우리 주변의 사물이 IT와 융합되면서 사이버공간의 위협이 현실세계로까지 전이·확대될 가능성을 무시할 수 없게 됐다. 현재 초기단계인 국내 사물인터넷(IoT) 정보보호 산업을 빠르게 발전시킬 수 있는 환경을 만들어 장기적으로 대한민국을 세계 최고의 스마트 안심국가로 만들기 위해 정부가 두 팔을 걷고 나섰다.

미래창조과학부에서 ‘K-ICT 전략’의 핵심과제 중 하나로 발표한 ‘사물인터넷(IoT) 정보보호 로드맵 3개년 시행계획’을 살펴보면 사물인터넷 보안 분야에 대한 정부의 향후 추진정책 방향을 짐작할 수 있다.

미래부 정한근 정보보호정책관은 올해를 사물인터넷 보안 원년으로 삼을 계획을 밝히면서 사물인터넷 대상 위협, 공격 등에 초기부터 대응해 침해사고에 따른 피해규모를 최소화할 수 있을 것으로 기대했다.

이번 3대 추진전략은 보안이 내재화된 IoT 기반 조성, 글로벌 IoT 보안 선도기술 개발, IoT 보안 산업경쟁력 강화로 나누어진다. 이에 따른 8대 세부 추진과제는 다음과 같다.

1. 7대 분야 IoT 제품·서비스 보안 내재화

IoT 제품·서비스 생산단계를 고려하고 스마트챌린지 사업에 시범적용해 실효성 검증 및 개선하는 ‘공통 보안원칙’을 개발 및 보급하고, 보안가이드 개발을 위한 사전 작업으로써 IoT 보안 관련 산업 실태파악 및 ‘공통 보안 요구사항’을 2015년 도출한다.

또한 ‘공통 보안 요구사항’을 기초로 7대 IoT 분야에 공통적으로 활용 가능한 ‘공통보안 가이드’를 2016년부터 마련, 관계부처, 관련 제조업계 등과 협업해 ‘7대 IoT 분야별 보안가이드’를 개발할 수 있도록 2017년부터 기술지원에 들어간다.

2. ‘IoT 보안 위협 종합 대응체계’ 구축

IoT 보안정책 수립 등을 위한 이슈 논의와 기술·정책 자문을 위해 올해부터 ‘IoT 보안 얼라이언스’라는 IoT 보안 협의체를 구성한다.

또한, 침해사고 발생시 국민생활 등에 큰 영향을 끼치는 IoT 인프라에 대해 ‘주요정보통신기반시설’을 2015년부터 신규 지정해 보호체계를 강화하고, 전체 주요정보통신기반시설 중 IoT 인프라를 보유한 시설에 대해 IoT 보안 관련 모의해킹 훈련 등 2017년부터 대응역량을 점검하도록 할 예정이다.

더불어 정보통신, 금융, 지자체 등 기존에 설립된 ‘정보공유분석센터(ISAC)’에서 각 분야의 IoT 보안관련 취약점 공유·분석 등의 기능수행을 올해부터 추진해 ISAC 설립 필요성이 높고, IoT 디바이스 활용도가 높은 에너지, 의료, 교육 분야 등에 대한 신규 ISAC 설립의 필요성을 검토할 예정이다. 기존에 설립된 분야별 ISAC을 위한 총괄체계 구축도 2017년부터 검토한다는 계획이다.

3. 안전한 IoT 제품·서비스를 위한 신뢰성 확보

IoT 제품·서비스의 설계단계부터 보안을 적용해 사후관리 등 전 단계에 걸쳐 책임성 확보를 위한 연구를 추진하고, IoT 제품·서비스 사업자의 책임성 확보방안을 2016년부터 마련할 예정이다.

이와 함께 7대 IoT 분야 디바이스에 공통 적용 가능한 기술적·관리적 보안 인증항목을 도출하고 2015년부터 인증제도 도입방안에 대한 사전연구를 수행한다. ‘IoT 보안 얼라이언스’에 ‘IoT 디바이스 보안인증 분과’를 설치해 글로벌 표준에 부합한 보안인증 항목을 공통 규격화하도록 2016년부터 추진할 계획이다.

이와 함께 공통 인증규격을 기반으로 ‘민간 자율의 7대 IoT 분야별 디바이스 보안인증 방안’을 마련하고, 시범운영 후 인증제 도입을 2016년부터 추진하게 된다.

4. IoT 보안 핵심 원천기술 개발

CPU 성능, 전력상태 등을 고려한 경량·저전력 암호기술, 보안 콘트롤러 칩 및 보안 운영체제를 개발하되, 특정 IoT 분야에 국한되지 않도록 개방형으로 개발하게 된다.

웨어러블 디바이스, 초소형 센서 등에 대한 위변조, 부채널 공격을 방지하는 보안 콘트롤러 칩을 올해 개발해 디바이스 핵심자원에 대한 비인가 접근을 차단하고 위·변조 방지 기능 등이 내재된 보안 운영체제를 개발을 지원한다는 계획이다.

