IoT 보안테스트베드, 스마트의료까지 확대 구축

[디지털데일리 최민지기자] 사물인터넷(IoT) 제품,서비스의 보안수준을 자체 검증,보완하는 IoT 보안테스트베드가 스마트의료 분야로 확장된다.

한국인터넷진흥원(KISA)에 따르면 지난 2015년 개소된 IoT 보안테스트베드는 올해 스마트의료 등으로 확대 구축될 예정이다. 지난해에는 스마트카와 공장 등에 적용됐다.

IoT 보안테스트베드는 ▲홈,가전 ▲에너지 ▲스마트카 ▲스마트팩토리 ▲스마트의료 분야를 중심으로 제품 보안성을 시험하고 정보보호 테스트 환경을 제공하는 한편, 보안 인식 제고를 높이는 역할을 한다. IoT 제품 시험성적서 발행과 교육훈련 프로그램도 운영된다.

이는 커지는 IoT 보안위협에 대응하기 위한 방안 중 하나다. IoT 기기는 해커들이 사이버범죄에 악용하는 수단으로 부상하고 있다. 기존에는 공유기,라우터,IP카메라 등만공격 대상이었다면, 이제는 도어락,난방가스,조명제어 등 스마트홈기기, 스마트헬스케어 기기, 스마트카, 스마트폰 등도 타깃이다.

IoT 기기가 주변생활 중심으로 늘어날수록 해커들이 공격할 수 있는 반경도 넓어졌다. 그런데, 이러한 IoT 기기에 대한 보안 수준은 취약하다. 해커들이 크게 노력하지 않아도 쉽게 침투할 수 있을 정도의 심각한 보안 상태를 보이는 기기들이 상당수다. 예를 들어, 공유기를 비롯한 수많은 IoT 기기의 비밀번호는 제조사 기본 설정값으로 돼 있는 경우가 많다. 공격자는 제조사 매뉴얼 또는 인터넷 검색만으로도 기본 비밀번호를 수집할 수 있다.

또한, 해커는 악성코드 감염 등을 통해 디도스(DDoS) 공격 위협을 가하고 공유기 도메인네임시스템(DNS) 변조를 통해 피싱,파밍사이트 접속을 유도, 계정,금융정보를 탈취하기도 한다. 강제로 도어락을 열고 CCTV 각도를 제어하고 스마트카 작동을 방해할 수도 있는데, 이는 사이버상을 넘어 물리적인 범죄로 이어질 수 있다.심각할 경우, 생명도 위협 가능하다.

KISA가 집계한 지난 1분기 신고포상제 통계를 살펴보면, 전체 취약점 접수 건수 696건 중 IoT 분야는 362건으로 전체의 52%를 차지했다. 전년 130건보다 2.8배나 많았다. 1년만에 3배가량 IoT 보안취약점 신고가 증가한 것이다. IoT 취약점이 발견된 기기는 ▲공유기(57%) ▲IP카메라(17%) ▲네트워크스토리지(9%) 순이었다.

IoT는 성장가능성이 높은 미래 먹거리 시장이라 보안 규제에 대해 반대하는 목소리가 많다. 그러나 IoT 도입 후에는 사후 보안조치가 불가능하거나 고비용이 수반되고 사이버 공격에 따라 이용자에게 직접적 위협이 가해질 수 있는 우려가 충분하다. IoT 공격으로 인한 경제적 피해는 2020년 17조7000억원에 달할 것으로추정된다. 자연재해 피해가 2조7000억원, 사이버공격 피해가 3조6000억원인 것과 비교하면, IoT 공격피해는 사이버와 물리적 공간을 가리지 않고 모두 피해를 입힐 수 있을 것으로 예상된다.

이에 IoT 제품,서비스 개발 전주기에 보안이 고려되도록 보안 내재화가 요구되고 있다. KISA는 IoT 공통보안원칙을 제시하고 올해부터 서비스 분야별로 보안가이드를 제공하고 있다. IoT 보안위협 및 이슈에 대해 선제적으로 예방,대응하기 위해 IoT 보안협의체를 구성하고 사이버위협 종합대응체계로 마련키로 했다. IoT 보안얼라이언스에는 IBM, 시스코, 네이버, 통신사, 시만텍 등 서비스,제조업체, 보안업체, 학계, 국가 산하기관들이 참여하고 있다.

특히, 보안내재화를 위해 IoT 보안인증제를 장기적으로 의무화하겠다는 방침이다. 소비자가 안심하고 IoT 제품을 이용할 수 있도록 IoT 보안인증제를 도입, 단기적으로는 자율인증을 실시한다. 이후 민간자율 공공권고로 전환한 후 의무화 체제를 구축하겠다는 것. 국제표준을 반영한 인증기반을 마련해 국내 IoT 기업의 글로벌 진출도 지원할 계획이다.

KISA 측은 '제품 개발단계부터 보안을 내재화하는 정책에 초점을 맞추고 있다'며 '현재 판교 스타트업캡퍼스에 IoT 보안 테스트베드를 구축했으며, 올해는 의료분야에 집중하는 한편 오픈소스 소프트웨어 취약점 분석 환경을 제공하려고 한다'고 말했다.

이어 '무선환경 제어시스템을 통한 홈네트워크 서비스도 당장 구현 가능하나 보안 문제 때문에 도입을 꺼려하고 있다'며 '이를 해소하기 위해서라도 IoT 보안인증제를 도입해 지원해줄 필요가 있다'고 덧붙였다.

<최민지 기자>cmj@ddaily.co.kr

- Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지 -