[프라임경제] 사물인터넷(IoT) 시장이 확대됨에 따라 관련 보안 강화가 중대한 문제로 부각, 국내서도 IoT 보안 인증제가 추진될 전망이다.

한국인터넷진흥원( KISA·원장 백기승)은 사이버 위협정보 공유 및 침해사고 공동 대응을 위해 운영 중인' 사이버위협 인텔리전스 네트워크'에 참여하는 국내외 보안업체와 함께 2016년 한 해 발생한 보안 위협을 분석하고 내년 사이버공격 위협을 전망하는 '2017년 7대 사이버 공격 전망'을 5일 발표했다.

이날 백기승 KISA 원장은 "현재 통신사 등에서 판매된 IoT 기기는 기본적으로 보안 내제가 안된 상황"이라며 "확정단계는 아니나, 국회와도 IoT 보안성 인증 문제를 고민 중"이라고 말했다.

KISA는 앞서 IoT 공통 보안 가이드라인을 발표한 데 이어 내년 홈IoT, 공공IoT, 스마트시티 등 산업별로 보다 구체화한 IoT 가이드라인을 공개할 예정이다. 또 관련 인증제 법제화를 목표로 내년 관련 사업을 추진한다는 방침이다.

KISA 관계자는 "IoT 보안은 규제 요소가 아닌 품질 강화 요소"라며 "기존에는 민간 자율 영역에 IoT 보안 문제를 뒀지만, 사실상 시장에서 원활히 되기 어렵다"고 설명했다.

지난 10월 미국의 DNS(Domaim Name Server)서비스를 제공하는 IT 업체 '딘(Dyn)'이 디도스(DDoS) 공격을 당하며 트위터, 넷플릭스, 뉴욕타임즈 등 미국의 주요 IT업체와 언론사 등 1200여개 웹사이트 접속이 중단됐다.

특히 이번 공격에 디지털 카메라, 라우터, DVE 등 일상에서 사용되는 가전제품이 활용됐을 가능성이 제기되며 가정내 IoT 기기가 사이버 테러 무기가 될 수 있다는 우려가 현실화되는 날이 머지 않았음을 보여줬다.

임진수 KISA 인텔리전스협력팀 팀장은 "10월 디도스 공격으로 미국 절반 인터넷 마비됐었는데, 한국의 경우 IoT 취약점 신고가 지난해 136건으로, 이 수치가 지속적으로 증가하고 있으며 IoT 공격 IP는 전 세계에서 10위권에 들고 있다"고 주목했다.

그는 이어 "IoT 기기가 2020년도에 200억개로 예측되고 커넥티드카 가시화되고 있다"며 "IoT 기기가 큰 위협이 될 것이라는 게 우리 예측"이라고 강조했다.

KISA는 IoT 기기 중에서도 공유기, 나스장비, 라우터, 폐쇄회로(CC)TV가 공격대상이 될 것으로 내다봤다.

그러면서 "IoT 기기와 관련해서는 제조단계에서 나온 어드민 패스워드에 대해 이용자들이 거의 바꾸지 않는다는 점, 공유기를 원격 관리하도록 포트를 열어놓거나 하는 미흡한 관리에서 취약점이 노출되는 경향이 크다"고 설명했다.

KISA는 IoT 제품에 대해 초기 보안 설정을 반드시 해야 하며, 제품 설계부터 채널 업그레이드, 생성단계까지 암호화 과정이 필요하고, 추후 해킹 공격이 발생돼도 보완 패치나 업데이트되는 과정이 결부돼야 한다고 분석했다.

한편, KISA는 이날 2017년 7대 사이버 공격 전망으로 △산업전반으로 번지는 한국 맞춤형 공격 △자산관리 등 공용 소프트웨어를 통한 표적 공격 △한국어 지원 등 다양한 형태의 랜섬웨어 대량 유포 △사회기반시설 대상 사이버 테러 발생 △멀버타이징 공격 등 대규모 악성코드 감염기법의 지능화 △악성앱 등 모바일 금융 서비스에 대한 위협 증가 △좀비화된 사물인터넷(IoT) 기기의 무기화 등을 제시했다.

특히 내년 대선 등 중대한 정치 이슈가 있어 관련 공격이 필히 예상됨에 따라 준비가 필요하다고 밝혔다. 또 보안문제가 갈수록 다양화되고 고도화되고 있으므로 정부의 투자가 뒷받침돼야 한다고 목소리를 더했다.

백 원장은 "IoT, 4차산업혁명 등으로 관련 분야가 성장하고 보안 문제도 주목되고 있지만 관련 투자가 미미하다"며 "정보보호 관련 인력, 예산이 높아져야 하는데 기존 아날로그 사고 시스템에서 이런 부분이 매우 더디다. 과도기적인 미스매치들을 최대한 빨리 정상화시켜야 사회적 안정이 이뤄질 것"이라고 제언했다.