4차 산업혁명의 성공 여부는 사이버 보안에 달려 있다고 해도 과언이 아니다. 특히 핵심기술 중 하나인 사물인터넷(IoT)은 서로 격리돼 있던 기기들이 서로 연결되는 네트워크 개방성과 공유 특성으로 해커들의 새로운 타깃이 될 수 있다.

예를 들면 냉장고나 TV 등의 스마트 가전제품을 비롯해 AI 스피커, IP 카메라, 드론, 커넥티드 카, 스마트 의료기기, 스마트 장난감 등 모든 IoT 기기들이 이에 해당된다. 실제로 해외에서는 보모 감시용 카메라인 내니캠의 보안 취약점을 이용해 여러 건의 데이터 유출 사건이 일어나기도 했다.

이에 따라 일부 선진국에서는 최근 들어 일명 ‘IoT 보안법’이 발의되거나 시행을 앞두고 있어 눈길을 끈다.

미국 캘리포니아주는 ‘SB 327’이라는 IoT 보안법을 내년 1월 1일부로 발효할 예정이다. 이 법안은 최초 발의 이후 지난해 9월 중순에 주의회에서 최종 통과됐다. 커넥티드 디바이스의 생산자는 해당 기기를 생산할 때 반드시 합당한 보안 기능을 탑재하도록 규정한 것이 이 법안의 주요 내용이다.

커넥티드 디바이스란 인터넷에 직‧간접적으로 연결할 수 있어 IP 주소 혹은 블루투스 주소가 부여되는 모든 기기 및 장치를 말한다. 예를 들어 스마트폰, 스마트 스피커, 스마트 디스플레이 등의 스마트 제품에서부터 각종 개인용 의료기기까지 인터넷에 연결할 수 있는 장치라면 모두 법안 대상 기기에 포함된다.

단, 사용자가 본인의 재량에 따라 소프트웨어 및 애플리케이션 등을 추가‧변경하거나 해당 기기를 제어하는 경우에는 법안의 적용을 받지 않는다. 또한 기기의 주요 기능이 연방 규제 기관에 의해 공표된 연방법의 보안 요건을 따르고 있을 경우 이 법안이 적용되지 않는다.

5G 등장으로 IoT 보안법 확산 예상

최근에 급속히 성장 중인 5G 기술로 인해 IoT 기기들의 더욱 늘어날 전망이다. 이런 배경 하에 많은 기기들이 서로 연결된 상황에서 보안의 취약성이 드러날 경우 해커의 침투에 쉽게 노출될 수 있다.

따라서 미국 의회에는 IoT 관련 법안이 이미 여러 건 발의된 적이 있다. 예를 들면 IoT 보안 기관을 설립하는 법안, 정부 납품용 IoT 기기의 규격을 정하는 법안 등이 그것이다. 하지만 이 법안들은 모두 의회를 통과하지 못했다.

캘리포니아주는 SB 327로 인해 미국 내 모든 주를 통틀어 일상의 인터넷 연결 기기들에 사이버 보안 기능 탑재를 법적으로 필수화한 최초의 주가 된 셈이다. 이 법안은 캘리포니아주에 속한 생산자에게만 한정되지만, 미국에서 판매되는 IoT 기기의 전반적인 보안 수준 향상에 긍정적 영향을 미쳐 다른 주에서도 이런 성격의 규제가 확산될 것으로 예상된다.

최근엔 영국에서도 소비자들이 모든 IoT 기기를 안전하게 사용하게 하기 위한 보안 관련 신규 법안이 발의됐다. 이 법안은 인터넷에 연결되는 제품 중 아직 기본적인 보안 기능에 허점이 많다는 점을 감안해 제품의 설계 단계에서부터 효율적인 보안 기능을 탑재시키는 것을 목적으로 하고 있다.

이 법안에는 스마트 가전제품 등의 기기 전체에 보안 인증이 표시된 라벨 부착을 의무화하는 방안과 모든 IoT 제품에 어떤 기술로도 재설정될 수 없는 고유 암호를 두는 방안 등이 포함될 것으로 알려졌다.

현재 이 법안은 기기 제조사 및 판매업자, 학자 및 기술자, 앱 개발자, IoT 서비스 업체 등이 참여해 세부적인 실천 방안에 대해 협의를 거치는 과정에 있다. 영국 정부는 대중의 반응을 참고해 법제화 방안을 결정할 예정인데, 협의 기구에서는 이미 라벨 부착 디자인까지 개발한 것으로 알려졌다.

스마트 의료기기, 인명 피해 발생 가능해

한편, 일본 정부는 지난 1월 25일 전국에서 사용 중인 IoT 기기에 대해 정부기관에서 해킹 점검을 감행하는 법안을 통과시켜 주목을 끌었다. 이 법안의 통과로 총무성 산하 국립정보통신연구원 직원들은 일반 가정 및 기업에서 사용하고 있는 약 2억 대 이상의 IoT 기기에 대해 로그인하여 보안 점검을 벌이고 있는 상황이다.

일본이 이처럼 유례없는 법안을 승인한 이유는 2020년 도쿄 올림픽 개최를 앞두고 IoT 기기를 통한 사이버 공격을 사전에 차단하기 위한 것으로 전해졌다. 실제로 올림픽과 같은 국제 대회는 해커들의 주요 표적이 되고 있다. 우리나라도 지난해 2월 평창 동계올림픽 개막식에 즈음해 대규모 사이버 공격을 받았으나 위기를 넘긴 적이 있다.

IoT 기기에 대한 보안은 사회적인 혼란뿐만 아니라 개인의 인명 피해까지 발생시킬 수 있다는 점에서 매우 중요하다. 대표적인 것이 심장제세동기 같은 스마트 의료기기다.

지난 3월 미국 국토안보부에서는 세계 1위의 의료기기 회사인 메드트로닉에서 생산한 체내 이식형 제세동기가 사이버 공격에 취약할 수 있다고 발표했다. 다른 기기와의 소통 시 안전이 보장되지 않은 프로토콜을 사용한다는 것이 그 이유였다.

이에 따라 해당 기업은 무선 커뮤니케이션 보안 기능의 보완을 진행 중이며 올해 중에 업데이트를 진행할 예정이라고 밝혔다. 이처럼 점점 더 많은 의료기기가 인터넷 및 다른 기기와 연결되고 있으며 이에 따라 잠재적인 사이버 보안 공격에 노출될 위험도 점차 높아지고 있다.

하지만 일각에서는 이 같은 IoT 관련 보안 법안에 부정적인 의견도 많다. 정부의 규제가 자칫 IoT라는 새로운 시장 확대 및 관련 기업의 성장에 찬물을 끼얹는 역할을 할 수도 있다고 보기 때문이다.

IT 시장 조사기관인 IDC는 보안과 관련된 전 세계 투자 규모가 2022년에는 1337억 달러에 달할 것으로 전망했다. 이는 2018년의 921억 달러보다 45% 증가한 수치다.