Breaking
사이버 보안(Cybersecurity)
英 IoT 기기 '설계 단계'부터 보안 강화하는 법안 발의
2019-06-26 18:29:55
허서윤
▲마고 제임스 장관이 모든 IoT 장치의 보안을 설계 시점부터 강화시킬 수 있도록 한 새 법안을 발의했다(사진=ⓒ위키미디어 커먼스)

[라이헨바흐=허서윤 기자] 영국의 마고 제임스 디지털문화미디어체육부(DCMS) 장관이 모든 사물인터넷(IoT) 장치의 보안을 설계 시점부터 강화시킬 수 있도록 한 새로운 법안을 발의했다.

DCMS는 또한 다음달 5일(현지시간) 까지 IoT 기기 제조업체와 서비스 공급업체, 모바일 앱 개발자, 소매업체, 기술 전문가, 학계 등 소비자 IoT 보안에 관련된 모든 관계자들이 이 법안에 직접 참여하고 협의할 수 있도록 했다.

관련 법안을 발의한 의원들은 IoT 기기에 대한 이번 법안이 통과되면, 특히 소비자들에 대한 보안이 강화될 것으로 보고 있다.

견고하고 현대의 사이버 위협에 견딜수 있을뿐 아니라, 이미 설계 부분부터 이러한 강화 요건이 내장돼있어 보안 기능이 더 강화될 수 있다는 취지다.

▲소비자 IoT 보안 실천 강령은 제품과 서비스가 개발 단계부터 보안을 염두에 두고 설계돼한다고 명시한다(사진=ⓒ픽사베이)

소비자 IoT 보안 실천 강령

영국 정부는 이미 지난해 10월 소비자 IoT 보안 실천 강령을 추진한 바 있다. 이는 보안이 상대적으로 허술한 IoT 기기가 상당수를 차지하고 있다는 사실때문으로, 궁극적으로는 이번 새로운 법안 발의의 계기로 작동했다.

소비자 IoT 보안에 관한 실천 강령은 먼저 이용자들이 온라인 활동을 보호받기 위한 적절한 보안 및 개인 정보 보호 조치가 마련돼 있다는 것을 확신하면서 연결된 기술을 안전하게 활용할 수 있어야한다고 명시하고 있다.

또한 제품과 서비스는 제품 개발 단계부터 라이프 사이클 전체에 걸쳐 보안을 염두에 두고 설계되어야한다고 강조하고 있다.

조직 역시 제품 및 서비스와 관련된 사이버 보안 위험을 정기적으로 평가하고, 이를 해결하기 위한 적절한 조치도 취할 수 있어야한다.

실천 강령에 기재된 지침은 ▲기본 암호 비설정▲취약점 공개 구현▲소프트웨어 업데이트 유지▲자격 증명 및 보안에 민감한 데이터를 안전하게 저장▲안전한 의사소통▲노출된 공격 표면 최소화▲소프트웨어 무결성 보장 순이다.

실천 강령은 또한 이해당사자를 기기 제조업체, IoT 서비스 공급업체, 모바일 앱 개발사, 소매업체 등의 4가지 분류 중 하나로 정의하고 있다.

먼저 기기 제조업체는 주로 IoT 기기의 최종 제품을 만들어 조립하는 개인 및 조직으로 규정되며, 서비스 공급업체는 IoT 솔류션 패키지에 클라우드 스토리지, 네트워크, 데이터 전송 등의 서비스를 제공하는 업체로 명시된다.

물론 IoT 기기 자체가 포함될 수 도 있다. 모바일 앱 개발업체는 모바일 기기를 위한 앱을 적절하게 개발하고 제공하는 조직이며, 소매업체는 IoT 제품을 소비자에게 직접 판매하는 당사자로 적시됐다.

▲실천 강령은 기본 암호 비설정 및 안전한 커뮤니케이션, 소프트웨어 업데이트 유지 등을 촉구한다

 

3가지 협의안

이번 협의에는 현재까지 3가지 방안이 제시돼있다.

A 옵션 : 영국의 IoT 제품 소매업체의 의무적인 라벨링 계획으로, 제조업체의 보안 등급 평가.

B 옵션 : IoT 기기 판매시 IoT 보안 실천 강령의 상위 3개 지침을 판매점에 준수하도록 위임.

C 옵션 : 소매업체는 제조사가 자체적으로 평가할 실친 강령의 13가지 지침을 모두 준수하는 IoT 장치만 판매

이에 따라 소매 업체가 위의 3가지 옵션 가운데 하나라도 준수할 수 있는 경우에만, 영국에서 유통되는 IoT 제품이 안전하다고 간주될 수 있다.

이와 관련해 제임스 장관은 "인터넷과 연결된 많은 소비자 제품들의 불안정성으로 소비자의 사생활과 보안이 위험에 처하는 경우가 많다"며 "실천 강령은 제품들이 설계 단계부터 보안 기능을 내장해 사후 검토로 추가 기능이 이어지지 않도록 하기 위한 첫 번째 단계"라고 설명했다.

그는 "새로운 제안들이 인터넷 연결 장치의 안정성을 향상시키는데 도움이 될 것"이라며 "온라인 안전성에서 세계적인 리더가 될 수 있는 또 다른 이정표가 될 수 있다"고 자신했다.

사이버안전센터(NCSC)의 이안 레비 박사 역시 "혁신적인 라벨링 계획은 소비자들에게 좋은 소식"이라며 "소비자들은 자신의 가정에 들어오는 기술에 대해 정보에 입각한 결정을 내릴 수 있을 것"이라고 전망했다.

▲실천 강령은 기본 암호 비설정 및 안전한 커뮤니케이션, 소프트웨어 업데이트 유지 등을 촉구한다

 

보안 강화 법안에 대한 지지

법안이 발의된 후 많은 유명 인사들과 단체, 개인, 특히 보안 기업들은 모두 다 환영의 뜻을 밝혔다.

사이버 보안 업체 카스퍼스키 랩스의 보안 연구원인 데이비드 엠은 "모든 연결된 제품들이 반드시 준수해야하는 업계 표준 요건을 갖추는 것은, 소비자들이 안전하게 모든 품목들을 구입할 수 있도록 만들 수 있다"라고 말했다.

이어 "제안된 라벨링 계획은 이를 향상시킬 수 있으며, 소비자들이 스마트 기기가 이를 준수하는지도 쉽게 확인할 수 있다"고 덧붙였다.

그는 "이러한 시스템은 소비자들의 안전성 확보와 이전보다 더 잘 구성된 장치들을 갖출 수 있도록 해주는데 긍정적인 조치"라며 "오랫동안 고객 보호에 대한 소홀함이 있어왔지만, 전세계에 수 십억 대의 연결된 장치들이 매일 운영되고 있는 만큼 마침내 올바른 조치가 취해지고 있는 것 같다"고 극찬했다.

[라이헨바흐=허서윤 기자]