KISA, IoT 보안인증 확대…KT·서울시·LH·SH에 납품되는 기기 사전검증 추진
한국인터넷진흥원(KISA, 원장 김석환)이 취약한 사물인터넷(IoT) 기기 보안기능을 사전에 점검해 보안수준을 확보하기 위한 IoT 보안인증을 확대한다.
보다 다양한 IoT 제품 유형과 인증수요를 충족하기 위해 인증제도를 세분화하고 신규 기기 인증을 추가하는 한편, 스마트시티 등 융합서비스를 추진하는 지자체·공사·통신사들과 협력을 강화한다.
KISA는 IoT 제품이 사이버위협으로부터 안전성을 확보할 수 있도록 IoT 제품, 그리고 해당 제품과 연동된 모바일 앱을 대상으로 기본 보안요건 충족여부를 평가·인증 서비스를 제공하고 있다.
지난해까지 6개 IoT 제품에 인증서가 발급됐으며, 올해 4개 제품 인증이 완료됐다.
KISA는 2개 등급으로 진행하던 인증제를 작년 말에 3개 등급으로 세분화했다. ▲제품 보안성 유지를 위한 최소한의 조치항목(10개)으로 구성돼 주로 센서 등 소형 기기를 대상으로 인증을 진행하는 라이트(Lite) 등급 ▲해킹사고 등 알려진 보안취약점을 방지할 수 있는 수준의 23개 보안항목으로 구성된 베이직(Basic) 등급 ▲향후 국외 인증과 상호인정 가능성을 고려해 국제적으로 요구되는 수준의 보안항목(41개)으로 구성된 스탠더드(Standard) 등급이다.
베이직 등급은 저사양 운영체제(OS)를 탑재한 중소형 제품이, 중대형 스마트가전기기는 스탠던드 등급을 받아야 한다.
IoT 보안인증 수수료도 없다.
신대규 KISA 융합보안단장은 “IoT 기기 보안인증이 아직 활성화돼 있지 않고 있어 IoT 제품 수요처들과 업무협력을 통해 활성화를 추진하고 있다”라면서 “이통3사, IoT 제품 제조사 등을 대상으로 IoT 보안 인증을 안내하고 홍보활동을 강화할 예정”이라고 말했다.
KISA는 최근 KT와 5G·융합ICT 사이버보안 강화를 위한 업무협약을 체결했다. ▲5G·융합ICT 분야 사이버보안 기술협력 ▲IoT 보안내재화 확산을 위한 공동 협력 ▲빅데이터, 인공지능(AI) 등 최신 사이버보안 위협정보 공유 ▲대국민 사이버보안 인식제고 활동 등이 있다. KISA에서 시행 중인 ‘IoT 보안 인증서비스’를 적극 활용해 IoT 서비스의 보안을 강화한다는 내용도 포함돼 있다.
KT에 납품하는 5G, IoT 제품은 KISA 보안인증서를 획득한 제품으로 할 수 있도록 추진한다는 방침이다.
KT 외 통신사들과 서울시, LH·SH공사와도 협력을 논의하고 있다.
서울시에 납품되거나 서울시 스마트시티 실증사업에 납품되는 IoT 기기는 보안인증을 획득한 제품으로 사용할 수 있도옥 추진한다.
LH·SH와는 설계기준(시방서)에 보안기준 추가, 홈IoT 기기 보안점검 협력을 추진 중이다.
KISA는 또 AI스피커, 증강현실(AR)·가상현실(VR) 기기 등 신규 IoT 제품에서 발생가능한 보안항목을 업그레이드해 보안성을 확보할 수 있도록 기준을 개발해 ‘IoT보안인증위원회’를 통해 검토할 방침이다.
아울러 기존에 인증받은 기기는 3년 주기로 보안인증서를 갱신해 보안수준을 유지할 수 있도록 추진한다. 인증 받은 기기 중 신규 취약점이 발생한 IoT 기기는 긴급점검, 보안 업그레이드에 대한 주기적 알림도 수행할 예정이다.
한편, KISA는 IoT 제품과 서비스 보안수준을 자체 검증·보완할 수 있는 IoT보안테스트베드도 운영하고 있다. 판교 정보보호 클러스터 내에 홈·가전, 에너지 분야를 시작으로 교통·공장, 의료, 안전·재난·환경까지 확대해 산업별 IoT 서비스 테스트 환경이 구축돼 있다.
글. 바이라인네트워크
<이유지 기자>yjlee@byline.network