‘정보통신망 연결기기’ 범주, ICT 융합 분야 전반으로 확대
가전, 교통, 금융, 스마트도시, 의료, 제조·생산, 주택, 통신 등도 사이버 보안 적용해야
[보안뉴스 이상우 기자] 지난해 12월 10일, ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률’ 일부 개정을 통해 사이버 보안을 새롭게 정의한 ‘정보통신망연결기기 등’으로 확대됐다. 2021년 1월 5일에는 타법 개정안 역시 시행되면서 본격적으로 사이버 보안 사각지대에 있던 융합 ICT 분야도 정보보호 규율대상이 됐다.
[이미지=utoimage]
흔히 정보통신망연결기기라고 하면 스마트폰이나 PC 혹은 PDA 같은 컴퓨팅 기기를 떠올리기 십상이다. 하지만 ICT 분야의 발전으로 우리 삶의 다양한 부분까지 인터넷에 연결되는 사물인터넷(IoT) 시대가 본격화되면서 이에 대한 사이버 위협 역시 더욱 커지게 됐다. 가령, 가정용 CCTV(IP 카메라)를 해킹해 사생활을 훔쳐보는 일은 지금도 당장 실행할 수 있는 공격이다. 가까운 미래에 등장할 자율주행차를 해킹하면 ‘사이버 공격’을 물리적인 공격으로 바꾸는 것 역시 가능하며, 지능화한 전력 공급망(스마트그리드)을 공격하면 대규모 정전 사태 등도 실행할 수 있다.
이에 따라 과기정통부는 정보통신망연결기기의 정의를 가전, 교통, 금융, 스마트도시, 의료, 제조·생산, 주택, 통신 등으로 확대하고, 침해사고의 발생 가능성 및 사고 발생 시 일어날 수 있는 위험 수준에 따라 정보보호지침 권고 대상, 침해사고 시 대응, 기기 인증범위 등을 명확하게 규정했다. 이를 통해 ICT 융합산업 대표 분야에 최소한의 보안기준을 제시하고, 준수를 유도함으로써 정보보호 사각지대를 해소할 수 있을 것이라는 기대다.
△가전 분야는 스마트 홈 네트워크에 연결하는 멀티미디어 제품, 주방가전, 생활가전 등이 해당한다. 가정에서 흔히 사용하는 IPTV 셋톱박스는 물론, 스마트TV 같은 백색가전, 원격에서 제어하는 로봇청소기나 공기청정기 등 네트워크에 연결할 수 있는 모든 가전이 이에 해당한다. 과거 이러한 제품은 별도의 네트워크와는 전혀 무관한 기기였으나, 최근 인공지능과 이동통신 기술의 발달로 음성제어뿐만 아니라 원격에서도 스마트폰을 이용해 기기를 제어할 수 있게 됐다. 마이크, 카메라 등 주요 센서가 부착되면서 이를 악용한 사생활 침해 역시 가능한 상황이다. 특히, 상대적으로 보안이 취약한 스마트 가전을 발판으로 사이버 공격자가 홈 네트워크에 직접 침입하고, 재택근무에 사용하는 PC를 악성코드에 감염시키는 것도 충분히 가능한 시나리오다.
[이미지=utoimage]
△교통 분야는 지능형 교통체계, 드론, 자동차, 선박 등이 정보통신망 연결기기에 해당한다. 지능형 교통체계란 교통수단 및 교통시설에 기술과 교통정보를 접목해 자동화·과학화 등을 이룬 관리체계를 말한다. 버스 도착 안내 시스템, 내비게이션 실시간 교통정보, 통행량에 따른 교차로 신호 자동 변경 시스템 등을 예로 들 수 있다. 이러한 시스템이 사이버 공격에 노출될 경우 대규모 교통 혼란이 발생할 수 있으며, 심하면 물류가 마비될 가능성도 존재한다.
