오는 15일 진행되는 한국인터넷진흥원(KISA) 국정감사에서 ‘IoT 보안’이 논의될 것으로 보인다. 4일 과학기술정보방송통신위원회에 따르면, 과방위 의원들이 KISA에 가장 많이 요청한 국정감사 자료 가운데 하나가 ‘IoT 보안 취약점’으로 나타났다.
 

KISA에 따르면, IoT 관련 보안 취약점 신고는 매년 늘고 있다. 신고건수는 지난 2014년 6건에서 2015년 130건, 2016년 362건, 2017년 347건, 2018년 387건으로 증가하는 추세다. 올 상반기에는 188건이 접수됐다. 하반기까지 합산하면 올해 IoT 보안 취약점 신고건수는 전년대비 늘어날 전망이다.
 

KISA는 IoT 보안 취약점을 신고받는 ‘소프트웨어(SW) 신규 취약점 신고포상제’를 운영하고 있다. 인터넷 내외부에 있는 보안 취약점을 파악해 정보를 전달하고, 보안조치를 지원한다. 지금까지 접수받은 보안 취약점은 제조사에 요청해 보안조치를 완료했다. 
 

그동안 KISA에 신고된 IoT 보안 취약점 유형은 다양하다. ▲해커가 관리자 권한을 무단으로 취득할 수 있는 ‘권한 탈취 취약점’ ▲보안프로그램을 우회할 수 있는 취약점 ▲IoT 관리자 페이지 권한에 접근할 수 있는 ‘인증 우회’ ▲IoT 장비에 수집된 정보 유출 취약점 ▲IoT 기기에 악의적 명령어를 삽입해 악성코드를 실행할 수 있는 취약점 등이 신고됐다.
 

동시에 KISA는 IoT 기기의 보안 안정성을 평가는 ‘IoT 보안인증제도’를 지난 2017년 12월부터 실시하고 있다. IoT 제품과 연동된 모바일 앱이 일정 수준의 보안을 갖췄는지 시험한 뒤, 기준을 충족한 경우 인증서를 발급한다.
 

하지만 인증 실적은 저조한 상황. 인증을 받은 IoT 기기 종류는 지난 2018년 4건, 올해 12건으로, 현재까지 총 16건의 인증서가 발급됐다. IoT 보안조치는 법적으로 규정되지 않았기 때문에 기업들의 참여가 저조한 편이다.
 

게다가 인증을 받은 기업 절반 이상이 삼성SDS, 삼성티엔지, LG유플러스 등 대기업이다. IoT 보안인증이 중요한 곳은 중소 제조사다. 보안에 가장 취약하기 때문이다. 전체 인증 건수가 미미한 가운데, 중소기업의 참여도 소극적인 편이다.
 

무엇보다 중요한 것은 기업들이 IoT 인증을 자발적으로 받을 수 있도록 장치를 마련해야 한다는 것이 전문가들의 의견이다. 일각에서는 IoT 보안인증을 받을 경우, 공공기관 납품 시 가산점을 주거나 IoT 보안인증을 의무화해야 한다는 등 활성화를 위한 다양한 의견이 나오고 있다.
 

하지만 아직까지 중소기업들이 보안인증을 부담스러워하는 것이 현실적 어려움이다. KISA 측은 “IoT 보안 인증 의무화는 기업들의 부담이 될 수 있는 민감한 문제로, 아직까지 활성화에 초점을 두고 있다”며 다양한 방법을 강구할 계획이라고 전했다.
 

이러한 가운데 IoT에 대한 어두운 전망은 계속해서 나오고 있다. KT 경제경영연구소에 따르면, 2030년 국내 IoT 해킹 피해액은 26조7000억원에 달할 전망이다.
 

<홍하나 기자>hhn0626@ddaily.co.kr