정부가 2018년 세계 최초로 제도화한 '사물인터넷(IoT) 보안인증(CIC)'이 7년간 유명무실하게 운영된 것으로 드러났다. 국내 주요 대기업은 물론 해외기업 인증 사례가 '0건'이고, 국내 중소기업 참여도 저조해 실효성 제고가 필요하다는 지적이다.
IoT 보안인증은 IoT 기기의 보안 성능을 검증하고자 과기정통부와 한국인터넷진흥원(KISA)이 2018년부터 운영하고 있다. IoT 기능을 활용해 가정 내 생활 정보를 수집·분석해 인공지능(AI) 기반으로 서비스를 고도화하는 스마트 가전과 교통, 에너지, 제조 등 다양한 분야 IoT 제품이 인증 대상이다.
20일 국회 과학기술정보방송통신위원회 이정헌 더불어민주당 의원이 과학기술정보통신부로부터 받은 자료에 따르면, 2022년부터 올해 8월까지 국내 시장에 IoT 보안인증을 받고 제품을 공급한 해외기업은 전무했다.
국내 기업 사례도 저조하다.
제도를 처음 도입한 2018년 4건을 시작으로 2019년 24건, 2020년 41건, 2021년 73건에 그쳤다. 2022년 83건, 2023년 82건으로 실제 인증을 획득한 제품이 매년 100개를 넘지 못했다. 올해는 8월 기준 52개 기업이 인증을 신청해 51건 인증을 획득했다.
인공지능(AI) 가전을 확대하고 있는 삼성전자와 LG전자는 IoT 보안인증을 받은 제품이 단 한 개도 없는 것으로 나타났다. 삼성전자가 최근 1개 제품에 대해 인증 평가를 받고 있는 것으로 알려졌다.
이처럼 IoT 보안인증제가 유명무실해진 이유는 의무가 아닌 임의 인증이기 때문이다. 해외 시장에 통용되지 않아 수출이 필수인 국내 IT·가전사들은 여러 국가에서 통용되는 해외 민간인증으로 눈을 돌릴 수밖에 없는 것이다.
IoT 인증제 실효성 논란이 끊이지 않지만 정부는 IoT 보안인증 의무화에 신중해야 한다는 입장이다.
과기정통부 관계자는 “제도를 의무화하면 보안성을 높일 수 있지만 미국, 독일, 핀란드, 싱가포르 등 해외 국가들도 IoT 보안인증제도를 선택사항으로 운영하고 있어 WTO 무역제소 우려가 있다”며 “AI 가전과 IoT 시장이 급속도로 커지면서 보안사고 우려가 커지는 만큼 제도 변화를 여러 방향으로 고민하고 있다”고 설명했다.
이정헌 의원은 “IoT 기기의 보안 취약성 문제로 사생활과 개인정보 유출 우려가 커지는 반면, 국내 보안 인증 체계는 부실하게 운영되고 있다”며 “과기정통부와 KISA는 인증 비용 지원 등 기업의 참여 유인책을 마련하는 등 보안인증 제도 전반을 내실화하는 대책을 마련해야 한다”고 지적했다.
김인철 기자 aupfe@etnews.com, 배옥진 기자 withok@etnews.com, 김신영 기자 spicyzero@etnews.com
