IoT 보안인증제 어떻게 준비하나

다음 달 사물인터넷(IoT) 보안 인증제가 처음 시행된다. IP카메라, 무선공유기 등 제조사는 한국인터넷진흥원(KISA)에서 IoT 보안 시험을 거치면 인증을 받을 수 있다. 급증하는 IoT 기기 해킹을 막는 최소한의 조치다.

첫 시행되는 IoT 보안 인증은 라이트(LITE)와 스탠더드(STANDARD) 등 2개 등급으로 구분된다. 제조사가 기기에 맞춰 등급을 정하고 시험을 통과하면 인증이 나온다. 모든 IoT기기가 시험 인증 대상이다.

IoT 기기를 노리는 악성코드가 1만개를 넘어섰다. IoT 기기 보안성을 시험하고 인증하는 제도가 시행된다. ⓒ게티이미지뱅크
IoT 기기를 노리는 악성코드가 1만개를 넘어섰다. IoT 기기 보안성을 시험하고 인증하는 제도가 시행된다. ⓒ게티이미지뱅크

라이트는 IoT 기기에 요구되는 최소 시험 기준이다. △인증 △암호 △데이터 △플랫폼 △물리적보호 등 5개 영역에서 32가지 시험을 치른다. 스탠더드는 5개 영역에서 41가지 시험으로 구성됐다.

IoT 기기 보안 요구사항 중 기본은 인증이다. IoT기기 사용자 인증이 필요한 기능을 처음에 사용할 때 인증정보를 설정해야 한다. 초기 인증정보를 변경하도록 요구하는 단계가 필요하다. 최근 급증한 IoT 기기 해킹 원인은 단말기에 들어있는 공장초기 비밀번호가 그대로 쓰인 경우가 많다.

잘못된 정보로 반복해 인증 시도를 하는 무차별 대입공격에 대비하는 횟수 제한 등 기능을 구현한다. 중요정보 암호화 전송 시 보안 프로토콜을 사용할 때는 신뢰된 보안 프로토콜을 사용한다. 개인 영상, 인증정보, 중요 설정정보 등을 파일로 추출해 저장할 경우 해당 파일을 암호화한다.

IoT기기에 들어가는 소프트웨어에 보안 취약점이 존재하지 않도록 시큐어 코딩을 적용한다. 보안항목을 고려해 제품을 설계하고 취약점을 최소화해 안전하게 구현한다. IoT기기에 연동되는 모바일 앱 개발도 보안성을 고려한다. SW업데이트는 인가된 사용자만 수행하도록 사용자 인증을 제공한다. 업데이트가 실패하면 안전한 상태로 복구하는 롤백 기능을 지원한다.

해커가 원격에서 접속할 수 있는 텔넷(Telnet), FTP 등 불필요한 서비스를 비활성화한다.

물리 보호도 중요하다. IoT 기기 외부에 노출된 인터페이스 종류와 기능을 제품 사용 설명서에 기술한다. 필요한 외부 인터페이스도 비인가된 접속 방지를 위한 접근 통제 기능을 제공한다.

신청기업은 IoT 보안시험신청서와 시험대상 IoT 기기, 시험기준 준수 명세서, 제품 기능 설명서 등을 KISA에 제출한다. 신청서와 제출물에 이상이 없으면 접수증이 발급된다. 시험일정 협의를 거쳐 계약한다. 계약 체결 후 제출 문서 검토와 보안 기능 시험을 하고 적합 여부를 평가한다. 미흡한 항목이 나오면 신청인에게 보완조치를 요청한다. 시험 기준을 모두 만족하면 결과보고서 검토 후 인증서가 나온다.

IoT 보안시험 인증제
IoT 보안시험 인증제

한 IoT 보안업계 대표는 “IoT보안 시험인증제는 환영하지만 강제성이 없어 제조사가 얼마나 인증을 받을지는 미지수”라면서 “소비자가 가격이 높더라도 보안 인증 받은 제품을 구매하는 인식 선진화가 필요하다”고 말했다.

김인순 보안 전문기자 insoon@etnews.com