[2026 IoT 보안 솔루션 리포트] 연결 사회의 위협 ‘IoT 보안’, 이제는 ‘책임’의 문제

아파트 월패드 해킹에서 드러난 IoT 보안 책임 공백과 자율 체계의 한계
영국·EU·미국의 법제화 흐름과 최소 보안 기준 의무화 확대
[설문조사] IoT 보안 솔루션 미도입 53%, 책임 범위 ‘모호’ 응답 28%
최소 기준 설정, 업데이트 책임 명문화, 운영 점검 체계 구축 필요성

[보안뉴스 강초희 기자] 현대의 서비스 환경은 네트워크 기술을 기반으로 형성돼 왔다. 이러한 연결 구조가 기기 영역으로 확장되면서 최근에는 IoT가 그 중심에 자리 잡고 있다. 생산공정의 센서와 제어 장비, 교통·에너지 운영 시스템, 공공시설 관리 장비부터 가정용 CCTV와 공유기, 스마트 가전에 이르기까지 다양한 IoT 기기가 네트워크를 통해 상시 연결돼 운영되고 있다.

[출처: gettyimagesbank]

그러나 IoT 기기의 확산 속도에 비해 보안 제도와 책임 구조는 충분히 정비되지 못한 상태다. 특히 기업·산업 현장에서 사용하는 IoT는 생산 설비·출입통제·영상관제 등 핵심 시스템과 연결돼 있어 사고 발생 시 영향 범위가 크다. 그럼에도 제조사·운영사·시스템 통합사업자 간 보안 책임 구분은 여전히 모호하다는 지적이 나온다.

예를 들어 비밀번호 관리, 펌웨어 업데이트, 취약점 점검, 네트워크 설계 등 단계별 보안 조치의 책임 주체가 계약상 명확히 규정되지 않는 경우가 많다. 각 참여 주체가 서로 다른 범위를 주장하는 사이, 실질적인 보안 관리의 공백이 발생한다.

이러한 공백은 사고 대응 과정에서 드러난다. 다수 기기 오작동이나 통신 오류가 발생하면 현장은 이를 단순 장애로 판단하는 경우가 많다. 이후 로그 분석이나 설정 점검 과정에서 외부 침해 정황이 확인되더라도 대응 시점은 늦은 뒤다.

“장애인가 침해인가?” 책임 공백이 만든 대응 지연
IoT 기기는 장애와 침해의 경계가 명확하지 않다. 설정 값 변경이나 비정상적인 트래픽 증가, 예기치 않은 재부팅이 운영 장애로 해석되는 경우가 많으며, 이는 보안 사고로 판단할 기준과 책임 주체가 명확하지 않은 구조에서 비롯된다. 그 때문에 초기 대응은 보안 분석보다 복구 중심으로 흐르게 되고, 결국 보안 대응의 골든타임을 놓치는 결과로 이어진다.

여기에 제조-운영-보안을 분리하는 구조적 특성도 영향을 미친다. IoT 기기를 설계한 주체와 이를 운영하는 주체, 보안을 담당하는 조직이 서로 다른 경우가 많아 사고가 발생했을 때 판단과 조치가 지연되는 것이다.

지엔은 “운영사는 IoT 기기의 장애를 먼저 인식하지만 펌웨어 수정 권한은 제조사에 있고, 네트워크 통제 권한은 통신사나 IT 부서에 있는 구조가 흔하다”며 “이러한 권한 분산은 보안 사고의 초기 대응 과정에서 정보 전달 지연과 증적 누락을 초래할 수 있다”고 평가했다.

피넛에이아이 또한 “설치는 SI 업체, 운영은 현장 엔지니어, 보안은 IT 부서가 담당하는 경우가 많다”며 “이 과정에서 책임 소재가 불명확해지고 정보 접근 제약과 의사결정 지연, 전문성 부족 문제가 반복된다”고 지적했다.

