기기 겨냥 공격 갈수록 거세
KISA “지난해 인증 106건”
네트워크 통로로 악용 우려
가정, 공장, 병원 등 도시 인프라에 연결된 수많은 기기가 해킹 통로로 악용되지만 최소한의 안전장치인 사물인터넷(IoT) 보안인증 제도가 제역할을 못 하고 있다. 국내 IoT 기기 제조업체가 1000곳을 웃돌지만 보안인증은 연 100여건에 머무는 것으로 나타났다. IoT 기기 대상 해킹 시도가 급증하는 상황에서 더 이상 방치해선 안 된다는 지적이 이어진다.
23일 업계에 따르면 한국인터넷진흥원(KISA)의 IoT 보안인증 건수는 지난해 106건으로 집계됐다.
제도 시행 첫 해인 2018년 4건이었던 인증 건수는 2024년 106건까지 늘었지만 시장에 비해 증가 속도는 더디다는 평가다. 국내 IoT 기기 제조업체가 1000곳을 넘고 관련 매출이 10조원에 육박하는 점을 고려하면 인증 참여율은 매우 낮은 수준이다.
IoT 기기를 겨냥한 공격은 갈수록 거세지고 있다. 글로벌 보안 분석 업체 컴페어칩SSL에 따르면 지난해 전 세계 IoT 기기 대상 하루 평균 해킹 시도는 82만건으로 전년 대비 46% 증가했다.
IoT 기기는 영상과 음성 등 개인정보를 수집할 수 있을 뿐 아니라 해킹 시 내부 네트워크로 침투하는 통로로 악용될 수 있다. 기기 자체 보안이 곧 기업·가정 전체 보안과 직결된다.
KISA의 IoT 보안인증은 실제 침해 사고에서 반복적으로 드러난 취약점을 보완하도록 설계됐다. 최저 등급인 '라이트'에서도 △초기 비밀번호 변경 및 강도 검증 △사용자 인증 및 권한 관리 △반복된 로그인 시도 제한 △암호 알고리즘 기반의 데이터 전송·저장 등 필수 보안 조치를 보장한다.
IoT 기기 유형이 다양한 만큼 모든 기기의 보안을 완벽히 보증할 순 없지만 최소한의 안전 장치 마련이 목적이다.
정부가 인증 수수료를 지원(최대 80%)하지만 업체들은 적극 나서지 않고 있다. 의무가 아닌 임의 인증 제도여서다. 해외에서 제조한 기기도 보안 인증 없이 국내 판매가 가능하다.
특히 IoT 보안인증 가운데 지난해 대규모 개인정보 침해 사고가 발생한 인터넷 프로토콜(IP) 카메라의 인증 신청이 매우 저조해 우려의 목소리가 높다. 일부 국내 업체만 인증을 받은 가운데 시장의 80%를 장악한 중국 업체의 인증 건수는 0건으로 조사됐다. 중국산 저가 제품의 해킹 피해가 우려된다.
정부는 IoT 보안인증 의무화에 신중한 입장이다. 자칫 제도가 무역장벽으로 작용할 수 있고, 국내 중소기업에 비용 부담을 줄 수 있기 때문이다. 대신 싱가포르, 독일 등 IoT 보안인증 제도가 있는 국가와 상호 인정 약정을 체결하는 방식으로 활성화를 유도 중이다.
업계에서는 중국산 제품의 보안 취약 문제가 끊이지 않는 만큼 완전 의무화는 어렵더라도 이를 관리할 수 있는 감독 체계가 필요하다는 주장이다.
과학기술정보통신부 관계자는 “제조사의 보안 품질 관련 투자를 유도하는 방안을 모색하고 있다”며 “IoT 보안인증 활성화를 위해 다방면으로 노력하고 있다”고 말했다.
박진형 기자 jin@etnews.com
