[데이터넷] 디지털 대전환의 가속화로 시민들의 일상과 다양한 산업분야에서 IoT 기기가 확산되고 있다. 한국인터넷진흥원(KISA)에 따르면, 국내 IoT 시장 규모는 2017년 6조4000억 원에서 2022년 21조4000억 원으로 성장한 것으로 추정되며, 세계 IoT 시장은 2019년 763조 원에서 2024년 2306조 원으로 그 규모가 확대될 전망이다. 전 세계 IoT 솔루션, 서비스 시장 또한 2024년까지 14.9%의 성장률을 나타낼 것으로 예측되며, 2025년까지 연결기기 수는 250억 개에 달할 전망이다. 국내에서도 IoT 활용이 증가하면서, 이와 관련한 법·제도적 움직임이 일고 있다.

정부는 시민들이 안심하고 다양한 IoT 기기를 사용할 수 있도록 IoT 보안인증제도를 마련, 시행하고 있다.

지난 2017년 12월 IoT 보안인증제도가 자율 시행됐으며, 2020년 6월에는 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률(정보통신망법)’ 개정으로 법 적용대상이 IoT 기기 제조, 수입업자로 확대됐다. 또한 ‘정보통신망연결기기등’에 대한 정보보호인증제도의 법적 근거가 마련됐다. 같은 해 12월에는 정보통신망법 시행령과 시행규칙이 개정됐다. 이들 개정 법규에는 인증대상제품 범위가 가전, 교통, 금융, 스마트도시, 의료, 제조·생산, 주택, 통신 등 8대 융합분야로 늘어났다.

2021년 9월에는 ‘정보통신망연결기기등 정보보호인증’ 고시가 제정됐다. 제정된 고시에는 인증기준, 수수료 산정기준, 시험대행기관 지정 등 신청절차가 담겼다. 이 같은 정부의 활동 결과, 현재 IoT 보안인증제도는 법정 인증제도로 본격 시행되고 있다.

파생모델 제도 도입 추진

현행 IoT 보안인증제도는 제품 모델마다 각각의 인증을 요구하고 있어 IoT 기기를 제조하는 중소규모 제조기업들에게 부담이 되고 있다. 이에 IoT 보안인증제도를 이용하고자 하는 기업들이 인증 수수료 감면 필요성을 요구하고 나섰다. 이른바 ‘파생모델’에 대해서는 인증 수수료를 낮춰야 한다는 주장이다.

한국인터넷진흥원(KISA)은 업계의 의견을 수렴하고 다른 인증제도의 파생모델 현황을 조사한 다음 파생모델 내부안을 지난해 12월 마련했다. 또한 올해 3월에는 월패드 제조사들을 대상으로 파생모델 검토를 요청했다. 이어 5월에는 파생모델 관련 KISA 지침개정안 마련, TTA와 KTC 등 시험대행기관과의 업무 협의 등을 진행했다.

현재 CC인증, KC전파인증, 보안기능 시험 등의 인증제도에서 파생모델 인증 규정을 운용하고 있다. KISA의 조사 결과에 따르면, 국가정보원·과기정통부 CC인증의 경우 일괄평가, 유사 정보보호제품 등으로 파생모델을 정의하고 있다. 국립전파연구원의 KC인증에서도 기본모델과 파생모델로 인증 신청을 할 수 있도록 허용하고 있다. 국정원의 보안기능 시험에서도 파생제품에 관한 근거규정을 두고 있다.

국내 IoT 기기 제조기업들 또한 IoT 보안인증 수수료 부담으로 제품 개발이나 출시에 어려움이 있다며 파생모델 제도 도입 의견을 내고 있다. 한 월패드 제조사는 건설사 등 시장 수요에 맞춰 일부 기능이나 부품을 추가·변경한 모델을 개발할 경우 보안인증 비용이 부담이 된다고 의견을 냈다. 국내 대형가전사 또한 가전제품은 외형이나 색상 등이 바뀌는 모델이 다수 있는 만큼, 파생모델 제도를 도입할 경우 제품 개발, 출시, 수출에 도움이 될 것이라고 말했다.

이에 KISA는 보안성능은 유지하면서 시장 수요에 맞는 다양한 제품이 개발, 출시될 수 있도록 파생모델(A형, B형) 제도 도입 추진방안을 마련했다. 또한 파생모델 정의 등 관련 근거에 대해 내부지침 개정에도 나섰다.

추진안에 따르면, ‘파생모델 A형’은 기본 인증모델과 CPU, PCB(회로기판), 유무선 네트워크, 펌웨어 등 핵심 부품의 형상이 동일한 모델, 보안기능에 영향을 주지 않은 색상, 제품 라벨 등의 외형 변경 모델, 부품 단종에 따라 기본 부품·장치를 대체품으로 변경한 모델 등이 해당한다. ‘파생모델 B형’은 통신, 센서 등 기능성 탈착 모듈의 제거 등으로 기본 인증모델 핵심 부품의 형상이 일부 변경돼 동일성이 유지되지 않지만, 보안에 영향이 없는 모델이 해당한다.

파생모델 제도가 도입되면 수수료가 낮아져 IoT 기기 제조기업들의 부담 완화에 도움이 될 것으로 기대된다. KISA는 기존 라이트 600만 원, 베이직 1300만 원, 스탠다드 2000만 원 수준에서 70~140만 원 정도로 경감된 파생모델의 IoT 보안인증 수수료안을 마련했다.

