가정, 공장, 병원 등 도시 인프라에 연결된 다수의 기기가 해킹 공격에 취약한 사물인터넷(IoT) 보안인증 제도가 제대로 작동하지 않고 있다는 우려가 제기되고 있다. 국내 IoT 기기 제조업체가 1000곳을 돌파했지만 매년 100여 건에 머무는 보안인증 건수는 여전히 부족한 것으로 보고되었다. 이러한 상황에서 IoT 기기를 겨냥한 해킹 시도가 급증하고 있는 가운데 더 이상 이 문제를 방치해서는 안 된다는 지적이 나오고 있다.
한국인터넷진흥원(KISA)에 따르면 지난해 IoT 보안인증 건수는 106건으로 집계됐다. 2018년에는 4건에 불과했던 인증 건수가 2024년까지 106건으로 늘었지만 증가 속도는 여전히 더딘 것으로 평가되고 있다. 국내 IoT 기기 제조업체의 수가 많고 매출도 상당한 수준이지만 보안인증 참여율은 매우 낮은 것으로 나타났다.
글로벌 보안 분석 업체 컴페어칩SSL에 따르면 전 세계 IoT 기기 대상 해킹 시도는 지난해 하루 평균 82만 건으로 전년 대비 46% 증가했다. IoT 기기는 개인정보 수집 뿐만 아니라 해킹 시 내부 네트워크로의 침투도 가능하기 때문에 기기 자체의 보안은 기업과 가정의 전체 보안과 직결된다.
KISA의 IoT 보안인증은 실제 침해 사고에서 드러난 취약점을 보완하는 데 중점을 두고 있다. '라이트' 등급에서도 초기 비밀번호 변경, 사용자 인증 및 권한 관리, 로그인 시도 제한, 데이터 전송 및 저장에 대한 암호화 등 필수 보안 조치를 제공한다. IoT 기기의 다양성으로 인해 모든 기기의 보안을 완벽히 보장할 수는 없지만 최소한의 안전장치를 갖추는 것이 목표이다.
정부는 인증 수수료를 최대 80% 지원하지만 기업들은 적극적으로 참여하지 않고 있다. 현재는 의무가 아닌 임의 인증 제도이기 때문에 해외에서 제조된 기기도 보안 인증 없이 국내에서 판매가 가능하다. 특히 지난해 대규모 개인정보 침해 사고가 발생한 IP 카메라의 인증 신청이 매우 저조해 우려가 크다. 또한 중국산 제품의 인증 건수가 0건으로 나타나는 등 보안 취약성 문제가 우려된다.
정부는 IoT 보안인증을 의무화하는 데 신중한 입장이며 완전한 의무화는 무역장벽이 될 우려가 있고 중소기업에 부담이 될 수 있기 때문이다. 대신 싱가포르, 독일 등과 상호 인정 약정을 통해 활성화를 유도하고 있다. 업계에서는 보안 취약성 문제가 지속되고 있는 만큼 감독 체계가 필요하다는 의견이 나오고 있다. 과학기술정보통신부 관계자는 보안 품질 관련 투자를 유도하고 IoT 보안인증을 활성화하기 위해 노력 중이라고 밝혔다.