로보락(로봇청소기 제품) 등 중국산 가전제품에 의한 개인정보 유출 우려가 커지는 가운데, 사물인터넷기기(IoT기기) 보안인증 제도를 내실화하고 인센티브를 통한 시장 수요 창출을 유도하는 '사물인터넷기기보안법'이 발의된다.
이정헌 더불어민주당 의원은 최근 이 같은 내용을 담은 '정보통신망 이용촉진 및 정보보호 등에 관한 법률 일부개정법률안(이하 사물인터넷기기보안법)'을 대표 발의했다고 20일 밝혔다.
현행법에 따라 정부는 한국인터넷진흥원(KISA) 위탁 운영으로 IoT 보안인증제도(CIC, Certification of IoT Cybersecurity)를 운영하고 있다. IoT 보안인증제도란 국내 IoT 시장 규모 확대에 따라 증가하는 사이버보안 위협을 방지하기 위해 과학기술정보통신부가 해당 제품이 정보보호인증기준에 적합함을 시험하여 인증서를 발급하는 제도다.
그러나 현행법상 정보보호인증제도가 의무가 아닌 임의인증제도로 규정돼 있어, 실효성 문제에 대한 지적이 잇따라 제기돼왔다. 이 의원은 2024년 국정감사에서 해당 내용을 지적한 바 있다.
IoT 보안인증 실적은 제도가 시행된 2018년 4건 이후 꾸준히 증가해 2024년 106건을 기록했다.그러나 국내 IoT 관련 사업체 수만 3000여 곳, 매출액이 25조 원 이상으로 향후 시장의 급성장이 예상되는 점을 고려하면 인증 실적은 여전히 미미한 수준이다.
특히, 중국산 로봇청소기 등 해외 기업에서 국내 IoT 보안인증을 신청한 사례는 지금까지 단 한 건도 없었다. 국내 기업 또한 해외 시장 수출을 목표로 삼을 경우, 국내에만 통용되는 인증 평가에 참여할 유인이 부족하다.
또한 IoT 보안인증제도는 보안 수준에 따라 라이트, 베이직, 스탠다드로 나뉜다. 현재까지 최고 등급 스탠다드 인증을 받은 기업은 삼성전자 AI 로봇청소기 1건에 그쳤다. 다만, 보안인증제도를 의무화할 경우 해외국과의 통상 문제가 불거질 수 있어 신중한 접근이 필요하다는 것이 이 의원실 설명이다. 이에 기업의 인증 참여를 유도해 자연스러운 시장 수요 창출이 가능하도록 인센티브 중심 법 개정이 필요하다.
이 의원이 대표 발의한 '사물인터넷기기보안법'은 보안인증을 받은 기업이 제품에 인증 내용을 표시하거나 홍보할 수 있도록 규정함으로써, 보안인증 제품의 시장 경쟁력을 높일 수 있도록 유도한다.
또한, 과학기술정보통신부 장관이 정부 기관 및 지자체, 공기업 등에 보안인증 기기 우선구매를 요청할 수 있도록 하여, 정부 조달을 활용한 수요 창출의 방식으로 제도 내실화를 꾀했다.
인증 수수료 등 인증 과정에서 드는 비용, 기술에 대한 재정 지원의 근거도 마련된다. 현재는 고시에 근거해 중소기업 대상으로 시험평가 수수료 80%를 지원하고 있는데, 이를 법률로 상향하는 것이다.
이 의원은 “현행 IoT 보안인증제도는 인증 실적이 미미하고 참여 유인이 부족해 사실상 유명무실한 상태”라며 “보안인증 제품이 시장에서 경쟁력을 확보하고, 공공조달 및 수수료 지원을 통해 보안인증 참여 기업이 성장할 수 있도록 인센티브 방향으로 제도를 내실화하는 것이 이번 법 개정의 취지”라고 말했다.
성현희 기자 sunghh@etnews.com
