사물인터넷(IoT) 기기 제조사가 설계에서부터 개발 단계까지 보안 취약점을 제거하는 '보안 내재화'를 해야 한다는 주장 제기됐다. 지금까지는 제품 출시 후 보안 소프트웨어를 활용했지만, 보안 내재화는 제조단계에서 보안성을 확보한 제품을 생산하도록 하는 것이다.
박창열 한국인터넷진흥원 IoT혁신센터 IoT보안기술팀 팀장은 4일 "사물인터넷 시장이 급격히 성장하고 있어, 별도의 시스템을 구축했던 기존 패러다임에서 기기별로 내재화로의 변화가 필요하다"며 이 같이 밝혔다.
기존 보안 관리 방식은 개인용컴퓨터(PC)와 스마트폰 등만 관리하면 되기 때문에 비교적 보안 관리가 단순했다. 하지만 사물인터넷이 활성화 되면 다양한 제품의 보안 관리를 효과적으로 하기 어렵다는 게 박 팀장의 생각이다.
이 때문에 사물인터넷 기기 제조사들이 일정한 수준의 보안을 유지할 수 있도록 한국인터넷진흥원이 인증 서비스를 제공하고 있다.
박 팀장은 "사물인터넷 보안인증은 필수 제도는 아니라, 기업이 자율적으로 인증 여부를 판단할 수 있다"며 "다만 키사 보안 인증을 받은 것을 마케팅이나 기술력을 홍보하는 데 활용할 수 있어 참여를 유도할 수 있다"고 강조했다.
KISA 인증 IoT 제품이라는 홀로그램을 부착하면 사용자들에게 신뢰를 줄 수 있다는 것이다.
KISA는 공공기관들과 부산 에코델타시티(스마트시티)가 사물인터넷 기기를 도입할 때 KISA 인증 제품을 사용하도록 MOU도 추진했다.
박 팀장은 기업이 KISA 인증을 의무적으로 도입하도록 강제하는 것은 어려움이 있다고 했다.
그는 "IoT인증은 영세한 기업들 지원하기 위해 나온 것"이라며 "의무화하는 것은 논의가 필요한 상황"이라고 말했다.
보안 내재화를 위해 기기 제조사는 △기기 설계부터 보안을 적용한 개발 △알려진 보안 취약점 제거 △안전한 비밀번호 사용 기능 제공 △전송 및 저장데이터 보호 △안전한 업데이트 제공 등을 고려해야 한다.
사물인터넷을 안전하게 사용하기 위해선 사용자들도 지켜야할 수칙이 있다. 비밀번호 생성시 특수문자와 영문, 숫자 조합을 하고, 주기적으로 변경해야 하며, 사용 기기의 펌웨어(기기 소프트웨어)를 최신 상태로 유지해야 한다.
박 팀장은 "사물인터넷 사용량이 비약적으로 늘어날 것으로 보고 있어 보안에도 신경을 써야 한다"며 "KISA에 인증을 통해 안정성을 지원할 것"이라고 말했다.