“사물인터넷(IoT) 제품과 서비스를 개발하는 첫 단계부터 보안을 고려해야 한다. 이때 보안은 가장 사용하기 편리하고 쉬워야 한다.”
전자신문과 한국인터넷진흥원은 10일 서울 여의도 중소기업중앙회 그랜드홀에서 ‘2015 정보보안 그랜드 콘퍼런스’를 개최했다. ‘급성장하는 IoT시장, 보안이 생명이다’를 주제로 열린 토론회 참가자들은 단순히 정보보호 기업이 단편적인 IoT 보안 솔루션을 제공하는 것이 아니라 기기나 서비스 기업이 나서야 한다고 입을 모았다.
김승주 고려대 정보보호대학원 교수는 “IoT기기를 만드는 제조사 정보보호 의식이 가장 중요지만 기업 특성상 접목이 쉽지 않다”고 지적했다. 김 교수는 “IoT는 남녀노소 누구나 사용하는 기기가 될 것”이라며 “보안기능을 쉽게 쓰는 ‘보안사용성(Usable Security)’을 고려해야 한다”고 말했다. 그는 “국내에서 보안성 평가에 집중된 국제평가기준(CC) 인증은 IoT시대에 세계화하는 방향으로 가야 한다”며 “우리가 만드는 대표적인 IoT기기 보안기준을 먼저 만들고 시장을 주도해야 한다”고 덧붙였다.
심종헌 지식정보보안산업협회장(유넷시스템 대표)은 “IoT보안은 매우 복잡해보이지만 가장 기본적인 무선보안을 지키는 것에서부터 시작한다”며 “기본적인 무선인증과 무선방화벽 설치가 선행돼야 한다”고 말했다. 심 회장은 “영세한 국내 보안기업이 IoT시장 글로벌 경쟁력을 확보하기 위해 전략적 제휴와 M&A를 활성화해 기술 통합과 융합을 촉진할 것”이라고 설명했다.
홍진배 미래부 정보보호정책과장은 “지난해 IoT 정보보호 로드맵을 만들면서 정보통신기술(ICT) 분야가 아닌 다른 제조업과 함께 논의했는데 이들과 의사소통이 어려웠다”며 “각 산업과 부처별 협의체를 만들어 보안전문가를 투입해 IoT 보안의식을 확산하는 데 노력하겠다”고 밝혔다. 그는 “기존 KISA 침해사고대응센터 내 IoT보안 위협을 모니터링하는 별도 체계를 만들 것”이라고 덧붙였다.
IoT시대 개인정보보호에 패러다임 변화도 요구됐다. 구태언 테크앤로 대표변호사는 “IoT 서비스는 고지와 동의가 홍수를 이루는 개인정보의 총체적 서비스”라며 “개인이 형식적 동의하는 형태(Opt-in)에서 국가후견형(Opt-Out)으로 전환해야 한다”고 강조했다. 기업이 개인정보처리방침을 게시하고 소관당국이 오남용 등 문제 기업의 개인정보 처리방침을 규제하는 형태다.
김인순기자 insoon@etnews.com