[시큐리티월드 원병철 기자] 과학기술정보통신부와 한국인터넷진흥원(KISA)이 ‘사물인터넷(IoT) 보안인증 서비스’ 시행을 앞두고 이를 설명하는 시간을 마련했다. 보안인증 서비스는 최근 불거진 IP 카메라 해킹사건 등 IoT 기기의 보안문제를 해결하기 위한 대책 가운데 하나로, 이전에 발표했던 ‘IoT 공통보안가이드(2016년 9월)’, ‘홈·가전 IoT 보안가이드(2017년 7월)’ 등 주요 보안 가이드에서 제시했던 보안요구사항을 평가하는 제도다.

ⓒiclickart

이번 보안인증 서비스는 정부가 아닌 KISA에서 직접 시험하고 평가한 후 인증서를 발행한다. 때문에 ‘민간 자율의 임의인증’인 KISA 발행 인증서가 발행되며, 공식적으로 공공분야 등에서의 특별한 혜택은 없다. 다만 과기정통부가 관여하는 만큼 추후 ‘공공 인증서’가 될 가능성도 배제할 수는 없다.

보안인증 서비스의 대상은 ‘IoT 기기’와 기기와 연동되는 ‘앱’ 두 가지다. 또한,인증 서비스의 종류는 ‘스탠더드(Standard)’와 ‘라이트(Lite)’ 두 종류이며, 스탠다드는 5개 영역 41개 항목을, 라이트는 5개 영역 23개 항목을 각각 테스트한다. 라이트는 스탠다드보다 테스트 항목이 적지만, 보안이 덜하다고 생각하는 것 보다는 IoT 제품이 41개 항목을 다 지원하지 않을 경우로 보는 것이 바람직하다고 KISA 측은 설명했다.

▲ IoT 보안인증 시험을 위한 요구 제출물 목록(스탠다드는 라이트 항목 포함)(자료=KISA)

특히, 스탠다드의 경우 국제표준을 기준으로 작성됐기 때문에 이번 인증 서비스를 받는 다면 해외 어디에도 수월하게 수출할 수 있을 것이라고 KISA에서는 강조하고 있다. 비록 민간인증이지만 그 수준만큼은 세계 어디에서도 통할 수 있을 것이라는 자신감이다. 그러나 임의인증이고, 인증 시에도 별다른 혜택이 없는 만큼 IP 카메라 업체를 비롯한 IoT 기기 제조업체들이 얼마나 많이 참여할 지는 아직 미지수다.

박창열 KISA IoT융합보안팀장은 “보안인증 서비스는 IoT 기기의 개발단계부터 보안성을 내재화하기 위해 하는 서비스”라면서, “민간인증이기 때문에 업체에서 신청을 해야만 테스트를 진행하며, 스탠다드와 라이트 각각 모든 항목을 통과해야만 인증서를 발행할 것”이라고 설명했다.

KISA의 설명이 끝난 후, 설명회에 참석했던 관련 기업들로부터 많은 질문들이 쏟아졌다. 우선 인증서의 기한에 대한 질문이 있었는데, 공식적으로 한 번 인증을 받은 제품은 3년간 유지되며, 업체의 요청이 있을 경우 확인 후 2년 간 더 유지된다. 사실 빠르게 변화하는 IoT 환경에서 5년이 너무 길다는 의견도 있었지만, 너무 짧게 할 경우 업체에 부담이 될 것이라는 판단 하에 결정했다고 KISA 측은 밝혔다.

문제는 제품 하나 하나마다 인증을 받아야 한다는 사실이다. 사실 업체에게는 기간 보다 이 부분이 더 부담이 될 수 있다. 하지만 KISA는 보안 인증서인 만큼 인증은 모두 받아야 한다고 강조했다.

인증에 소요되는 시간은 대략 3~4주가 걸릴 것으로 예상된다. 판교 스타트업 캠퍼스에 테스트 공간을 마련하고 필요한 기자재는 모두 갖췄으며, 이미 분야별로 제품을 선정해 테스트 시험도 진행했기 때문에 큰 문제는 없을 것이라고 KISA 측은 밝혔다. 또한, B2C 제품의 경우 크기나 무게가 너무 커서 테스트하기가 쉽지 않을 때는 한국기계전기전자시험연구원(KTC) 등 관련 기관과 함께 진행할 계획이다.

한편, 이번 IoT 보안 인증 서비스는 올해 안에 시행할 예정이지만 시행일은 아직 명확하게 정해지지 않았다.