세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사
스마트시티 기반 IoT 보안, 인증제로 대비하라
  |  입력 : 2018-11-04 21:52
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
국내 IoT 시장 기하급수적 성장세
IoT 보안 시장 규모도 덩달아 증가
IoT 보안 자율 인증 서비스, 현재 시행중


[보안뉴스 김성미 기자] 스마트시티 구축이 가속화되면서 IP 카메라 등 사물인터넷(IoT) 기기 해킹에 대한 우려도 날로 커지고 있다.

지난 1일 경찰청 사이버수사과(사이버성폭력수사팀)는 국내 반려동물 사이트를 해킹해 1만 5,000여명의 회원들의 IP 카메라 정보를 포함한 개인정보를 유출해 다시 이 중 264대의 IP카메라에 무단 접속, 사생활을 엿보거나 불법 촬영한 피의자 1명 불구속 검거했다. 또한, 인터넷 검색으로 입수한 IP 카메라 리스트와 해킹 프로그램을 통해 보안에 취약한 IP 카메라에 무단 접속하는 방법으로 4,648대의 IP카메라에 무단 접속해 사생활을 엿보거나 불법촬영한 피의자 9명도 불구속 검거했다고 밝혔다.

[이미지=iclickart]


IoT 기기 증대에 따라 늘어난 해킹 위협
이 같은 IoT 기기에 대한 해킹 위협이 늘어나면서 과학기술정보통신부와 한국인터넷진흥원(KISA)이 지난 연말 런칭해 1년여를 맞이한 ‘IoT 보안 인증 서비스’가 다시금 주목받고 있다. 이 서비스는 국내외 IoT 시장의 기하급수적 성장에 따라 늘어난 IoT 보안 수요에 맞춰 마련된 것으로 올해 1월 1일부터 무료로 제공되고 있다.

현대경제연구소에 따르면, 세계 IoT 시장 규모는 2015년 약 3,000억 달러에서 2020년 1조 달러로 28.8% 성장할 전망이다. 같은 기간 국내 IoT 시장 규모는 3조 3,000억원에서 17조 1,000억원으로 연평균 38.5% 성장할 것을 예상되고 있다.

이와 함께 전 세계 IoT 보안 시장도 23.7%의 연평균 성장률을 보이고 있으며 2020년 이후에는 더욱 빠른 속도로 확대될 것으로 보인다. IoT 사이버 공격에 따른 피해액도 함께 많이 증가할 것으로 예상되기 때문이다. KT경제경영연구소는 IoT 사이버 공격에 따른 피해액이 2015년 13조 4,000억원에서 2020년 17조 7,000억원, 2030년 26조 7,000억원에 달할 것으로 예측했다.

KISA의 IoT 보안 인증 서비스는 ‘무엇’
KISA의 IoT 보안 인증은 기존의 사이버 환경과는 달리 스마트시티의 주축을 이루는 IoT 환경은 보호 대상과 주체, 방법에 있어 새로운 정보보호 패러다임으로 접근할 필요가 생겨 새로 마련된 자율 인증이다. 기존의 정보통신기술(ICT) 환경은 시스템을 구축한 뒤 보안 조치를 하는 형식이었지만 IoT 시대를 맞이하면서 설계부터 보안을 내재화하자는 요구가 늘고 있다.

사후 접목에는 고비용이 들기 때문이다. 이에 따라 KISA는 IoT 기기 제조사가 지켜야 할 여러 가지 보안 사항을 만족하는지를 평가해 IoT 보안 내재화를 도모하고 있다. 또한, 41개 IoT 보안 인증 기준을 마련해 기기 제조사가 안전한 사용 환경을 구축하도록 하고 있다. 최근 KC 인증에서 IP 카메라의 초기 비밀번호 변경 사항 항목을 추가한 데서 나아간 보다 엄격한 IoT 보안 기준이다.

KISA는 IoT 기기 제조사가 △소프트웨어 개발할 때부터 시큐어코딩을 적용해 보안 취약점을 최소화하고 △이용자들이 제품을 설치할 때 강제로 초기 비밀번호를 변경할 수 있도록 하는 등의 노력을 기울여야 하며 △전송되거나 저장되는 중요 정보는 암호화하고 △안전한 업데이트 기능을 제공하도록 하고 있다. 이는 대부분의 IoT 기기 이용자가 보안 패치를 위해 스스로 업데이트하지 않는 것을 고려한 조치다.

