사이버 보안에 높은 관심을 가진 사람들조차 IoT 기기를 제대로 관리하지 않고 방치하고 있는 것으로 나타났다.
한국인터넷진흥원(KISA)이 2월 23일부터 3월 27일까지 실시한 ’실생활에서 사용되는 IoT 기기 보안 실태 설문조사‘ 결과, 응답자의 33%가 최근 1년간 실생활에서 사용하는 IoT 기기의 암호를 변경하지 않았으며, 30%는 보안 업데이트를 수행하지 않았다고 답했다. 해킹이 의심되는 정황이 있다고 답한 응답자도 17%에 이르렀다. 이 조사의 분석 보고서는 20일 발간된 ‘2018년 1분기 사이버 위협 동향 보고서’에 게재됐다.
KISA는 이 조사가 사이버 보안에 비교적 관심이 많은 사람들이 참여한 것으로 분석되고 있어 실제 IoT 기기 보안 문제는 더 심각할 것이라고 설명하고 있다. 이 조사는 총 564명의 응답자가 참여했으며, 사이버 보안에 대한 관심이 높다는 답이 81%에 달했다. 실생활에서 사용하는 IoT 기기는 가정용 인터넷 공유기, 도어락, 스마트 가전, AI 스피커, 스마트밴드 등의 순이었다.
최근 1년간 IoT 기기의 관리자 화면에 접속한 횟수를 묻는 질문에는 20%의 응답자가 ‘0회’라고 답했으며 53%는 1~5회라고 응답했다. 또한 접속 난이도를 묻는 질문에는 ‘쉽다’ 이하가 40%, 보통이 41%, 어려움 이상이 16%로 응답해 접속방법이 어렵지는 않지만 자주 접속하지는 않는 경향이 나타났다.
같은 기간 암호 변경 여부를 묻는 질문에는 33%가 ‘0회’라고 답했으며, 45%가 1~2회, 15%가 3~5회라 답하여 관리자 접속의 경우보다 더 낮은 비율을 보였다. 암호 변경 난이도는 ‘쉽다’ 이하가 41%, 보통이 39%로 나타나 관리자 접속 난이도의 경우와 비슷했다.
IoT 기기에 대한 보안 업데이트 수행 횟수에 대해서는 30%가 ‘0회’, 58%가 1~5회로 나타나 암호변경의 경우보다는 3% 많이 수행한 것으로 나타났다. 앞서의 두 항목과 다른 점은, 자동 업데이트로 인해 보안 업데이트가 ‘매우 쉽다’고 답한 응답자는 40%에 달한 점이다. 응답자들에게 보안 업데이트는 암호 변경 같은 작업보다는 상대적으로 훨씬 쉽다고 평가되고있다.
해킹이 의심된 정황을 묻는 질문에는 ‘전혀 없다’고 답한 응답자가 78%, ‘의심되는 정황 있음’을 답한 응답자가 17%였다. 이는 응답자의 평균 보안 인식 수준을 감안할 때 전체를 대상으로 하면 해킹 감지율은 더 떨어질 것으로 보인다.
실생활 보안을 위하여 IoT 기기에 추가되어야 하는 기능이나 바라는 점을 묻는 질문에는 ‘자가진단, 통합 관리도구 등을 통한 업데이트, 관리 편의성 제공‘을 원한 경우가 74건으로 가장 많았고, 뒤를 이어’로그인, 침해사고 감지 및 알림 기능’이 69건, ‘자동, 강제 보안 업데이트’가 67건, ‘취약점, 업데이트 알림 기능’이 52건, ‘지문, 생체인증 등을 통한 인증 강화’가 50건 순서였다.
수치상으로 보면 자가진단, 통합관리 도구에 대한 수요와 각종 사용자 알림 기능, 그리고 인증 방식 및 수준 강화를 요구하는 의견이 많았다.
KISA에 바라는 점을 묻는 질문에는 ‘개인 점검, 관리 지원 도구 제공’을 응답한 사람이 82건으로 가장 많았으며 ‘인식 제고, 홍보’가 72건, ‘취약점 알림 및 업데이트 지원’이 49건, ‘가이드라인, 정책, 보안기준 마련 ’이 46건 순서였다.
