사물인터넷(IoT)이 주요 해킹 경로로 부상했지만 국내 보안 체계는 여전히 허점을 드러내고 있다. 공공 영역은 일부 보완 장치가 마련됐지만 민간 시장은 규제 사각지대에 놓여 있다는 지적이다. 글로벌 기준과 비교해도 제도적 공백이 적지 않아 조속한 보완이 필요하다는 목소리가 커지고 있다.
◇ IP카메라, 공공만 인증 의무화
국가정보원은 2023년 공공기관에 설치되는 인터넷 프로토콜(IP) 카메라에 대해 한국정보통신기술협회(TTA) 보안인증을 의무화했다. 공공 부문에서는 최소한의 기술적 검증 체계를 갖춘 셈이다.
그러나 민간에서 유통되는 IP카메라는 별도 의무 규정이 없다. 정부가 병원, 수영장, 산후조리원 등 신체 노출 우려가 있는 생활 밀접 시설에 대해서는 인증 의무화를 추진 중이지만, 가정용 홈캠은 적용 대상에 포함하지 않았다. 사생활 침해 위험이 가장 빈번하게 제기되는 영역이 제도 밖에 놓여 있는 구조다.
정부는 뒤늦게 '단말장치 기술기준' 고시 개정을 추진하며 보완에 나섰다. 국내 판매 제품이 충족해야 하는 KC인증 요건에 비밀번호 복잡도 설정 기능과 비밀번호 오류 반복 시 접속 차단 기능을 포함시켰다.
최소한의 계정 보호 장치를 의무화한 것이다. 다만 기기에서 외부 서버로 전송되는 데이터의 암호화 수준이나 저장 데이터 보호 조치는 명확히 규정하지 않았다. 네트워크 구간 보안에 대한 요구가 빠져 있어 근본적 해법으로 보기엔 한계가 있다는 평가다.
◇ 유럽, IoT 보안 규제 시행
반면에 유럽연합(EU)은 2024년 '무선기기지침(CE RED)'을 통해 사이버보안 요건을 대폭 강화했다. 이를 충족하지 못한 제품은 CE 마크를 부착할 수 없고 사실상 유럽 시장에 진입할 수 없다. 형식은 제조사의 자체 적합성 선언이지만, 시장 접근과 직결된다는 점에서 실질적 의무에 가깝다.
핵심은 '사후 대응'이 아니라 '설계 단계 책임'이다. 네트워크 보호 조항은 기기가 봇넷이나 DDoS 공격의 발판으로 악용되지 않도록 안전한 기본 설정, 강력한 인증, 암호화 통신, 검증된 소프트웨어 업데이트 체계를 요구한다.
개인정보·프라이버시 보호와 사기 방지 조항 역시 마찬가지다. 최소한의 데이터 수집, 전송·저장 구간 암호화, 접근 통제, 이용자 동의 체계, 다중인증과 전자서명 등 기술적 보호조치를 제품 기획 단계부터 반영하도록 했다. 보안을 '옵션'이 아닌 '시장 진입 조건'으로 규정한 셈이다.
◇ IIoT, 안보 리스크로 부상
소비자용 기기를 넘어 산업용 사물인터넷(IIoT)으로 공격이 확산될 경우 파급력은 비교하기 어려울 정도로 커진다. IIoT는 발전소, 제조공장, 에너지 설비, 교통·통신 등 국가 핵심 인프라에 직결돼 있다. 단일 설비 오작동만으로도 생산라인이 멈추고, 전력·열 공급이 중단되는 등 연쇄 피해로 이어질 수 있다.
실제 러시아·우크라이나 전쟁 과정에서는 전력, 에너지, 지역난방 시설 등을 겨냥한 사이버 공격이 잇달아 보고됐다. 러시아 연계 해킹 조직이 산업 제어 시스템과 원격 모니터링 체계를 침투 경로로 활용했다는 것이다.
국내 역시 스마트공장과 에너지 설비의 디지털 전환이 빠르게 진행 중인 만큼 IIoT 보안을 사전 설계 단계에서도 관리해야 한다는 의견이 나온다.
최경진 가천대 법학과 교수는 “IoT 기기의 범위가 넓은 만큼, 인증 의무화를 일률적으로 적용할 경우 산업 성장에 부담이 될 수 있어 신중한 접근이 필요하다”며 “국가 핵심 인프라, 국가 전략 기술 산업 등의 분야에서 사용되는 IoT 기기는 인증 의무화를 검토할 필요가 있다”고 말했다.
박진형 기자 jin@etnews.com
