IoT 표준 보안인증 현황과 앞으로의 할일
보안표준의 전국시대
사물인터넷의 발전과 함께 IoT 플랫폼에서 수집하는 데이터는 그 종류와 양에 있어서 폭발적인 증가세를 보이고 있습니다. 생활의 편리와 안전을 위해 수집되는 데이터는, 역설적으로 우리가 누리는 생활의 편리함에 관련한 세세한 부분까지 데이터로 수집한다는 뜻입니다. 안면인식을 위한 개인의 얼굴 이미지, 대화, 동선, 생활패턴에서 심박수와 같은 생체 데이터까지 각 개인이 보내는 하루 일상의 모든 데이터가 수집되어 저장될 수 있습니다.
지난 회에는 사물인터넷 구축 이전에 사용자와 공유해야 하는 정보들, 그리고 동의를 구하기위해 질문해야 하는 조건들에 대한 글을 올렸었는데요, 이번 회에는 그러한 노력들을 산업계와 국가적인 차원에서 어떻게 보안 표준화를 하려는 노력이 있는지 살펴보도록 하겠습니다.
캐나다
캐나다 정부(경제발전/혁신과학부)는 자국 내의 다양한 그룹들과 함께 글로벌 인터넷표준 연구기관인Internet Society.org와 협업하여 캐나다 내에서 구축되거나 해외에서 들어오는 IoT 시스템에 대한 보안표준을 마련하는 작업을 진행 중입니다.
Network Resilience Working Group, Device Labeling Working Group등을 구성하여 IoT라는 방대한 산업군을 각 기능별로 나누어 데이터 플로우의 각 과정부터 디바이스 겉면에 부착하는 스티커 라벨까지의 표준화를 추진하고 있습니다.
솔루션 도입 전과 사용 중, 그리고 솔루션 설계와 구축 이전에 공유되어야 하는 정보들과 고려사항 등을 제정할 뿐만 아니라, IoT업계와 소비자 사이의 신뢰를 형성할 수 있는 표준안을 마련하기 위한 고심은 2019년에 발표한 “Enhancing IOT Security Report”에서 찾아볼 수 있습니다.
유럽
벨기에 브뤼셀에는 EuroSmart라는 디지털 보안 전문 유럽연합 기구가 있습니다. 이 기구는 IoT뿐만이 아니라 디지털 산업 전반의 보안 이슈를 전문적으로 다루는 곳인데요, 이 곳에서도 IoT 인증시스템을 만들어 보급하고자 하는 노력을 하고 있습니다. 유럽 연합 기준의 European Cybersecurity Certification Framework의 기준에 보합하는 인증 시스템으로서, 이 기구이서 추진하고 있는 EuroSmart IoT 인증 스키마를 “substantial” (eIoT SCS)레벨에서 성공적으로 파일럿 프로젝트를 실행한 바가 있습니다. 유럽은 이미 EU Cybersecurity Act라는 협정을 통해 유럽 사이버시큐리티 인증 그룹(ECCG)을 만들어 EuroSmart와 같은 외부 사이버 보안관련 표준제정에 개입하고 입법안을 만들어 낼 수 있는 제도적인 기반이 마련되어 있습니다.
한국
IoT 보안인증서비스는 한국인터넷진흥원에서 발급하는 보안관련 인증입니다. Lite, Basic, Standard의 세가지 등급으로 분류되며 그 기준은 아래와 같습니다.
- Lite 등급
- 제품 보안성 유지를 위한 최소한의 조치항목으로 구성(센서 등 소형기기)
- Basic 등급
- 해킹 사고 등 사례를 통해 알려진 보안취약점의 악용을 방지할 수 있는 수준의 일반적인 보안항목으로 구성
(펌웨어를 탑재한 중소형 기기)
- 해킹 사고 등 사례를 통해 알려진 보안취약점의 악용을 방지할 수 있는 수준의 일반적인 보안항목으로 구성
- Standard 등급
- 향후 국외 인증과의 상호인정 가능성을 고려하여 국제적으로 요구되는 수준의 보안항목으로 구성
(중대형 스마트가전기기)
- 향후 국외 인증과의 상호인정 가능성을 고려하여 국제적으로 요구되는 수준의 보안항목으로 구성
아직 해외에서는 논의 중인 표준안과 인증관련 추진 속도는 위의 세 지역을 비교해 봤을 때 한국이 가장 먼저 표준인증을 국가차원에서 도입을 하였습니다만, IoT의 발전 속도가 워낙 빠르고 분야도 방대해서 모바일과 일부 디바이스를 제외한 IoT 연계 어플리케이션 서비스나 다른 프로토콜에 대한 테스트 기준과 인증은 아직 미흡한 편이라는 평도 듣고 있습니다. 특히 영세한 기기 제조업체에게는 이러한 인증 절차를 시작할 엄두를 못 내고 있는 경우도 많고, 가장 큰 문제는 IoT 산업성장 속도가 너무 빨라서 소비자그룹에서 이러한 보안이나 인증에 대한 요구의 목소리를 내고 있지 않다는 점도 시사할 바가 크다고 봅니다.
Resources
- ㈜피플앤드테크놀러지의 IndoorPlus+ 사용케이스 더 알아보기
㈜피플앤드테크놀러지
㈜피플앤드테크놀러지는 사물 인터넷을 활용한 위치기반 서비스를 공급하는 기술업체입니다. 저희는 기술을 이용하여 가치를 만들어내는 사람들로, 저희가 제공하는 솔루션으로 고객들이 얻는 안전, 편리함, 효율성 등의 가치를 만드는 일에 자부심을 가지고 있습니다. 폐사는 이미 국내외에 75개 이상의 고객사를 두고 있으며, 해외시장 진출에도 노력을 기울이고 있습니다.
㈜피플앤드테크놀러지 기술에 대해 더 알고 싶으시다면, 아래 링크 중 하나를 클릭해 보세요.
홈페이지: http://www.pntbiz.com
Contact
Mag KW Kim
Marketing| People and Technology Co., Ltd.
marketing@pntbiz.com