IoT 취약점 점검 시스템 구축 완료...2019년 상반기 시범 운영 계획
정보통신망법 상 사전 취약점 점검은 불법...제도개선 논의 필요
[보안뉴스 원병철 기자] 한국인터넷진흥원(원장 김석환, 이하 KISA)이 사물인터넷 보안을 위해 팔을 걷어붙인다. KISA는 지난 10월 송희경 의원이 제기한 사물인터넷 검색엔진 쇼단에 한국 IoT 기기 취약점 정보가 대량 노출되고 있는 문제에 대응하기 위해 ‘IoT 취약점 점검 시스템(가칭)’을 연구하고 있으며, 시스템 구축을 완료했다고 밝혔다.
[이미지=iclickart]
KISA 이동근 침해사고분석단장은 “쇼단에 한국 IP카메라의 취약점 정보가 노출된 것에 대한 문제제기가 있었는데, 당시 한국형 쇼단에 대한 의견도 함께 제기됐다”면서, “하지만 사용자에게 사전 공지나 동의없이 정보를 공개하면 불법”이라고 설명했다.
때문에 KISA는 인터넷을 스캐닝 한 후 IoT 기기 정보를 수집한 후 KISA가 수집한 취약점 DB와 비교해 문제가 있는 IoT 기기를 찾아낸다는 계획이다. 이어 해당 IoT 기기의 IP를 확인하고 통신사를 통해 사용자에게 취약점 사실을 알려준 후 동의를 받아 해결방안을 제시한다.
취약점 DB는 국내외 공개된 취약점 정보(KISA, NVD, 유관기관 등)를 수집한 후 DB로 정리하며, 점검은 인터넷 내외부에서 IoT 기기 및 전산장비의 취약점을 스캔하게 된다. 이렇게 점검을 통해 수집된 IoT 기기정보와 취약점 DB간 연관성 조회를 통해 위협정보를 도출한다.
기업과 개인 모두가 대상이며, 기업의 경우 침해사고 기술지원 또는 다중이용 서비스 취약점 점검시 IoT 취약점 점검에 대한 동의를 받아 보안 취약점과 조치를 안내한다. 개인의 경우 개인이 가정 내 IoT 기기 점검을 신청하면 원격 지원을 통해 IoT 기기에 대한 보안 취약점 파악과 조치를 안내한다.
2019년 상반기에는 시스템 시범 운영을 추진하며, 하반기에는 기업과 개인을 대상으로 점검을 수행한다. 다만 정보통신망법 제48조에 의거 동의 없는 취약점 점검은 법률위반 소지가 존재해 점검 전 개인 또는 기업의 동의가 필수이기 때문에 이에 대한 제도개선 논의가 필요하다고 KISA는 밝혔다.
[원병철 기자(boanone@boannews.com)]
정보통신망법 상 사전 취약점 점검은 불법...제도개선 논의 필요
[보안뉴스 원병철 기자] 한국인터넷진흥원(원장 김석환, 이하 KISA)이 사물인터넷 보안을 위해 팔을 걷어붙인다. KISA는 지난 10월 송희경 의원이 제기한 사물인터넷 검색엔진 쇼단에 한국 IoT 기기 취약점 정보가 대량 노출되고 있는 문제에 대응하기 위해 ‘IoT 취약점 점검 시스템(가칭)’을 연구하고 있으며, 시스템 구축을 완료했다고 밝혔다.
[이미지=iclickart]
KISA 이동근 침해사고분석단장은 “쇼단에 한국 IP카메라의 취약점 정보가 노출된 것에 대한 문제제기가 있었는데, 당시 한국형 쇼단에 대한 의견도 함께 제기됐다”면서, “하지만 사용자에게 사전 공지나 동의없이 정보를 공개하면 불법”이라고 설명했다.
때문에 KISA는 인터넷을 스캐닝 한 후 IoT 기기 정보를 수집한 후 KISA가 수집한 취약점 DB와 비교해 문제가 있는 IoT 기기를 찾아낸다는 계획이다. 이어 해당 IoT 기기의 IP를 확인하고 통신사를 통해 사용자에게 취약점 사실을 알려준 후 동의를 받아 해결방안을 제시한다.
취약점 DB는 국내외 공개된 취약점 정보(KISA, NVD, 유관기관 등)를 수집한 후 DB로 정리하며, 점검은 인터넷 내외부에서 IoT 기기 및 전산장비의 취약점을 스캔하게 된다. 이렇게 점검을 통해 수집된 IoT 기기정보와 취약점 DB간 연관성 조회를 통해 위협정보를 도출한다.
기업과 개인 모두가 대상이며, 기업의 경우 침해사고 기술지원 또는 다중이용 서비스 취약점 점검시 IoT 취약점 점검에 대한 동의를 받아 보안 취약점과 조치를 안내한다. 개인의 경우 개인이 가정 내 IoT 기기 점검을 신청하면 원격 지원을 통해 IoT 기기에 대한 보안 취약점 파악과 조치를 안내한다.
2019년 상반기에는 시스템 시범 운영을 추진하며, 하반기에는 기업과 개인을 대상으로 점검을 수행한다. 다만 정보통신망법 제48조에 의거 동의 없는 취약점 점검은 법률위반 소지가 존재해 점검 전 개인 또는 기업의 동의가 필수이기 때문에 이에 대한 제도개선 논의가 필요하다고 KISA는 밝혔다.
[원병철 기자(boanone@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg){kind=spacer}
.jpg)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg)