사물인터넷(IoT) 기기의 확산과 함께 일상 공간 속 보안 위협도 커지고 있다. 정부는 IoT 분야 보안 기준과 인증 제도를 마련해 운영 중이지만 활성화까지는 제도적으로 보완돼야 할 과제가 많다.
IoT 기기의 보안 위협은 사생활 침해와 직결된다. 실제로 2021년 국내 아파트 700여곳의 월패드가 해킹돼 약 40만 가구의 생활 영상과 사진이 다크웹에 유출된 바 있다. 지난해 10월에는 미국에서 중국 로봇청소기 ‘에코백스’가 해킹당해 청소 중 욕설을 내뱉거나 반려견을 위협한 사례가 보고됐다.
최근에는 중국 로봇청소기 ‘로보락’의 개인정보 처리 방침이 논란이 됐다. 사용자 데이터가 중국 다른 IoT 업체와 공유될 수 있다는 조항이 포함된 것이다. 이를 두고 제품에 부착된 카메라로 영상·음성 정보를 수집하는 것 아니냐는 주장도 제기됐다. 로보락 측은 “청소기가 수집하는 영상과 음성 정보는 서버에 저장되지 않는다”고 해명했지만 우려는 쉽게 가라앉지 않고 있다.
세계 각국은 IoT 보안 문제에 대응하기 위해 관련 제도를 강화하는 추세다. 유럽연합(EU)은 오는 8월부터 유럽 시장에 판매되는 무선 기기에 네트워크와 개인정보, 데이터 보호와 관련된 보안 지침을 적용할 예정이다. 미국 역시 올해 말 사이버보안 인증 표식인 ‘사이버 트러스트 마크(Cyber Trust Mark)’를 도입한다고 발표했다.
한국은 과학기술정보통신부가 한국인터넷진흥원(KISA)에 위탁해 ‘IoT 보안인증제도’를 운영하고 있다. 하지만 의무가 아닌 자율규제로 이뤄지고 있어 참여율이 높지 않은 상황이다. 정보통신산업진흥원이 발표한 ‘2024 사물인터넷 산업 실태조사’ 등에 따르면 국내 IoT 관련 사업체는 약 3000곳으로 시장 규모는 27조8000억원 규모에 이른다. 반면 지난해 보안 인증서 발급은 106건에 그쳤다. 보안 인증 절차 자체가 유명무실한 것이다.
이런 배경 중 하나로는 최소 600만원에서 최대 2000만원이 드는 기업들의 보안 인증 수수료 부담이 거론된다. KISA는 부담 경감 차원에서 최초 인증 모델과 기능이 비슷한 파생 모델의 경우 수수료를 감면하거나 중소기업에 수수료를 지원하는 제도를 시행 중이기는 하다.
국내에서만 인정되는 제도이다보니 기업이 해외 시장 진출을 목표로 삼을 경우 참여 유인이 부족하다는 점도 문제다. 거꾸로 중국 업체가 국내에서 보안 인증을 받은 사례 역시 전무하다. KISA는 지난해 싱가포르와 ‘IoT 보안인증제도 상호인정약정’을 맺는 등 판로 개척에 집중하고 있다.
최윤선 KISA 디지털제품인증팀장은 “인증제도의 신뢰성과 효율성을 높여 IoT 생태계 전반의 보안 수준을 향상시키는 것이 목표”며 “앞으로는 제품 출시 전 인증뿐 아니라 사후 관리 정책도 마련해 기업들과 함께 공유할 수 있도록 계획을 짜고 있다”고 말했다.
박선영 기자 pomme@kmib.co.kr