정용환 기자
얼마 전 영국에선 사물인터넷 디바이스로 인한 보안 위험으로부터 소비자를 보호하기 위한 새로운 법률이 발표됐다.
이에 따르면 기업은 3가지 요구 사항을 지켜야 한다. 첫째는 모든 장치에 고유 암호가 설정되어 있는지 확인하고 일반적인 간단한 공장 암호 재설정을 할 수 있게 한다. 둘째는 개발자 뿐 아니라 소비자 등 모두가 버그를 보고할 수 있는 연락 창구를 공개한다. 또 취약점이 보고된 경우에는 적시에 처리해야 한다. 셋째는 온라인 구매나 매장에서 구입하는 것에 관계없이 장치를 판매할 때에는 보안 업데이트를 받ㅇ을 때까지 최단 기간을 명확하게 제시해야 한다.
매트 워먼(Matt Warman) 디지털 장관은 새로운 법률은 해커에 대한 개인정보보호와 안전을 위협하는 공격 가능성을 고려해 인터넷에 연결한 장치를 제조, 판매하는 기업에 이를 저지할 것을 요구하는 것이라고 밝히고 있다. 강력한 보안은 설계 단계에서 통합되어야 하며 나중에 부가되는 게 아니라는 뜻이기도 하다.
이 자료에 따르면 영국 정부는 2025년 말까지 750억 대에 이르는 사물인터넷 디바이스가 전 세계 가정에 보급될 것으로 전망하고 있다. 또 영국 정부의 3가지 요구 사항은 지난해 5월 사이버 보안 센터 NCSC와 기업이 협의해 결정한 것이라고 한다. 요구사항 내용은 따로 과격한 게 아니라 오히려 기본적인 것이라고 할 수 있다. 현재 종단간 암호화를 보장하는 모든 기업이 암호를 변경하는 기능을 제공하지 않거나 설치 프로그램에 기본 암호를 제공하는 실태가 지적되고 있다.
2016년 대규모 디도스 공격으로 보안이 없는 사물인터넷 디바이스 수십억 대에 악성코드(Mirai)가 감염됐다. 이런 보안 위험을 줄이기 위해서라도 사물인터넷 장치 암호 등에 대한 준비가 필요하다는 걸 알 수 있다. 또 보안 업데이트에서 지원 기간 개시를 제조사에 강제하는 것도 중요하다.
미국에선 캘리포니아 상원이 사물인터넷 보안 법안인 SB-327을 통과시켜 올해 1월 1일부터 시행하고 있다. 이 법안은 제조사에 기본 암호 사용 금지 등 합리적인 보안 기능 제정을 요구하고 있다. 하지만 이에 대해 일부 전문가는 모호하고 불충분하다고 비판을 하기도 한다. 어쨌든 이번 영국의 사물인터넷 디바이스 제조사에 대한 규제 움직임은 모든 국가에서 지향해야 할 최소한의 접근 방식이라고 할 수 있다. 관련 내용은 이곳에서 확인할 수 있다.
이원영 기자
