Home > 전체기사
美 캘리포니아주, 커넥티드 디바이스 ‘보안’ 기능 탑재 필수화
  |  입력 : 2019-05-15 11:15
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
IoT 보안법 2020년 1월 1일부터 발효… 인터넷 연결 가능한 모든 기기 해당

[보안뉴스 김성미 기자] 지난해 8월 미국 캘리포니아주에 등장한 ‘사물인터넷(IoT) 보안법(정식 명칭 SB 327)’이 2020년 1월부터 발효돼 향후 인터넷 연결이 가능한 모든 기기는 보안 기능을 필수로 탑재해야한다. SB 327은 커넥티드 디바이스 생산 기업이 해당 기기에 합당한 ‘보안’ 기능을 반드시 탑재하도록 규제하는 법이다.

이 법안은 최초 발의 이후 상·하원 의회의 투표를 거쳐 2018년 9월 중순에 최종 통과됐다. 같은 달 28일 제리 브라운 전 주지사가 법안에 최종 서명함으로써 2020년 1월 1일부로 효력을 갖게 됐다. 이로써 캘리포니아주는 미국의 모든 주를 통틀어 일상에서 사용되는 인터넷 연결 기기들에 사이버 보안 기능 탑재를 법적으로 필수화한 최초의 주가 됐다.

[이미지=iclickart]


SB 327에서 가리키는 용어들을 먼저 살펴보면, ‘커넥티드 디바이스’는 인터넷에 직·간접적으로 연결할 수 있어 IP 주소 혹은 블루투스 주소가 부여되는 모든 장치 및 물체를 뜻한다. 스마트폰와 스마트 스피커, 스마트 디스플레이 등의 통신과 스마트 제품에서부터 페이스메이커 와 같은 각종 개인용 의료기기까지 인터넷에 연결할 수 있는 장치라면 모두 포함된다.

‘생산자’는 캘리포니아에서 판매되는 커넥티드 디바이스를 생산하거나 계약을 통해 타인에게 생산을 의뢰하는 모든 사람 혹은 주체를 의미하며, 생산이 아닌 구매나 브랜딩만을 위한 계약은 포함하지 않는다. 보안 기능은 해당 기기를 위해 디자인된 보안(Security) 기능을 말한다. ‘인증’은 사용자·프로세스·기기 등의 주체가 특정 정보 시스템의 데이터에 접근하기 위한 권한을 확인하는 수단이다. 비인가 접근과 파괴, 사용, 변경 혹은 공개는 ‘소비자’에 의한 것을 뜻한다.

SB 327의 주요 내용
SB 327은 위에서 정의한 커넥티드 디바이스의 생산자는 해당 기기 생산 시 반드시 ‘합당한 보안 기능’ 혹은 아래의 3가지 조건을 모두 만족하는 기능을 탑재하도록 규정하고 있다. ①해당 기기의 본질과 역할에 적절한 기능 ②해당 기기가 수집, 포함, 전송하는 정보에 알맞은 기능 ③인가되지 않은 접근, 파괴, 사용, 변경 혹은 공개로부터 해당 기기와 해당 기기에 포함된 모든 정보를 보호하기 위해 디자인된 기능 등이다.

▲‘커넥티드 디바이스’의 예 (왼쪽부터) 스마트 스피커, 페이스메이커, 원격 환자 모니터(자료 : 구글 스토어, 픽사베이)


근거리 통신망 외부로부터의 인증이 가능한 기기는 2가지 조건 중 하나를 만족한다면 합당한 보안 기능을 갖춘 것으로 간주한다. ①생산된 각각의 기기별로 고유한(Unique) 사전 프로그램된 암호가 있는 경우와 ②해당 기기에의 최초 접근이 승인되기 전, 사용자에게 새로운 인증 수단을 생성하도록 요구하는 보안 기능이 포함된 경우다.