드론은 사람이 탑승하지 않은 상태로 움직일 수 있는 비행체로, 원격·자율·자동 등 다양한 방식으로 작동하는 무인비행체를 말한다. 드론의 경우 제어권을 탈취해 불법 촬영 및 공공시설 테러 등의 공격이 이어질 수 있는 만큼 제작단계부터 운용까지 다양한 보안 적용이 필요하다.
자동차와 선박은 각각 자동차관리법과 선박법에서 정의하는 자동차와 선박(기선)을 의미한다. 자동차의 경우 현재로도 원격에서 시동을 켜거나 끄고, 각종 실내 장치를 작동하는 커넥티드 카 서비스가 존재하며, 향후 자율주행 및 5G 기반 차량정보 제공 등이 실현되는데 대비하기 위해 사이버 보안 영역에 포함한 것으로 보인다. 선박의 경우 자력으로 움직일 수 없는 부선이나 돛을 사용하는 범선은 해당하지 않으며, 기관을 사용하는 기선은 자율운항에 대비해 보안을 강화할 필요가 있다.
△금융 분야는 전자금융거래법에서 정의한 전자적 장치가 해당한다. 전자적 장치는 금융정보를 전자적인 방법으로 처리하는데 이용하는 장치다. 현금 자동입출금기(ATM), 지급용단말기(카드 단말기) 등 결제가 이뤄지는 기기는 물론, 컴퓨터나 스마트폰 등 인터넷뱅킹 및 전자상거래에 이용하는 장치 등도 해당한다. 최근 전 세계적으로 비대면 사회가 빠르게 확산하고, 은행 창구를 이용한 대면 거래보다 인터넷뱅킹 등 비대면 거래가 크게 늘어나는 상황에서 금융결제에 쓰이는 기기에 대한 사이버 보안 필요성도 크다.
[이미지=utoimage]
△스마트도시 분야는 스마트도시 조성 및 산업진흥 등에 관한 법률에서 정의한 ‘스마트도시서비스’에 쓰이는 기기 및 장비가 해당한다. 스마트도시 서비스는 행정·교통·복지·환경·방재·교육·물류·주거 등의 정보를 연계해 제공하는 서비스다. 특정 지역에 화재 신고가 발생했을 때 CCTV를 이용해 사고 규모를 파악하고, 신호체계를 일시적으로 변경해 소방차가 빠르게 현장에 도착하도록 지원하는 서비스를 예로 들 수 있다. 스마트시티와 관련한 주요 기능 및 장비는 국민의 생활과 직접적으로 연결된 영역으로, 향후 이에 대한 보안을 필수적으로 적용해야 한다.
△의료 분야는 의료기기법에 따른 의료기기 중, 통신기능을 보유한 것이 정보통신망연결기기로 분류된다. 의료기기는 질병을 진단하거나 치료하고, 신체 기능을 대체하는 장치를 말하며, 이러한 기기와 함께 쓰이는 소프트웨어 역시 해당한다. 최근 의료 분야에서는 각종 기기가 디지털화되는 추세며, 가까운 미래에는 개인용 진단기기를 통한 정보를 이용해 의사가 원격에서도 진료를 할 수 있을 전망이다. 이에 따라 국민의 생명과 직결된 의료 분야에서 보안 내재화를 유도하자는 취지로 보인다.
△제조·생산 분야는 제품을 제조 및 생산하는 장비, 용역을 관리하기 위해 제어·점검·측정·탐지 등의 용도로 사용되는 기기 등이 해당한다. 초고속 네트워크 및 인공지능의 발달로 기존 제조 및 생산시설을 지능화하는 ‘스마트팩토리’ 도입이 한창이다. 반면, 기존 보안 패러다임으로는 지능화된 OT(운영기술)/ICS(산업제어시스템)을 보호하기 어렵다. 전통적인 산업 환경은 IT와 분리된 상태로 운영해온 만큼, 새로운 환경에 대한 보안 강화 없이 지능화가 이뤄질 경우 기업의 경제적 손실은 불가피하다. 이에 정부는 해당 분야를 정보통신망 연결기기로 분류하고, 보안 요건을 갖추도록 할 전망이다.