IoT 보안이 기존 IT 보안과 다른 전제 위에 놓여 있다는 점도 빼놓을 수 없다. 두 영역은 운영 조건과 보안의 우선순위에서 근본적인 차이를 보인다. 우선 IoT 시스템은 다양한 제조사와 사양의 단말로 구성돼 있다. 서로 다른 하드웨어와 운영 환경을 가진 기기들이 하나의 시스템으로 연결되는 구조이기 때문에 특정 제조사나 운영체제(OS) 중심의 통합 보안 체계를 적용하기가 쉽지 않다.

IT 환경은 중앙 집중형 관리 체계를 기반으로 정기적인 패치와 재부팅이 가능한 반면, IoT 환경은 수만 대의 기기가 빌딩 지하부터 외부 시설물까지 다양한 위치에 설치돼 있어 수동 관리에 한계가 있다. 이로 인해 펌웨어 OTA(Over-the-Air) 업데이트와 관리해야 할 대상이 많다는 한계를 갖는다. 특히 산업 IoT 환경은 레거시 장비가 10년 이상 운영되는 경우가 많아 보안 업데이트 자체가 불가능한 경우도 존재한다.

보안의 우선순위도 다르다. IT 보안이 데이터의 기밀성(Confidentiality)을 최우선으로 둔다면, IoT 보안에서는 기기의 가용성(Availability)과 실시간 제어의 연속성이 핵심이다. 이는 IoT 기기의 특성 때문이다. IoT 기기는 연산 능력과 메모리가 제한돼 고사양 암호화 알고리즘을 적용하기 어렵다.

시큐리온은 “IoT 단말은 기존 PC나 모바일 기기에 비해 하드웨어 사양이 낮다”며 “보안 솔루션 역시 저사양 IoT 환경에서도 안정적으로 동작할 수 있도록 리소스 최적화가 필요하다”고 밝혔다. 이어 “다양한 IoT 단말을 폭넓게 지원하는 범용성과 함께 원격 관제 기능을 제공하는 보안 솔루션이 요구된다”고 덧붙였다.

▲국내 주요 기업의 IoT 보안 제품&솔루션 [출처: 각 사 제공, 정리: 보안뉴스]

권고에 머문 IoT 보안, 책임 구조는 여전히 공백
2021년 발생한 아파트 월패드 해킹 사건은 IoT 기기가 일상적인 운영 환경에 깊숙이 자리 잡은 상황에서 보안 책임과 대응 체계가 얼마나 취약할 수 있는지를 단적으로 보여준 사례다. 전국 638개 아파트 단지 40만여 세대의 월패드가 해킹돼 입주민들의 사생활 영상이 해외 사이트에 유출됐지만, 초기에는 이를 네트워크 문제나 시스템 오류로 인식해 대응이 지연됐다.

당시 월패드는 아파트 출입통제와 홈 네트워크, 영상 기기까지 연동된 IoT 허브 역할을 하고 있었다. 그러나 제조사, 시공사, 관리 주체, 통신 환경이 분리된 구조 속에서 보안 책임은 명확히 귀속되지 않았고, 사고 원인 규명과 대응 과정 역시 혼선을 겪었다.

이 사건을 통해 IoT 전반에 걸친 책임 구조의 공백이 드러났다. △IoT 기기 설계 단계에서 보안이 충분히 고려되지 않은 점 △설치 이후 운영 과정에서도 지속적인 보안 점검과 관리 체계가 작동하지 않았다는 점 △사고 발생 이후 명확한 책임 주체가 정리되지 않으면서 대응과 후속 조치는 미미했다는 점이다. IoT 보안은 사후 대응이 아닌 사전 설계와 운영 관리의 문제로 다뤄야 한다는 점을 분명히 한 계기였다.

시큐리온은 “모바일 기기는 오랜 기간 통신사와 제조사, 소프트웨어 개발사가 함께 보안 체계를 구축해 왔지만, 월패드와 같은 IoT 기기는 상대적으로 영세한 제조사가 공급하는 경우가 많다”며 “운영체제 역시 안드로이드 4.0버전 이하의 구형 환경에 머무른 사례가 다수 확인됐다”고 지적했다.

