를 대상으로 최소한의 조치 항목만 검사하는 ‘라이트’ 등급 2개와 저사양 운영체제(OS)를 탑재한 중소형 제품을 대상으로 실시하는 ‘베이직’ 등급 8개가 전부다. 스마트TV, 스마트냉장고 등 중대형 가전·기기를 대상으로 국제적인 보안 수준을 충족하는 ‘스탠다드’ 등급의 인증을 받은 제품은 단 한 개도 없다.

인증서비스 이용률이 저조한 이유는 인지도가 낮은 것도 있지만 IoT 기기 제조사들이 ‘불편하다’며 기피하기 때문이다. 일례로 인증 기준에 따라 가정에서 많이 사용하는 인터넷 공유기·IP카메라의 비밀번호를 12자리로 늘리거나, 초기 비밀번호를 바꿔야만 작동하도록 제품을 만들면 이용자 항의가 폭증한다는 것이다.

이렇듯 제조사와 사용자들의 IoT 보안에 대한 인식이 낮아 우려의 목소리가 나온다. 실제로 지난해 11월 국내에서 반려동물용 IP카메라를 해킹해 사생활을 불법촬영하다 붙잡힌 일당이 엿본 카메라는 4648대에 달했다. 대부분 초기 설정된 비밀번호를 바꾸지 않는 등 기본적인 보안을 지키지 못해 피해를 입은 사례다.

이에 정부는 지난 1월 국가통합인증마크(KC인증) 규정을 통해 IP카메라 비밀번호를 반드시 설정하도록 의무화했다. 그러나 올 연말까지 약 800만대가 가정에 보급될 것으로 예상되는 AI스피커 등 다른 IoT 기기에 대해선 여전히 속수무책이다. KISA에 따르면 IoT 보안 취약점 신고 및 조치건수는 지난 2015년 130건에서 2018년 962건으로 7배 이상 늘었다.

2016년 발생한 ‘미라이 봇넷’과 같이 IoT기기 해킹을 통한 초대형 디도스 공격의 위협도 그대로다. 특히 앞으로 자율주행차, 스마트팩토리, 스마트시티 등 IoT 기술을 근간으로 이뤄진 융합산업이 확산하면 이런 사이버 공격이 생명을 위협하는 물리적 피해로 이어질 위험도 있다.

정부는 자칫 규제로 비춰질 수 있는 만큼 IoT 보안인증을 의무화하는 방안에 대해선 부정적인 입장이다. 대신 보안인증을 받은 제품은 공공입찰에서 가점을 주는 등의 유인책을 마련할 방침이다. 또 통신사, 지자체, LH, SH 등 IoT 활용이 많은 기업·기관과 협약을 맺고 되도록 인증 받은 제품을 사용하도록 유도할 계획이다.

신대규 KISA 융합보안단장은 “IoT 기기를 해킹해 테라바이트(TB)급의 디도스 공격을 감행하면 현재 어떤 대피소도 막기 어렵다”며 “IoT 보안 위협이 심각해져 사회적 문제가 되면 의무화를 고려해 볼 수 있을 것”이라고 말했다.

김성서 다른기사 보기