[이미지=utoimage]
△주택 분야는 건축법에서 정의하는 건축설비 중 지능형 홈 네트워크에 연결되는 기기, 설비, 장비 등을 말한다. 건축설비는 건축물에 설치하는 전기, 전화 및 초고속 네트워크, 가스, 급수 및 배수, 공조·냉난방·소화 등 주거에 필요한 전반적인 설비를 말한다. 가전제품을 넘어 수도나 가스 같은 비가전 시설 역시 인터넷에 연결되면서 체계적인 관리 및 불필요한 사용 예방을 통해 자원을 예방할 수 있다. 하지만, 인터폰과 공동현관 출입인증 등 주요 시스템을 공격해 외부인이 무단으로 침입할 수 있으며, 전기나 가스 등 안전관련 설비 역시 공격할 가능성도 존재한다. 이에 주택 역시 향후 사이버 보안의 주요 영역 중 하나로 대응해야 한다.
△통신 분야는 전파법에 따른 방송통신기자재 중 무선 또는 유선으로 통신이 가능한 기기가 정보통신망연결기기에 해당한다. 이러한 기기는 기존에는 ‘방송통신기자재 등의 적합성 평가(전파인증)’을 통하 전자파장해 유발 여부 등을 시험해 왔으나, 향후 각종 스마트기기 제작 및 수입이 늘어날 전망인 만큼 보안성 제고 역시 필요하다.
한편, 과기정통부는 정보통신망법 개정에 따라 기존 사물인터넷 보안인증 제도 역시 확대해 정보통신망연결기기 정보보호인증 제도로 운영한다. 기존 사물인터넷 보안인증제도와 마찬가지로 강제 인증이 아닌 자율 인증 제도로 운영한다. 인증 제품의 경우 소비자가 보안성을 확보된 제품을 선택할 수 있는 일종의 지표로 쓰이기 때문에 기업 역시 이를 통해 자발적으로 보안 수준을 높일 것으로 정부는 기대하고 있다.
[이상우 기자(boan@boannews.com)]
가전, 교통, 금융, 스마트도시, 의료, 제조·생산, 주택, 통신 등도 사이버 보안 적용해야
[보안뉴스 이상우 기자] 지난해 12월 10일, ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률’ 일부 개정을 통해 사이버 보안을 새롭게 정의한 ‘정보통신망연결기기 등’으로 확대됐다. 2021년 1월 5일에는 타법 개정안 역시 시행되면서 본격적으로 사이버 보안 사각지대에 있던 융합 ICT 분야도 정보보호 규율대상이 됐다.
[이미지=utoimage]
흔히 정보통신망연결기기라고 하면 스마트폰이나 PC 혹은 PDA 같은 컴퓨팅 기기를 떠올리기 십상이다. 하지만 ICT 분야의 발전으로 우리 삶의 다양한 부분까지 인터넷에 연결되는 사물인터넷(IoT) 시대가 본격화되면서 이에 대한 사이버 위협 역시 더욱 커지게 됐다. 가령, 가정용 CCTV(IP 카메라)를 해킹해 사생활을 훔쳐보는 일은 지금도 당장 실행할 수 있는 공격이다. 가까운 미래에 등장할 자율주행차를 해킹하면 ‘사이버 공격’을 물리적인 공격으로 바꾸는 것 역시 가능하며, 지능화한 전력 공급망(스마트그리드)을 공격하면 대규모 정전 사태 등도 실행할 수 있다.
이에 따라 과기정통부는 정보통신망연결기기의 정의를 가전, 교통, 금융, 스마트도시, 의료, 제조·생산, 주택, 통신 등으로 확대하고, 침해사고의 발생 가능성 및 사고 발생 시 일어날 수 있는 위험 수준에 따라 정보보호지침 권고 대상, 침해사고 시 대응, 기기 인증범위 등을 명확하게 규정했다. 이를 통해 ICT 융합산업 대표 분야에 최소한의 보안기준을 제시하고, 준수를 유도함으로써 정보보호 사각지대를 해소할 수 있을 것이라는 기대다.