이 법안은 사용자가 본인의 재량에 따라 소프트웨어·애플리케이션 등을 추가·변경하거나 해당 기기를 제어하는 경우에는 적용되지 않는다. 해당 기기의 ‘생산자’ 혹은 생산 의뢰인이 아닌 전자 매장, 게이트웨이, 마켓플레이스 혹은 소프트웨어·애플리케이션 등을 구매 및 다운로드하는 수단의 제공자도 적용대상이 아니다.

기기의 주요 기능이 연방 규제 기관에 의해 공표된 연방 법의 보안 요건에 따르고 있을 경우에도 이 법안이 적용되지 않는다. 이 법안은 개개인에게 법률적인 행동을 취할 권리를 부여하는 목적이 아니며, 이 법을 집행하고 단속할 수 있는 독점적인 지휘권은 주, 도시, 카운티의 각 법무 기관에 있다.

시행 배경과 연방 기관 움직임
SB 327이 시행된 이유는 미국뿐만 아니라 전 세계가 스마트 기기의 시대로 변모하고 있는 것과 맥락을 같이한다. 이미 우리의 삶을 크게 변화시킨 스마트폰 이외에 시중에는 삶을 더욱 편리하게 만들어 줄 각종 스마트 스피커와 스마트 디스플레이, 스마트 가전, 스마트 홈 제품, 웨어러블 기기 등은 소비자의 관심을 얻으며 공격적인 판매율을 기록하고 있다.

KOTRA 로스앤젤레스무역관은 급속히 성장 중인 5G 기술은 IoT 이용을 더욱 편리하게 하고 있으며, 이런 기술적 뒷받침 아래 커넥티드 디바이스의 종류 또한 늘어나고 있다고 분석했다.

이미 생활 가까이의 많은 사물·기기들이 서로 연결된 상황에서 보안에 취약한 특정 기기나 특정 연결 지점이 있다면 해커의 침투에 쉽게 노출될 수 있으며, 사소한 취약점으로도 민감한 개인 정보에서부터 심각하게는 생명 위협에까지 영향을 미칠 수 있어 커넥티드 디바이스 보안이 의무화된 것이다. IoT 기기의 사이버보안에 대한 중요성이 더욱 부각되고 있는 가운데, SB 327의 시행은 이러한 성격의 규제 확산에 큰 영향을 미칠 것으로 예상되고 있다.

실제로 국내에서는 홈CCTV가 해킹돼 사회적으로 큰 파장을 불러일으켰으며, 이후 범정부 IP 카메라 대책이 마련되고, IP 카메라에 대한 초기 비밀번호 설정이 의무화됐다.

미국, 의료기기 보안 관심 높아
미국 국토안보부(DHS)와 식약청(FDA)은 의료기기에 대한 사이버보안 예의 주시하고 있다. 뉴욕 포스트는 “최근 모든 커넥티드 디바이스는 해커의 타깃이 될 수 있다. 심장충격기 또한 이로 부터 자유롭지 못하다”고 보도했다.

지난 3월 DHS는 미국의 대표적인 의료기기 기업인 메드트로닉에서 생산한 체내 이식형 심장충격기가 사이버 공격에 취약할 수 있음을 발표했다. DHS는 메드트로닉의 심장충격기는 다른 기기와 소통할 경우 안전 보장되지 않는 프로토콜을 사용하기 때문에 기기에 수집된 민감 정보에 공격을 받을 가능성이 있다고 전했다.

메트트로닉은 이에 대해 폭스 뉴스를 통해 이번 이슈는 ‘커넥서스 템포러리 시스템’이라는 특정 프로토콜을 사용하는 제품에만 적용되며 지금까지 이 이슈로 인해 사이버 공격이나 개인 정보의 도용, 환자들의 피해가 발생한 사실은 없다고 해명했다. 이와 함께 무선 커뮤니케이션 보안 기능을 보완하고 있으며 2018년 중에 업데이트할 예정이라고 덧붙였다.