또한, 이종 네트워크 간 안전한 통신을 위해 IoT 보안 게이트웨이, 침입 탐지·대응 기술과 원격 보안 관리·관제 기술을 개발하고, 각종 IoT 서비스 환경에 적합한 스마트 인증, IoT 프라이버시 보호기술 및 IoT 보안솔루션 기술을 개발할 예정이다.

5. IoT R&D 오픈 이노베이션 구축

IoT 기술 및 시장 요구사항에 유연하게 대응하기 위해 경쟁형 IoT R&D 오디션 프로그램을 올해부터 도입하고, 미국, 유럽 등 IoT 보안 선도기술 및 실용화 기술 보유기관 등과 국제협력을 통해 R&D IoT 보안분야의 글로벌 역량을 강화한다. 이와 함께 홈·가전, 교통, 의료 등 IoT 분야별 시장수요와 기술 경쟁력을 고려해 IoT 보안기술의 국제 표준화를 2016년부터 추진할 예정이다.

6. IoT 보안 우수기업 발굴·육성

기존에 추진중인 스타트업 프로그램 내에 IoT 보안분야를 추가해 기획·개발·테스트·투자유치·해외진출 등을 원스톱으로 지원하고, 스타트업 선정팀 대상으로 창의적인 보안기술 및 서비스 모델 발굴을 위한 ‘IoT Security Innovation Contest’ 개최를 추진하게 된다.

또한, 보안 스타트업 육성, IoT 보안 실증사업에 대한 컨설팅, 기술지원 등 IoT 보안 관련 기업 지원업무를 위한 ‘IoT 시큐리티 센터’를 올해부터 구축해 IoT 제품에 공통 적용되는 보안사항의 검증, 시험 등을 위한 ‘IoT 보안 테스트베드’를 ‘IoT 시큐리티 센터’ 내에 구축할 예정이다.

뿐만 아니라 스마트챌린지 사업 등 IoT 실증사업의 보안 취약점 점검 및 보호대책 결과를 기반으로 IoT 보안실증 사업도 올해부터 추진한다는 방침이다.

7. IoT 보안제품·서비스 수요 창출

취약점 신고포상제 대상 분야를 SW, ActiveX 이외에 IoT와 관련된 분야로 확대해 시범 운영토록 하고, IoT 보안취약점을 조기에 발굴 및 대응방안 마련을 위해 ‘글로벌 IoT 보안취약점 발굴 대회’를 올해부터 개최할 예정이다.

또한, 정부는 국내외 IoT 제조사와 국내 보안업체간 기업매칭을 지원하고, 보안 적용사례를 공유하는 ‘IoT Security Networking Day’를 올해부터 개최해 IoT 보안 관련 전시회 참가 및 선진시장과의 교류를 통한 동향조사, 최신 기술파악 등을 추진한다.

또한, IoT 보안분야의 해외진출 유망기업을 선정해 전시회, 컨설팅 참가 등 해외진출 지원을 통한 해외 레퍼런스를 확보하고, 관련 해외전시회, 컨설팅에 물리·정보보안 기업과 공동관 구성 참가 등을 통한 해외시장 다변화 및 진출지역 확대를 2017년부터 추진해 글로벌 IoT 보안수요를 발굴한다는 계획이다.

8. ‘IoT Security Brain’ 양성

이번 로드맵에는 IoT 보안 등 융합보안 심화교육을 실시하고 업계 수요에 대응하는 인력양성을 위해 기업 및 민간교육기관 등 정보보호 관련 교육 운영단체를 대상으로 ‘교육 인증체계’를 올해 구축한다는 계획도 포함됐다.

최정예 사이버보안인력(K-Shield) 인증생 대상 IoT 보안교육을 실시해 임베디드 SW, 제어 프로토콜, 무선 프로토콜 관련 보안취약점 이론 등 ‘IoT 보안 기본교육’을 실시하고, ‘IoT 보안 테스트베드’를 활용해 게이트웨이·무선 네트워크 분야 등에 대해 ‘IoT 보안취약점 분석교육’을 내년부터 실시한다는 것. ‘스마트홈 분야 보안취약점 분석교육’은 2017년부터 진행할 예정이다.

이와 함께 ‘7대 IoT 분야 재직자’에 대해 정보보호 재교육을 실시한다는 방침도 밝혔다. IoT 분야 종사자의 IoT 보안인식 제고, 동향파악, 디바이스 보안 취약점 실습 등 ‘IoT 정보보호 기본과정’을 2015년 120명을 대상으로 4회 진행되고, IoT 공통 보안원칙 및 IoT 보안관련 정책, 기술 소개 등 ‘IoT 정보보호 전문성 강화과정’을 2016년 150명을 대상으로 5회 운영할 계획이다.