△가전 분야는 스마트 홈 네트워크에 연결하는 멀티미디어 제품, 주방가전, 생활가전 등이 해당한다. 가정에서 흔히 사용하는 IPTV 셋톱박스는 물론, 스마트TV 같은 백색가전, 원격에서 제어하는 로봇청소기나 공기청정기 등 네트워크에 연결할 수 있는 모든 가전이 이에 해당한다. 과거 이러한 제품은 별도의 네트워크와는 전혀 무관한 기기였으나, 최근 인공지능과 이동통신 기술의 발달로 음성제어뿐만 아니라 원격에서도 스마트폰을 이용해 기기를 제어할 수 있게 됐다. 마이크, 카메라 등 주요 센서가 부착되면서 이를 악용한 사생활 침해 역시 가능한 상황이다. 특히, 상대적으로 보안이 취약한 스마트 가전을 발판으로 사이버 공격자가 홈 네트워크에 직접 침입하고, 재택근무에 사용하는 PC를 악성코드에 감염시키는 것도 충분히 가능한 시나리오다.
[이미지=utoimage]
△교통 분야는 지능형 교통체계, 드론, 자동차, 선박 등이 정보통신망 연결기기에 해당한다. 지능형 교통체계란 교통수단 및 교통시설에 기술과 교통정보를 접목해 자동화·과학화 등을 이룬 관리체계를 말한다. 버스 도착 안내 시스템, 내비게이션 실시간 교통정보, 통행량에 따른 교차로 신호 자동 변경 시스템 등을 예로 들 수 있다. 이러한 시스템이 사이버 공격에 노출될 경우 대규모 교통 혼란이 발생할 수 있으며, 심하면 물류가 마비될 가능성도 존재한다.
드론은 사람이 탑승하지 않은 상태로 움직일 수 있는 비행체로, 원격·자율·자동 등 다양한 방식으로 작동하는 무인비행체를 말한다. 드론의 경우 제어권을 탈취해 불법 촬영 및 공공시설 테러 등의 공격이 이어질 수 있는 만큼 제작단계부터 운용까지 다양한 보안 적용이 필요하다.
자동차와 선박은 각각 자동차관리법과 선박법에서 정의하는 자동차와 선박(기선)을 의미한다. 자동차의 경우 현재로도 원격에서 시동을 켜거나 끄고, 각종 실내 장치를 작동하는 커넥티드 카 서비스가 존재하며, 향후 자율주행 및 5G 기반 차량정보 제공 등이 실현되는데 대비하기 위해 사이버 보안 영역에 포함한 것으로 보인다. 선박의 경우 자력으로 움직일 수 없는 부선이나 돛을 사용하는 범선은 해당하지 않으며, 기관을 사용하는 기선은 자율운항에 대비해 보안을 강화할 필요가 있다.
△금융 분야는 전자금융거래법에서 정의한 전자적 장치가 해당한다. 전자적 장치는 금융정보를 전자적인 방법으로 처리하는데 이용하는 장치다. 현금 자동입출금기(ATM), 지급용단말기(카드 단말기) 등 결제가 이뤄지는 기기는 물론, 컴퓨터나 스마트폰 등 인터넷뱅킹 및 전자상거래에 이용하는 장치 등도 해당한다. 최근 전 세계적으로 비대면 사회가 빠르게 확산하고, 은행 창구를 이용한 대면 거래보다 인터넷뱅킹 등 비대면 거래가 크게 늘어나는 상황에서 금융결제에 쓰이는 기기에 대한 사이버 보안 필요성도 크다.