이어 “한 번 설치되면 장기간 교체되지 않는 IoT 기기의 특성상, 지속적인 보안 업데이트가 이뤄지지 않는 구조 자체가 위험 요인”이라고 덧붙였다.

IoT 보안 분야에서 대형 사고가 발생한 이후 무엇이 달라졌을까. 재발 방지를 위한 대책과 제도 개선 논의가 이어졌지만, IoT 전반의 보안 체계가 구조적으로 개선됐는지에 대해서는 여전히 의문이 제기된다.

최근까지 IoT 기기 해킹 사고가 반복적으로 발생하면서 국민의 불안감은 커져 갔다. 이에 따라 IoT 보안 제도 정비의 필요성에 대한 공감대도 넓어졌다. ‘지능정보화 기본법’을 기반으로 한 IoT 보안 인증 제도에 대한 관심이 높아졌으며 한국인터넷진흥원(KISA)의 IoT 보안 가이드라인 역시 지속적으로 개정돼 왔다.

문제는 실효성이다. 관련 제도 상당수가 권고 수준에 머물러 있기 때문이다. 인증 취득은 물론 가이드라인 또한 의무 사항이 아니며 법적 강제력을 갖지 않는다.

지엔은 “IoT 보안의 정책이나 가이드라인의 기준 자체는 의미가 크고 방향도 맞다. 다만 실무에서는 종종 ‘참고 수준’ 또는 ‘문서 중심’으로 머무는 경우를 본다”고 말했다. 개발·운영 일정 압박, 인증을 위한 문서 작업이 실제 설계·운영 개선으로 이어지지 못하는 구조, IoT 특성상 업데이트·현장 운영이 어렵다는 현실 제약 때문이라는 게 지엔의 설명이다.

공동주택 홈네트워크 보안과 관련해서도 국토교통부와 과학기술정보통신부 등 관계 부처가 보안 강화 필요성을 지속적으로 제기해 왔다. 일부 공공 발주 사업에서는 보안 요구사항이 강화되기도 했지만 이를 전면적으로 의무화하는 법적 장치는 여전히 부재한 상황이다.

IoT 환경의 구조적 특성이 보안 위협을 증폭시키고 있다는 점은 분명하다. 기기 수는 방대하고 운영 주체는 분산돼 있으며, 제조사-운영사-최종 사용자까지 이해관계자가 복잡하게 얽혀 있다. 이 같은 환경에서는 개별 조직의 자율적 대응만으로 전체 위험을 통제하기 어렵다.

특히 일부 기기나 구간에서 보안 취약점이 발생할 경우 그 영향은 조직 내 네트워크와 서비스 전반으로 확산될 수 있다. 그러나 현행 자율 중심 체계에서는 이를 사전에 강제하거나, 미준수에 대해 책임을 명확히 묻는 구조가 충분히 마련돼 있지 않다.

이 때문에 전문가들 사이에서 IoT 보안에 대한 최소한의 공통 기준과 책임 구조를 법·제도적으로 명확히 해야 한다는 목소리가 커지고 있다. 설계 단계에서의 보안 요구사항 반영과 운영 중 정기 점검 의무화, 보안 업데이트 지원 기간 명문화, 사고 발생 시 책임 귀속 범위 설정 등은 선택이 아닌 기본 요건으로 재정의해야 한다는 지적이다.

피넛에이아이는 “KISA의 IoT 보안 가이드라인과 공공 조달 보안 기준은 비교적 체계적으로 마련돼 있으나, 현장 적용 단계에서 실효성이 제한적”이라고 진단했다. 그 이유로 다음과 같은 점을 제시했다.

첫째, 강제성이 부족하다. 대부분 권고 수준에 그쳐 미준수에 따른 실질적 제재가 없다.

둘째, 검증 체계가 미흡하다. 제출 서류 중심의 형식적 확인에 머물러 실제 구현 수준과 운영 상태까지 점검하지 못한다.

셋째, 사후관리가 부재한 상황이다. 구축 이후 지속적인 보안 유지·관리 여부를 확인하는 체계가 충분하지 않다.

