정보보호 분야의 올해 가장 뜨거운 이슈인 사물인터넷 보안을 위해 산학연 보안전문가들이 머리를 맞댄다.  

미래창조과학부는 19일 서초 팔래스호텔에서 IoT 제조·보안업체와 학계, 국가 산하기관 관계자들 40여 명이 참석한 가운데 사물인터넷(IoT) 보안 협의체인 ‘IoT 보안 얼라이언스’를 출범하고 정책간담회를 개최했다.

‘IoT 보안 얼라이언스’ 참석자들을 대상으로 한 정책간담회에서 고려대학교 김승주 교수는 미래부의 계획중 IoT 분야 취약점 신고포상제도에 대해 긍정적인 평가를 내렸다.

“사물인터넷이 모든 것과 연결되기 시작하면 보안이슈를 1~2개 기관이 모두 대응하기 어려운 게 현실이다. 집단지성을 활용해 보안취약점을 얻어내고 그것을 조치하도록 해야 할 것이다.”

또한, 그는 “버그바운티 포상제를 국가 예산으로 진행하다 보니 외국에 비해 포상금이 적은게 사실”이라며, 금전적인 포상과 함께 보안전문가들에게 명예를 부여하는 것이 좋겠다는 의견을 내놓았다.

이에 대해 미래부 정한근 정보보호정책관은 “외국의 경우 기업들이 버그바운티 제도를 운영하고 있는데, 우리나라는 국가 예산으로 운영하고 있기 때문에 비용적인 측면에서 부담이 클 수밖에 없다. 장기적으로 봤을 때 민간에서 운영할 수 있도록 지원하고 확대시켜 나갈 계획”이라고 밝혔다.

또한, 시큐아이 이요섭 팀장은 정부에서 발간한 IoT 보안 가이드라인의 적용범위를 확대시켜야 한다는 의견을 제시했다. “다른 부처에서 추진하고 있는 스마트 산업에 미래부에서 만든 보안 가이드라인을 적용할 수 있게 하면 좋겠다. 미국에서는 정부가 직접 의료기기나 스마트그리드 산업에 대해 보안가이드를 제공하고 있고, 보안가이드를 살펴보면 어떻게 보안을 적용해야 하는지 아주 상세하게 나와 있다.”

지식정보보안산업협회(KISIA) 심종헌 회장은 “최근 메르스 사태를 보면서 전염병에 대해 어떻게 대처하는 게 잘하는 것인지 생각해봤다. 전염병에 대한 대응 프로세스가 조금 과하더라도 결국 피해를 적게 하는 게 좋은 결과를 가져온다. 보안도 마찬가지로 조금 과하더라도 결과적으로 피해를 적게 해야 하지 않을까”라는 의견을 밝혔다.

정보통신산업진흥원(NIPA) 한호현 본부장은 IoT 서비스 출시 전 설계단계에서의 보안에 대한 의견을 제시했다. “산업진흥 관점에서는 제품을 설계하는 부분이 중요한 이슈다. 서비스를 출시하기 전까지의 요소와 출시 후 대응으로 나눠지는데, 개발단계에서의 보안을 개발업체가 해야 하는지 보안업체가 해야 할 것인지도 정해야 할 것이고, 서비스 출시 전후에 어떻게 보안을 관리할 것인지도 잘 생각해볼 문제다.”

이와 함께 네이버 이준호 이사는 “IoT 시대가 되면 기기와 기기간의 통신을 신뢰할 수 있어야 한다. 수많은 데이터가 기기를 오가며 이동하게 될 텐데, 암호화 기술에 초점을 맞춰 제대로 대비해야 할 것”이라고 전했다.

한편, ‘IoT 보안 얼라이언스’는 앞으로 IoT 보안이슈 및 관련 제도·정책 개선 방안 등을 논의하는 것은 물론 보안가이드 개발 지원 및 보안 인증제와 관련한 검토, 국내외 IoT 제조사와 국내 보안업체간 기업매칭 지원 등을 수행하게 된다.

이번 출범에 맞춰 미래부에서 발표한 IoT 공통 보안원칙 7가지는 △정보보호와 프라이버시 강화를 고려한 IoT 제품·서비스 설계 △안전한 소프트웨어 및 하드웨어 개발기술 적용 및 검증 △안전한 초기 보안 설정 방안 제공 △보안 프로토콜 준수 및 안전한 파라미터 설정 △IoT 제품, 서비스의 취약점 보안패치 및 업데이트 지속 이행 △안전한 운영·관리를 위한 정보보호 및 프라이버시 관리체계 마련 △IoT 침해사고 대응체계 및 책임추적성 확보 방안 마련 등이다.

미래부는 이렇게 마련한 공통 보안원칙을 스마트챌린지 사업에 시범 적용해 실효성을 검증하고 지속적으로 개선해 나가겠다는 계획을 밝혔다.