한편, FDA는 점점 더 많은 의료기기가 인터넷, 병원 네트워크 및 다른 기기에 연결되고 있으며 이에 따라 잠재적인 사이버 보안 공격에 노출될 위험성이 높아지고 있다는 것을 인식하고, 의료기기, 특히 심장에 직접적으로 연관된 장치가 사이버 공격을 받는다면 생명까지 위협할 수 있어 이에 대한 철저한 주의가 필요함을 경고하고 있다.

IoT 시대... 미국 내 규제 확산 가능성
미국 내에서 소위 IoT 보안 규제를 법적으로 공식화한 것은 캘리포니아주가 처음으로 지금까지 국회에 소개된 IoT 법안은 여러 개가 존재했으나 모두 통과되지 못했다. 가장 유사한 성격의 법안으로 2017년 연방 상원에 소개됐던 ‘IoT Cybersecurity Improvement Act of 2017’을 꼽을 수 있으나, 이 법안은 정부에서 구매하는 커넥티드 디바이스에 대한 최소한의 보안 기준만을 규정하는 성격으로 일반적인 가전제품에는 해당되지 않았다.

2020년 SB 327의 시행을 앞두고, 일각에서는 법률 내용이 모호하며 현재의 내용만으로는 사이버 공격으로부터의 보안 취약성을 완전히 보완하지 못하는 부분이 있다는 평가도 있다. 그러나 다른 일각에서는 SB 327의 첫 시도가 매우 좋은 시작이라고 보고 있다.

SB 327은 캘리포니아주에서만 적용되는 주 법이지만, 주 내에서 판매되는 커넥티드 디바이
스의 생산자 및 생산 의뢰자에게 모두 적용되는 법률이므로 주 내·외부뿐만 아니라 해외의 생산자들 또한 캘리포니아주에서 해당 제품을 판매하고자 한다면 SB 327을 준수해야 할 전망이다. 로스앤젤레스무역관은 캘리포니아주가 만든 의미있는 첫 도약이 미국에서 판매되는 커넥티드 디바이스의 전반적인 보안 수준 향상에 긍정적인 영향을 미칠 것으로 분석하고, 타 주 및 타 도시에도 이러한 성격의 규제가 확산될 가능성이 있다고 설명했다.

로스앤젤레스무역관이 만난 한 통상규제 분야 전문 변호사는 이러한 규제의 시행으로 인해 관련 기기 생산자들은 보안 기능을 탑재할 실제의 목적을 가지게 돼 이는 전반적인 커넥티드 디바이스의 보안 기능 강화에 매우 효율적으로 작용하리라 예상했다. 또한, 아직 같은 내용의 연방 법률이 아직 존재하지 않는 가운데 SB 327이 미국 전역에 영향을 끼치게 될 가능성이 높을 것으로 전망했다.

대미 수출 기업 주의사항
로스앤젤레스무역관은 관련 분야의 기업 및 소비자들 또한 이러한 규제 염두에 둘 필요가 있다고 강조했다. 이 법안의 커넥티드 디바이스의 정의는 매우 포괄적으로, 심장충격기와 같은 의료기기처럼 이전에는 커넥티드 디바이스로 여겨지지 않았던 기기나 장치들도 점차 인터넷 연결 기능을 갖추어 시장에 나오는 경우를 많이 찾아볼 수 있다.

특히 개인 의료기기를 사용하는 소비자는 병원이나 전문 의료 기관·업체를 통해 구매한 사이버보안이 확보된 기기만 사용하는 것이 좋으며, 해당 기기의 정확한 사용법을 숙지 후 안전한 사용이 권장된다. 보안이 의심되는 외부 기기와 의료기기를 서로 연결하지 않는 것도 중요하다.

