구글이 말하는 IoT 보안 라벨링
(지디넷코리아=황정빈 기자)구글이 사물인터넷(IoT) 보안 라벨링을 위한 5가지 원칙을 발표했다. ▲실시간 상태 확인 가능 ▲국제 평가 체계 참고 ▲유연성 ▲투명성 ▲인센티브 도입이라는 5가지 키워드를 꼽았다.
IoT 기술의 발전과 기기의 증가로 IoT 보안에 대한 관심이 커지고 있지만, 현재 상황에서는 해당 기기가 데이터를 안전하게 보호하고 있는지 소비자가 알기란 쉽지 않다.
이에 각국에서는 IoT 기기의 보안 품질을 가시적으로 알 수 있게 하는 노력이 진행 중이다. 미국 정부는 2023년부터 IoT에 대한 사이버 보안 라벨링 프로그램을 시작해 안보 위협으로부터 자국민을 보호할 것이라고 밝혔다.
구글은 이러한 흐름에 맞춰 IoT 제품의 사이버보안 라벨링을 만들기 위한 업계의 노력을 끌어내는 데 앞장서고 있다. 지난 10월, 구글은 IoT 보안 라벨링에 대한 백악관 전략 토론에 참여해 연결된 장치 보안의 미래를 논의하고, 더 많은 IoT 제품을 보호하기 위한 추가 단계 방안을 공유했다고 밝히기도 했다.
구글은 이러한 방향성을 기반으로 지난 2일(현지시간) IoT 보안 라벨링과 관련해 자사가 마련한 5가지 원칙을 제시했다. 구글이 제시한 5가지 원칙을 소개한다.
1. 인쇄된 라벨이 신뢰를 의미해서는 안 된다.
구글이 제시한 첫 번째 원칙은 디지털 보안 라벨은 '살아 있어야' 한다는 것이다. 식품 라벨과 같이 인쇄돼 '죽은' 라벨이 아닌 실시간으로 계속 변화하는 상태를 확인할 수 있는 '살아 있는' 라벨이어야 한다.
디지털 제품은 언제든지 외부의 공격으로부터 안전하지 않은 상황이 발생할 수 있다. 따라서 IoT 제품이 보안 안전성이 떨어졌다면 언제든지 제품의 상태를 '안전'에서 '안전하지 않음'으로 변경할 수 있어야 한다는 설명이다.
인쇄된 라벨은 사용자가 QR코드 스캔 등을 통해 웹사이트를 방문해 실시간 보안 상태를 확인하도록 권장하는 경우에만 사용할 수 있어야 한다.
2. 라벨은 강력한 국제 평가 체계를 참고해야 한다.
믿을 수 있는 보안·프라이버시 평가 체계를 참고하도록 만들어야 한다는 것이다.
구글은 커넥티비티 스탠다드 얼라이언스(CSA)와 GSMA에 의해 개발된 것과 같은 신뢰할 수 있는 보안·프라이버시 평가 체계를 참고하도록 해야 한다고 설명했다.
CSA와 GSMA는 모두 NIST, ETSI, ISO, OWASP의 최근 IoT 기본 보안 지침을 포함해 잘 알려진 표준을 참조하는 IoT 보안·프라이버시 평가 체계를 적극 개발하고 있다.
구글은 또한 여러 일관성 없는 국가 라벨링 체계를 강요하면 소규모 공급 업체의 진입을 가로막게 될 것이라고 설명했다.
3. 최소한의 보안 기준은 보안 투명성과 반드시 함께 가야 한다.
생태계 개선을 가속하기 위해서는 최소한의 보안 기준선이 보안 투명성과 결합돼야 한다. 보안 라벨링은 아직 초기 단계이며, 대부분의 체계는 상식 기준 요구사항 표준에 초점을 맞추고 있다.
이러한 표준은 디지털 보안에 대한 중요한 최소 기준을 설정해 소비자가 열악한 보안 관행에 노출될 가능성을 줄인다. 하지만 구글은 보안은 바이너리 상태가 아니라고 강조했다.
즉, 보안 평가 체계는 추가 보안 기능 요구사항을 측정하고 평가할 수 있도록 충분히 유연해야 한다는 설명이다.
4. 광범위한 투명성은 최소 기준만큼 중요하다.
라벨링 제도가 소비자에게 간단한 안전 지침을 제공하는 것은 바람직하지만, 광범위한 중요 기능까지도 소비자에게 투명하게 알릴 수 있어야 한다.
구글은 공통 기준선을 만드는 것이 라벨링 제도를 시작하는 데 좋은 출발점이기는 하나 좀 더 포괄적인 투명성을 개발해야 한다고 강조했다.
좀 더 포괄적인 투명성을 요구하게 되면, 안드로이드에 대한 스푸핑/프레젠테이션 공격 탐지율을 기반으로 생체 인식의 강도도 분류할 수 있다.
구글은 라벨링 체계에서 좀 더 포괄적인 투명성을 개발한다면 소비자들이 베일에 가려져 있는 더 광범위한 보안 기능을 배우고 관심을 가질 것이라며, 그 인식은 결국 제품 개발자들이 더 잘하도록 요구하는 계기가 될 것이라고 설명했다.
5. 라벨링 체계는 도입 인센티브 없이는 무용지물이다.
구글은 마지막으로 제품 개발자들의 선한 의도와 자발성에만 기대서는 안 된다고 강조했다.
제품 개발자는 기본적으로 수익성을 높이기 위해 노력하기 때문에 IoT 시장 전반에서 보안은 평균적으로 열악한 편이며, 보안에 들어가는 경제적인 투자는 일반적으로 충분하지 않다.
따라서 구글은 개발자들이 제품 보안을 강화하도록 장려하기 위해서는 당근과 채찍이 골고루 필요한데, 라벨링 체계 도입 시 인센티브를 주는 방안은 당근이 될 수 있다는 설명이다.
구글은 "우리의 목표는 보안의 전체 기준선에 대한 투명성을 점차 높이는 것"이라며 "이는 보안 분야에서 경쟁을 촉진하고 제조업체가 강력한 보안 보호 기능을 갖춘 제품을 제공하도록 촉구하는 데 도움이 될 것"이라고 말했다.
이어 "우리는 공공부문과 산업계가 협력해 라벨링 파편화를 막고 글로벌 통일화를 견인할 수 있기를 희망한다"며 "정부가 IoT의 최신 위협에서 앞서 나갈 수 있는 정책을 개발할 때, 우리는 전문성을 제공하고 가치 있는 파트너 역할을 할 수 있길 기대한다"고 말했다.
황정빈 기자(jungvinh@zdnet.co.kr)
Copyright © 지디넷코리아. 무단전재 및 재배포 금지.