넷째, 현실성 문제가 있다. 일부 요구사항이 실제 운영 환경과 괴리돼 형식적 대응으로 이어지는 경우가 발생한다.

결국 IoT 보안은 기술의 문제가 아니라 구조의 문제라는 지적도 나온다. 자율과 권고 중심 체계로는 연결성이 높은 IoT 생태계의 위험을 통제하기 어렵다는 것이다. 이제는 ‘권고’에서 ‘기본 요건’으로, ‘선택’에서 ‘책임’으로 전환해야 한다는 요구가 점차 힘을 얻고 있다.

‘선택’이 아닌 ‘법적 책임’의 영역으로
IoT 보안이 더 이상 ‘선택’의 문제가 아니라는 점은 해외 주요국의 입법 흐름에서 분명하게 드러난다. 국내가 여전히 가이드라인과 인증 중심의 자율 체계에 머물러 있는 사이, 영국과 EU, 미국 등은 IoT 보안을 법적 의무와 책임 구조로 편입시키는 방향으로 전환했다.

영국, 소비자 IoT 최소 보안요건 법제화
영국은 2022년 ‘Product Security and Telecommunications Infrastructure Act’를 제정하고, 2023년 하위 규정을 마련해 2024년부터 소비자용 IoT 제품에 대한 최소 보안요건을 단계적으로 의무화했다.

핵심 내용은 △출고 시 기본 비밀번호(예: admin/1234) 사용 금지 △취약점 신고 위한 전담 창구 및 공개 정책 운영 의무 △보안 업데이트 지원 기간의 명확한 고지 등이다. 제조사는 이를 준수해야 하며, 위반 시 매출 비율 등에 연동된 금전적 제재를 포함한 행정조치를 받을 수 있다.

특히 ‘보안 업데이트 지원 기간 명시’ 조항은 제품이 사용될 것으로 예상되는 기간 동안, 최소한 정의된 지원 기간에 대해서는 보안 업데이트를 제공해야 한다는 책임을 제조사에 부여한다는 점에서 의미가 크다. 단순한 초기 설계 기준을 넘어 운영 단계 이후의 보안 유지 책임까지 법·제도권 안으로 끌어들인 사례로 평가된다.

EU, 전 제품군 대상으로 확장
EU는 2024년 ‘Cyber Resilience Act’(CRA)를 채택하며 IoT를 포함해 ‘디지털 요소를 포함한 제품 전반’에 수평적인 보안 의무를 부과하는 체계를 마련했다. CRA는 제품 출시 전 보안 위험 평가, 안전한 설계·개발·생산, 취약점 관리 프로세스 구축, 심각한 취약점·사고 발생 시 신고 의무, 사용기간 동안의 보안 업데이트 제공 등을 요구한다.

이 규정은 CE 마킹 체계와 연계돼 요구사항을 충족하지 못한 제품은 EU 단일시장에 출시할 수 없도록 시장 진입 단계에서 통제하는 구조다. 제조사는 보안 설계 역량과 유지관리 능력을 기술 문서와 적합성 평가를 통해 입증해야 시장에 진입할 수 있다.

미국, 연방 조달을 통한 사실상 강제
미국은 2020년 ‘IoT Cybersecurity Improvement Act’를 제정해 연방정부에 납품되거나 연방기관이 사용·관리하는 IoT 기기에 최소 보안 기준을 적용하는 틀을 마련했다.

구체적인 기준과 가이드라인 수립은 미국 국립표준기술연구소(NIST)에 위임돼 있으며, 연방 CIO는 이 기준을 충족하지 못하는 IoT 기기의 조달을 제한할 수 있다. 민간 전체에 직접 의무를 부과하는 방식은 아니지만 연방 조달시장을 통해 사실상 시장 전반에 영향력을 미치는 구조다.

연방 납품을 목표로 하는 기업은 NIST 가이드라인 수준의 보안 요구사항을 충족해야 하며, 이 기준이 업계 모범 규범으로 확산되는 효과를 낳고 있다.