KISA는 IoT 보안 인증 서비스를 마련하기 위해 2015년 1단계로 IoT 공동 보안 원칙을 세웠고, 2016년에는 2단계로 IoT 공통 보안 가이드를 만들었다. 2017년은 3단계로 5대 분야에 대한 IoT 분야별 보안 가이드를 마련했다. 올해는 연말까지 환경과 재난 등 2대 분야를 추가해 7대 IoT 분야별 보안 가이드를 수립해 제공할 예정이다. 앞서 마련한 5대 분야는 홈·가전, 에너지, 스마트카, 스마트 팩토리, 스마트 의료 등이다.

이밖에도 KISA는 판교 클러스터에서 개발자를 대상으로 상시 전문교육과 일반인을 대상으로 한 기초 교육을 진행하고 있고, 7개 IoT 분야에 대한 테스트베드를 구축해 IoT 제조사들이 취약점 분석과 개선 조치를 할 수 있도록 조치하고 있다. 이밖에 대학원과 연구소 직원을 대상으로 분야별 IoT 보안 연구 활동도 지원한다.

IoT 보안 인증 서비스 평가방식·소요기간
KISA의 IoT 보안 인증 서비스 평가방식은 2가지로 라이트(Lite)와 스탠다드(Standard)로 나뉜다. 라이트는 수준 높은 기기가 아니더라도 기본적으로 갖춰야할 보안 요건에 대해 정의한 것이고, 스탠다드는 국제적 요구에 부합하는 가이드와 표준 등을 총 망라해 개발한 기준이다. 해외 진출을 꾀하는 IoT 제조사라면 스탠다드 등급을 받는 것이 유리하다.

실제로 KISA의 IoT 보안 인증 서비스를 받은 기업중 삼성전자(공기청정기)는 스탠다드 등급을 획득하기 위해 준비하고 있으며, 비전하이텍(적외선 돔형 IP 카메라) 등 5개사는 라이트 등급을 준비하고 있다. 실제로 IoT 보안 인증을 획득한 기업은 엠투클라우드(IoT 센서 노드)가 라이트 인증을 획득한 것이 유일하며, 삼성전자를 비롯한 다른 5개 기업은 시험 중이거나 개선 조치를 진행하고 있다.

KISA는 이 인증을 획득한 업체에 한해 자사 제품의 보안 수준을 마케팅이나 홍보 등에 활용할 수 있게 하고 있으며, 다나와에서도 KISA IoT 보안 인증으로 검색될 수 있도록 협럭하고 있다. 평가에는 라이트 등급이 3주, 스탠다드 등급에는 5주가 소요된다.

현재까지 누적된 IoT 보안 인증 서비스를 신청한 건수는 모두 6건이다. 해외 인증기관인 UL(Underwriters Laboratories Inc)이나 ICSA가 2016년부터 3년간 IoT 보안 인증 서비스를 제공한 누적 서비스 신청이 각각 11건과 3건에 이르는 것과 비교하면 적은 신청 수치는 아니지만 KISA는 IoT 보안 인증 서비스를 활성화하는 전략을 IoT 기기를 필요로 하는 기관과의 전략적 업무협약(MoU)를 체결해 IoT 보안 인증을 받은 제품을 활용할 것을 권장하고 있다. 이미 부산 에코델타시티, 서울시, KT 등과 MOU를 체결한 상태로, 서울시 시범사업에 도입되는 IoT 제품 15건에 대한 서비스 추가 신청이 예상되고 있다.

그러나 사용자는 KISA IoT 보안 인증을 획득한 기기를 선택했다고 해서 모든 IoT 보안을 커버하는 것은 아니란 것을 기억해야 한다. IoT 기기외에도 스마트시티를 구성하는 모든 시스템의 보안이 강화돼야 하기 때문이다. 박창열 KISA IoT융합보안팀장은 “이 인증은 해당 IoT 기기에 대한 것일 뿐 IoT 전용망에 대한 보안 수준과 IoT 기기를 제어하고 데이터를 수집·분석하는 서버 시스템 등에서도 보안 강화가 필요하다”고 강조했다.
[김성미 기자(sw@infothe.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 배너 시작 18년9월12일위즈디엔에스 2018WD 파워비즈 2017-0305 시작파워비즈배너 시작 11월6일 20181105-20200131
설문조사
국내 정보보호 분야 주요 사건·이슈 가운데 정보보호산업에 가장 큰 영향을 미친 것은 무엇이라고 생각하시나요?
2001년 정보보호 규정 포함된 정보통신망법 개정
2003년 1.25 인터넷 대란
2009년 7.7 디도스 대란
2011년 개인정보보호법 제정
2013년 3.20 및 6.25 사이버테러
2014년 카드3사 개인정보 유출사고
2014년 한수원 해킹 사건
2017년 블록체인/암호화폐의 등장
기타(댓글로)