“디지털 제품 소비자 안심 위해 ‘IoT보안인증’ 확산 추진”

발급 건수 지속 증가 중이나 주택 분야 몰려
제도 확산과 함께 사후관리·국제협력 강화

KISA-이슈앤톡-최윤선 디지털제품인증팀장 최윤선 KISA 디지털제품인증팀장. KISA 제공

인터넷과 연결된 각종 디지털 제품이 일상 속으로 파고들면서 해킹과 정보유출 등 사이버위협도 도처에 확산되고 있다. 이런 사물인터넷(IoT) 기기들을 국내 소비자들이 보다 안전하게 구매·사용할 수 있도록 정부가 인증제도 확산에 나선다.

29일 한국인터넷진흥원(KISA)에 따르면 'IoT보안인증'이라 불리는 '정보통신망 연결기기 등 정보보호인증'의 연간 발급 건수는 2018년 4건에서 지난해 106건으로 증가했다. 누적 발급 건수도 총 413건에 이르렀다.

인증 발급 건수는 꾸준히 늘어나고 있지만 아직 제도가 충분히 정착됐다고 보긴 어렵다. 정보통신산업진흥원(NIPA)의 '2024 사물인터넷 산업 실태조사'에 따르면 국내 IoT 관련 사업자는 3196개며 이 중 IoT제품기기 업체는 1005곳이다.

IoT보안인증 라벨 IoT보안인증 라벨. KISA 제공

인증이 의무사항이 아니다보니 여전히 받지 않은 곳이 더 많다.

누적 발급 건수 중엔 주택 분야가 298개로 약 72%에 달한다. 2021년 한 해킹범이 아파트 월패드(통합주택제어판)를 통해 빼돌린 40만 가구의 영상·사진 등을 다크웹에 넘기려다 붙잡힌 이후 해당 분야에서 사업자들과 소비자들의 관심이 높아졌기 때문이다.

하지만 로봇청소기 등 최근 침해 위험성이 지적되는 디지털제품 대상으로는 아직 인증제도 확산이 이뤄지지 않았다. 지난해 미국에서는 중국산 로봇청소기가 외부 해킹에 의해 청소 중 욕설을 뱉고 반려견을 위협하는 사례가 발생하기도 했다.

현재 로봇청소기로 국내 IoT보안인증 최고등급인 스탠더드 인증을 받은 곳은 삼성전자뿐이다.

중국산 디지털 제품에 대한 보안성 우려는 국내 소비자들 사이에서도 확산되고 있다. 하지만 이들까지 포함해 IoT보안인증을 의무화하는 것은 통상 마찰을 유발할 수 있어 현재로선 어려울 것으로 관측된다.

최윤선 KISA 디지털제품인증팀장은 "아직은 중국 기관·기업들과 협력을 한 사례는 없다"고 말했다. 그는 "인증 자체가 자율적으로 운영되다보니 강제할 수 없는 부분이 있다"면서 "우리 측에서 중국 제품의 인증을 막거나 한 것은 전혀 없다"고 덧붙였다.

다만, 세계적으로 이런 IoT 기기에 대한 보안 규제를 강화해 소비자를 보호하는 움직임이 이어지고 있어 한국도 준비가 필요한 상황이다. 미국에서는 트럼프 행정부가 소비자용 스마트 기기 대상으로 보안 신뢰 인증을 의무화하는 '사이버트러스트 마크' 제도를 본격적으로 준비하고 있다. 또 유럽연합(EU)에서도 디지털 제품에 대한 보안 요구사항과 관련 규제를 담은 사이버복원법을 2027년 시행할 예정이다.

이에 KISA는 IoT보안인증제도의 국내 확산 및 고도화와 함께 관련 국제 협력 확대도 꾀한다는 방침이다. 제품 출시부터 사후관리까지 단계별 보안 및 개인정보 처리 흐름 등 제품 주기 전체로 정책을 강화한다. 개인정보의 처리 흐름 등을 식별해서 인지할 수 있도록 인증 기준 명세서의 개인정보 관련 내용도 세분화할 예정이다.

KISA는 2023년 한국·싱가포르 IoT보안인증제도 상호인정을 위한 협약(MRA)을 성사시켰고, 지난해 독일 연방정보기술보안청(BSI)과도 IoT보안인증 제도 관련 협력 의향서를 체결한 바 있다. 인증 받은 국산 디지털 제품이 해외 시장에서도 보안성을 인정받을 수 있도록 제도 보완·개선도 병행해나갈 계획이다.

최 팀장은 "올해 안에 독일과 IoT 보안 인증제도 MRA 체결을 목표로 논의 중"이라며 "유럽과 미국의 IoT 보안 규제에 대응하고 글로벌 기준들과 조화할 수 있도록 기준을 개선하고 있다"고 밝혔다.

팽동현 기자 dhp@dt.co.kr

팽동현기자 dhp@dt.co.kr