▲해외 IoT 보안 법제화 비교 [정리: 보안뉴스]

영국과 EU, 미국의 접근 방식은 제도 설계와 적용 범위에서 차이를 보이지만, 공통적으로 드러나는 방향성은 분명하다. IoT 보안을 기업의 자율적 판단 영역에 맡겨두지 않고 최소한의 기준과 책임을 법적 틀 안에 명문화했다는 점이다.

설계 단계에서의 보안 요구사항을 명시했으며 취약점 공개 및 관리 체계를 제조사의 의무로 규정했다. 보안 업데이트 제공 기간 또한 명문화하거나 조달 기준에 반영했다. 무엇보다 미준수 시 시장 진입 제한이나 과징금, 조달 배제 등 실질적 제재 수단을 마련했다는 점에서 ‘권고’와는 성격이 다르다.

정부 제도는 “일부 도움”, 현장 도입은 절반 미만
보안뉴스는 IoT 보안에 대한 보안 전문가들의 인식을 파악하기 위해 2026년 2월 10일부터 13일까지 4일간 약 10만명의 보안 전문가를 대상으로 설문조사를 실시했다. 이번 조사에는 공공 24%, 민간 76% 등 총 1290명이 응답했다.

▲IoT 보안 관련한 설문조사 결과 [출처: 보안뉴스]

조직 내에서 IoT 기기의 보안·관리를 주로 담당하는 부서를 묻는 질문에는 29%가 ‘IT 부서’를 꼽았다. ‘시설·총무 부서’는 27%, ‘정보보안 부서’는 19%로 뒤를 이었으며, ‘외주업체’는 9%로 나타났다. ‘여러 부서가 나눠서 담당한다’와 ‘특정 담당자가 없다’는 응답은 각각 5%로, 총 10%가 명확한 단일 책임 구조가 없는 것으로 나타났다.

IoT 기기 보안·관리에 대한 조직 내 담당자나 책임 범위의 명확성을 묻는 질문에는 39%가 ‘어느 정도 명확하다’고 답했다. ‘보통이다’는 22%였으며, ‘다소 모호하다’(18%)와 ‘매우 모호하다’(10%)도 적지 않은 비중을 차지했다.

현재 IoT 보안 관련 정부 제도나 인증이 현장에 도움이 되는지에 대해서는 56%가 ‘일부 도움은 된다’고 응답했다. ‘도움이 된다’는 23%, ‘현장과 괴리가 크다’는 21%로 집계됐다.

IoT 보안 솔루션 도입 여부를 묻는 질문에는 53%가 ‘도입돼 있지 않다’고 답했으며, 30%는 ‘도입돼 있지만 자세한 내용은 모른다’고 응답했다.

IoT 보안 솔루션을 사용하지 않는 이유로는 34%가 ‘비용 부담’을 꼽았다. 이어 ‘IoT 보안 위협을 크게 느끼지 못함’(17%), ‘내부 인력·시간 부족’(16%), ‘도입·운영이 복잡할 것 같음’(15%) 순으로 나타났다. ‘효과에 대한 확신이 없다’는 응답도 9%를 차지했다.

IoT 보안 의무화, 무엇을 최소 기준으로 삼을 것인가
해외 주요국의 입법 흐름은 IoT 보안 논의를 ‘필요성’의 단계에서 ‘구체적 의무 설정’의 단계로 이동시켰다. 쟁점은 어떠한 요소를 최소 법적 기준으로 규정할 것인가에 있다.

우선 최소 보안 기준의 의무화가 출발점으로 제시된다. 기본 비밀번호 금지, 안전한 초기 설정, 암호화 통신, 접근통제, 취약점 신고 창구 운영 등은 국제적으로 공통분모에 해당하는 항목이다. 설계 단계에서부터 보안을 내재화하는 이른바 ‘Security by Design’을 법적 요구사항으로 명문화하지 않을 경우, 출시 이후의 보완 조치만으로는 구조적 취약성을 해소하기 어렵다는 지적이 이어진다.