[이미지=utoimage]
△스마트도시 분야는 스마트도시 조성 및 산업진흥 등에 관한 법률에서 정의한 ‘스마트도시서비스’에 쓰이는 기기 및 장비가 해당한다. 스마트도시 서비스는 행정·교통·복지·환경·방재·교육·물류·주거 등의 정보를 연계해 제공하는 서비스다. 특정 지역에 화재 신고가 발생했을 때 CCTV를 이용해 사고 규모를 파악하고, 신호체계를 일시적으로 변경해 소방차가 빠르게 현장에 도착하도록 지원하는 서비스를 예로 들 수 있다. 스마트시티와 관련한 주요 기능 및 장비는 국민의 생활과 직접적으로 연결된 영역으로, 향후 이에 대한 보안을 필수적으로 적용해야 한다.
△의료 분야는 의료기기법에 따른 의료기기 중, 통신기능을 보유한 것이 정보통신망연결기기로 분류된다. 의료기기는 질병을 진단하거나 치료하고, 신체 기능을 대체하는 장치를 말하며, 이러한 기기와 함께 쓰이는 소프트웨어 역시 해당한다. 최근 의료 분야에서는 각종 기기가 디지털화되는 추세며, 가까운 미래에는 개인용 진단기기를 통한 정보를 이용해 의사가 원격에서도 진료를 할 수 있을 전망이다. 이에 따라 국민의 생명과 직결된 의료 분야에서 보안 내재화를 유도하자는 취지로 보인다.
△제조·생산 분야는 제품을 제조 및 생산하는 장비, 용역을 관리하기 위해 제어·점검·측정·탐지 등의 용도로 사용되는 기기 등이 해당한다. 초고속 네트워크 및 인공지능의 발달로 기존 제조 및 생산시설을 지능화하는 ‘스마트팩토리’ 도입이 한창이다. 반면, 기존 보안 패러다임으로는 지능화된 OT(운영기술)/ICS(산업제어시스템)을 보호하기 어렵다. 전통적인 산업 환경은 IT와 분리된 상태로 운영해온 만큼, 새로운 환경에 대한 보안 강화 없이 지능화가 이뤄질 경우 기업의 경제적 손실은 불가피하다. 이에 정부는 해당 분야를 정보통신망 연결기기로 분류하고, 보안 요건을 갖추도록 할 전망이다.
[이미지=utoimage]
△주택 분야는 건축법에서 정의하는 건축설비 중 지능형 홈 네트워크에 연결되는 기기, 설비, 장비 등을 말한다. 건축설비는 건축물에 설치하는 전기, 전화 및 초고속 네트워크, 가스, 급수 및 배수, 공조·냉난방·소화 등 주거에 필요한 전반적인 설비를 말한다. 가전제품을 넘어 수도나 가스 같은 비가전 시설 역시 인터넷에 연결되면서 체계적인 관리 및 불필요한 사용 예방을 통해 자원을 예방할 수 있다. 하지만, 인터폰과 공동현관 출입인증 등 주요 시스템을 공격해 외부인이 무단으로 침입할 수 있으며, 전기나 가스 등 안전관련 설비 역시 공격할 가능성도 존재한다. 이에 주택 역시 향후 사이버 보안의 주요 영역 중 하나로 대응해야 한다.
△통신 분야는 전파법에 따른 방송통신기자재 중 무선 또는 유선으로 통신이 가능한 기기가 정보통신망연결기기에 해당한다. 이러한 기기는 기존에는 ‘방송통신기자재 등의 적합성 평가(전파인증)’을 통하 전자파장해 유발 여부 등을 시험해 왔으나, 향후 각종 스마트기기 제작 및 수입이 늘어날 전망인 만큼 보안성 제고 역시 필요하다.
한편, 과기정통부는 정보통신망법 개정에 따라 기존 사물인터넷 보안인증 제도 역시 확대해 정보통신망연결기기 정보보호인증 제도로 운영한다. 기존 사물인터넷 보안인증제도와 마찬가지로 강제 인증이 아닌 자율 인증 제도로 운영한다. 인증 제품의 경우 소비자가 보안성을 확보된 제품을 선택할 수 있는 일종의 지표로 쓰이기 때문에 기업 역시 이를 통해 자발적으로 보안 수준을 높일 것으로 정부는 기대하고 있다.
[이상우 기자(boan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
