“우리집 로봇청소기 불안한데”…KISA, 출시부터 사후관리까지 IoT 보안인증 강화

정부가 국민이 로봇청소기·월패드 등 사물인터넷(IoT) 제품을 안심하고 쓸 수 있도록 IoT 보안 인증 제도를 도입한 데 이어 인증받은 제품 관리를 강화한다. 출시 전 제품 보안성 검증에서 나아가 출시 이후 발견한 취약점 공개 등 사후관리를 통해 인증 제도를 고도화하겠다는 취지다.

29일 한국인터넷진흥원(KISA)에 따르면, KISA는 IoT 제품 출시부터 사후관리까지 단계별 보안과 개인정보 처리 흐름 등 제품 생명주기 전체로 IoT 인증 정책을 강화할 계획이다.

IoT 보안 인증은 IoT 제품의 보안 성능을 검증하는 제도로, 2017년 12월 자율 시행한 이후 법적 근거를 마련해 2022년 1월 법적 인증제도로 본격 시행했다.

인증은 보안 수준에 따라 라이트, 베이직, 스탠다드 등 세 가지 유형으로 나뉜다. 라이트는 단순 해킹공격에 대응할 수 있는 필수 보안조치를, 베이직은 중요 정보의 불법적인 접근을 차단하고 노출방지에 대응할 수 있는 일반적인 보안조치를 갖춘 수준이다. 최고 등급인 스탠다드는 고도의 해킹공격에 대응할 수 있고 국제적인 요구사항을 포함한 종합적 보안조치를 보유한 제품에 발급한다. KISA는 개인정보를 다루는 IoT 기기는 베이직 이상의 등급을 받도록 하고 있다.

KISA는 그간 IoT 제품 설계 단계에 집중했다면 앞으론 사후관리 등 제품 전 생애 주기에서 보안을 강화할 수 있도록 제도를 운영할 방침이다. 또 기업이 취약점 공개 정책(VDP)을 준비할 수 있도록 가이드라인 등을 통해 지원한다. 기업이 IoT 보안 인증 신청 시 개인정보 처리 흐름의 식별·인지가 가능하도록 명세서를 세분화할 예정이다.

최윤선 KISA 디지털제품인증팀장은 “최근에 보안 사고가 잇따라 발생하고 있어 사후관리 중요성을 인지하고 있다”며 “취약점이 발생한 제품 분야의 인증 제품에 대한 샘플링 점검 등 사후관리를 강화하겠다”고 말했다.

KISA는 국내 인증제품의 해외 진출을 지원하기 위해 국제 연대도 추진하고 있다.

최윤선 팀장은 “IoT 보안 인증과 라벨 제도를 운영하는 국가들로 구성된 글로벌 협의체(Global Cybersecurity Labeling Initiative)를 구축하고 협력에 나섰다”며 “유럽·미국 등 글로벌 최신 기준과 인증 기준을 국내 인증제도에 반영해 조화를 이루도록 하는 게 최종 목표”라고 말했다.

그러면서 “지난해 10월 싱가포르와 상호인정약정(MRA)을 체결했다”며 “한국 IoT 보안 인증의 베이직 등급을 받은 제품은 싱가포르 제도의 레벨3 인증을 받을 수 있다”고 덧붙였다.

기업 부담을 덜어주기 위한 노력도 병행한다. 파생모델 제도가 대표적이다. 인증받은 제품이 보안에 영향이 없이 제품을 변경한 경우 수수료 면제하거나 필수 시험만 진행해 최소 금액(약 140만원)만 부과한다. 또 중소기업을 대상으로 수수료 80%를 지원하고 있다.

IoT 보안 인증제 활성화는 남은 숙제다. IoT 보안 인증이 소비자의 선택 기준으로 자리매김해야 제도 역시 활성화될 수 있을 것으로 보인다.

최 팀장은 “기업이 IoT보안인증을 받기 위해 50개 세부 기준에 대해 꼼꼼하게 고민하고 제품을 개선하면서 보안성 향상된다”며 “인증 제품의 안전성을 지속적으로 유지하기 위해 사후관리 정책을 마련하고 기업도 따라올 수 있도록 지원할 계획”이라고 말했다.

조재학 기자 2jh@etnews.com