KISA는 IoT 보안인증 활성화를 위해 민간, 의료, 군 등 유관기관과 협력해 인증제품 도입 확산을 모색하고 있다. 현재 한국도로공사, 서울특별시, 부산광역시, KT, 한국토지주택공사, 서울주택도시공사, 식품의약품안전처 식품의약품안전평가원, 국군방첩사령부, 포스코E&C 등과 IoT 보안인증 분야에서 협력하고 있다는 것이다.

아울러 AIoT 국제전시회 등에서 KISA 홍보관을 운영하며 인증제품의 온·오프라인 홍보를 통해 인식제고 활동을 전개하고 있다. 올해 10월 11~13일 사흘간 서울 강남구 코엑스에서 개최되는 AIoT 국제전시회에서도 홍보관을 낼 계획이다. AIoT 혁신대상(보안 분야) 선정, 시상도 준비하고 있다. 인증제품에 IoT 보안인증 로고를 부착할 수 있도록 해 인증제품의 브랜드 가치 제고에도 기여하고도 있다.

이 밖에도 중소기업 대상 IoT 보안인증 시험 수수료 지원 사업을 해나가고 있다.

KISA는 설명회 개최 이후 업무지침 개정과 파생모델 제도 시행을 마무리한다는 계획이다.

“인증 의무화로 주요 산업 보호” 의견 대두

한편 시민들의 삶을 책임지는 중요한 산업 분야에 도입되는 IoT 기기를 대상으로 IoT 보안인증을 해야 한다는 목소리도 점차 높아지고 있다. IoT 기기가 우리의 실생활과 밀접하게 연관돼 있어 해킹 공격을 받게 되면 개인 사생활 침해, 민감 정보 유출 등 사회적 문제로 커질 수 있다. 또한 가스, 수도 등 공급망 관련 산업에서는 IoT 패킹으로 인해 인프라 장애가 발생해 시민들의 삶에 큰 피해를 끼칠 가능성도 있다.

특히 스마트팩토리, 스마트시티, 자율주행자동차, 지능형 교통시스템 등에 IoT 도입이 증가하면서 IoT 해킹 등의 우려 또한 커지고 있는 실정이다. 모든 것이 연결되는 IoT는 보안 내재화를 구현해 원천적인 침해 방지를 구현해야 하지만, IoT 기기 제조사들의 보안 인식이 부족하고, IoT 기기 제조 단가가 높아진다는 이유로 보안을 적용하지 못하는 경우가 빈번하다. IoT 기기를 도입하는 기업·기관에서는 예산 문제 때문에 보안 수준이 낮은 제품을 선택할 수도 있다.

현행법에서도 과기정통부 장관은 침해사고가 발생할 가능성이 크거나 침해사고가 발생할 경우 정보통신망의 안정성에 중대한 위험성을 가져오는 정보통신망연결기기에 대해 정보보호인증을 할 수 있도록 규정하고 있다.

하지만 IoT 보안인증제도는 현재 의무인증이 아니다. 법정 인증으로 격상됐지만 어디까지나 임의 인증에 머물러 있는 것이다. 이 같은 이유 탓에 현재 지능형 홈네트워크기기의 대다수가 IoT 보안인증을 받지 않은 제품으로 제조·수입돼 각 가정에 설치되고 있는 실정이다.

이처럼 IoT 보안인증을 거치지 않은 정보통신망연결기기는 해킹에 취약하기 때문에, 중대한 보안사고를 초래할 우려가 높다.

해외에서는 IoT 기기의 보안인증이 빠르게 진행되고 있다. 미국은 ‘IoT사이버보안개선법’으로 연방정부가 구매하는 IoT 기기 보안을 강화했으며, 미 표준연구원(NIST)은 관련 표준을 마련 중인 상황으로 알려져 있다. EU 또한 ‘사이버보안법’으로 공통의 사이버보안 인증체계를 마련할 예정으로, 올해까지 의무화 수준을 결정한다는 방침이다.

산업계에서 중요 정보통신망연결기기에 대해 IoT 보안인증을 의무화할 필요가 있다는 의견이 지속적으로 제기되자, 국회에서도 관련 법 개정에 나섰다.

국회 산업통상자원중소벤처기업위원회 소속 김정호 의원이 지난 2021년 4월 발의한 정보통신망법 개정안이 현재 계류 중으로, 이 개정안은 중요 정보통신망연결기기가 정보보호인증을 의무적으로 받도록 하는 내용을 담고 있다. 인증 의무화를 통해 정보통신망의 안정성 및 정보의 신뢰성을 확보하자는 것이다.

국회 과학기술정보방송통신위원회 수석전문위원은 해당 개정안 검토 보고를 통해 정보통신망연결기기에 대한 정보보호인증이 의무화될 경우, 정보통신망의 안정성 및 정보의 신뢰성 확보에 기여해 해킹 등으로 인한 보안사고가 예방될 것으로 기대된다는 의견을 낸 바 있다.

다만 IoT 제품기기 업체의 81.5%가 50인 미만 영세 소기업이라는 2020년 사물인터넷산업 실태조사를 인용하면서 정보보호인증을 의무화할 경우 기업의 부담이 증가할 우려가 있다고 짚었다.

그런데 최근 KISA에서 IoT 기기 파생모델을 대상으로 IoT 보안인증 절차를 마련, 인증 수수료 부담을 낮추도록 제도 개선을 추진하면서 기업 부담 증가 우려가 상당부분 해소될 것으로 전망된다. 이는 해당 개정안의 국회 논의가 가속될 수 있음을 뜻한다.