둘째는 보안 업데이트 지원 기간의 명시다. IoT 기기는 설치 이후 장기간 운영되는 특성이 있다. 그럼에도 지원 기간이 명확히 고지되지 않거나 조기 종료되는 사례가 존재한다면, 이는 구조적 위험 요인이 된다. 최소 지원 기간을 규정하고 이를 명확히 고지하도록 하는 장치는 제품 수명주기 전반에 대한 책임을 제도적으로 분명히 하는 수단이 될 수 있다.

셋째는 운영 단계에서의 점검 체계다. 구축 시점의 적합성 확보만으로는 실제 보안 수준을 담보하기 어렵다. 정기 점검, 취약점 조치 이행 확인, 접근통제 및 로그 관리 상태 점검 등 운영 과정에 대한 지속적 관리 요구가 병행돼야 한다는 의견이 나온다.

넷째는 사고 발생 시 책임 귀속 구조의 정비다. IoT 환경에서는 제조사, 플랫폼 사업자, 통신사, 운영기관 등 다수 주체가 관여한다. 설계 결함, 업데이트 미제공, 운영 관리 소홀 등 원인 유형에 따라 책임 범위를 구분하는 기준이 마련되지 않으면 분쟁과 피해 회복 지연이 반복될 가능성이 있다.

마지막으로 조달·유통과의 연계 방안이 거론된다. 공공 조달 기준과 연동하거나 유통 단계에서 보안 적합성 표시를 의무화하는 방식은 시장 메커니즘을 활용해 최소 기준을 확산시키는 수단이 될 수 있다. 전면적 규제가 어려운 경우 단계적 접근 방식으로 검토될 수 있는 지점이다.

▲국내 주요 기업의 IoT 보안 구축 사례 [출처: 각 사 제공, 정리: 보안뉴스]

시큐리온은 “반복되는 IoT 보안 사고를 줄이려면 무엇보다 IoT 단말 제조사들의 보안 강화 노력이 선행돼야 한다”며 “네트워크, OS, 애플리케이션 등 다층 영역에서 발생하는 악성 위협에 대비해야 한다”고 밝혔다. 이어 “보안이 강화된 최신 기기일수록 공격 또한 더욱 정교해질 가능성이 크기 때문에, 지속적인 모니터링 체계 구축이 필수적”이라고 설명했다.

지엔은 “책임 구조와 운영 방식의 개선이 우선”이라고 강조했다. “취약점이 발견되더라도 조치 책임자, SLA, 재검증 체계가 명확하지 않으면 사고는 반복된다”며 “보안은 ‘점검 완료’가 아니라 ‘조치 완료’까지 이어질 때 의미가 있다”고 말했다. 또한 “다음 단계는 자동화”라며 “점검 결과, 규제 요구사항 매핑, 보고서 생성, 조치 추적을 하나의 흐름으로 연결해야 인력 부족 문제를 현실적으로 해결할 수 있다”고 덧붙였다.

피넛에이아이는 현장의 인식 전환을 주문했다. “경영진은 IoT 보안 사고를 경영 리스크로 인식하고 이에 상응하는 예산을 확보해야 한다”며 “현장 운영자는 IoT 보안을 생산성을 저해하는 요소가 아닌 안정적 운영의 전제 조건으로 이해해야 한다”고 밝혔다. 아울러 “구매 담당자 역시 초기 도입 비용뿐 아니라 전체 생애주기에 걸친 보안 비용까지 고려해야 한다”고 강조했다.

IoT 보안 의무화 논의는 책임 구조를 어떻게 설계할 것인가의 문제부터 짚어야 한다. 최소 기준 설정, 검증 단계의 명확화, 미이행 시 제재 수단 마련 여부가 향후 제도 논의의 핵심 변수가 될 전망이다. IoT 보안이 자율 규범에 머무르는 한, 사고의 재발 가능성 역시 구조적으로 상존할 수밖에 없다. 연결 사회에서 IoT가 기반 인프라로 자리 잡은 이상 보안 역시 기본 요건으로 재정립할 필요가 있다.