캘리포니아주에서 판매되는 커넥티드 디바이스를 생산하는 기업 혹은 해당 업계에 진출하고자 하는 우리 기업들 또한 SB 327과 같은 법적 규제를 염두에 둘 필요가 있으며, DHS, FDA 등 관리 감독 기관의 규제 움직임도 주시할 필요가 있다.
[김성미 기자(sw@infothe.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지모니터랩 파워비즈 5월 31일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
최근 랜섬웨어 유포가 다시 기승을 부리고 있습니다. 여러분이 근무하거나 경영하는 회사 업무망이 랜섬웨어에 감염됐다면 어떤 선택을 하시겠습니까?
회사 업무에 큰 지장이 있으니 돈을 주고서라도 파일을 복호화할 것
불편함과 손실을 감수하더라도 자체적으로 해결하고자 노력할 것
      

보쉬시큐리티시스템즈
CCTV / 영상보안

인콘
통합관제 / 소방방재

현대틸스
팬틸트 / 카메라

파나소닉
Sevurity Camera / CCTV

시큐인포
CCTV / NVR

한화테크윈
CCTV 카메라 / 영상감시

티제이원
PTZ 카메라

대명코퍼레이션
DVR / IP카메라

Videotec
PTZ 카메라

하이크비전 코리아
CCTV / IP / NVR

한국하니웰
CCTV / DVR

원우이엔지
줌카메라

포소드
CCTV / 통합관제

다후아 코리아
CCTV / DVR

씨앤비텍
통합보안솔루션

지케이테코
출입통제 / 얼굴인식

아이디스
DVR / IP / VMS

쿠도커뮤니케이션
스마트 관제 솔루션

이화트론
DVR / IP / CCTV

경인씨엔에스
CCTV / 자동복구장치

테크스피어
손혈관 / 차량하부 검색기

한국씨텍
PTZ CCTV

슈프리마
출입통제 / 얼굴인식

테크어헤드
얼굴인식 소프트웨어

비전정보통신
IP카메라 / VMS / 폴

씨오피코리아
CCTV 영상 전송장비

트루엔
IP 카메라

엔토스정보통신
DVR / NVR / CCTV

옵티언스
IR 투광기

두현
DVR / CCTV / IP

KPN
안티버그 카메라

에스카
CCTV / 영상개선

디케이솔루션
메트릭스 / 망전송시스템

인사이트테크놀러지
방폭카메라

구네보코리아
보안게이트

티에스아이솔루션
출입 통제 솔루션

화이트박스로보틱스
CCTV / 카메라

신우테크
팬틸드 / 하우징

네이즈
VMS

케이제이테크
지문 / 얼굴 출입 통제기

혜인에스앤에스
통합보안시스템

사라다
지능형 객체 인식 시스템

아이큐스
지능형 CCTV

퍼시픽솔루션
IP 카메라 / DVR

유시스
CCTV 장애관리 POE

이노뎁
VMS

새눈
CCTV 상태관리 솔루션

파이브지티
얼굴인식 시스템

케이티앤씨
CCTV / 모듈 / 도어락

지와이네트웍스
CCTV 영상분석

지에스티엔지니어링
게이트 / 스피드게이트

두레옵트로닉스
카메라 렌즈

씨큐리티에비던스
카메라

다원테크
CCTV / POLE / 브라켓

일산정밀
CCTV / 부품 / 윈도우

아이엔아이
울타리 침입 감지 시스템

수퍼락
출입통제 시스템

유진시스템코리아
팬틸트 / 하우징

대산시큐리티
CCTV 폴 / 함체 / 랙

엘림광통신
광전송링크

싸이닉스 시스템즈
스피드 돔 카메라

에프에스네트웍스
스피드 돔 카메라

넷플로우
IP인터폰 / 방송시스템

글로넥스
카드리더 / 데드볼트

포커스에이치앤에스
지능형 / 카메라

휴컴스
PTZ 카메라 / 줌카메라

카티스
출입통제 / 외곽경비

창우
폴대

대원전광
렌즈

세환엠에스
시큐리티 게이트

화인박스
콘트롤박스 / 배전향