영국 정부가 스마트홈 기기 보안 향상을 목적으로 한 제품 보안과 전기 통신 인프라 PSTI(Product Security and Telecommunications Infrastructure Bill) 법안을 의회에 제출했다고 발표했다. 이 법안에선 스마트폰이나 TV, 스마트 스피커 등 디지털 디바이스 기본 암호에 추측하기 쉬운(password, admin) 문자열을 설정하는 게 금지되어 위반한 기업에 대해선 엄격한 벌금이 부과된다고 한다.
영국 정부는 인터넷에 연결할 수 있는 하이테크 제품 사용률이 최근 극적으로 증가하고 있으며 2030년까지 전 세계에서 최대 500억 기기가 사용될 것으로 예측하고 있다. 하지만 이런 연결 가능한 제품에 적절한 보안 조치를 취하는 건 단지 20% 밖에 안 된다고 밝히고 있다. 영국국가사이버보안센터는 2021년 전반에만 영국에서 IoT 기기에 대한 침해가 15억 회 이뤄지고 있으며 피해 건수가 이미 2020년 거의 2배에 이르고 있다고 보고하고 있다.
이번에 제출된 법안은 2020년 초안을 만든 것으로 고전적인 걸 포함한 추측하기 쉬운 기본 암호 사용을 금지하고 암호는 기기에서 공장 출하 시간 설정으로 리셋할 수 없는 것이어야 한다고 정하고 있다. 규제 대상 제품은 스마트폰과 라우터, 감시 카메라, 게임기, 홈스피커, 세탁기, 냉장고 등 IoT 대응 가전 제품이다. 또 스마트 전구나 웨어러블 피트니스 트래커 등 직접 인터넷에 접속하지 않는 제품도 대상이다.
제조업체는 판매할 때 고객에게 보안 패치나 업데이트에 필요한 최소 기간을 전하고 항상 최신 정보를 제공해야 한다. 제품에 보안 패치나 업데이트가 포함되어 있지 않으면 해당 사실을 공개해야 한다. 또 제조사는 버그나 취약성을 발견한 보안 연구자가 연락하는 창구를 준비할 필요가 있다. 위반 기업에는 최대 1,000만 파운드 혹은 총 매출액 4% 분량 벌금이 부과되며 지속적으로 위반하면 하루 최대 2만 파운드 벌금이 부과된다. 이 법은 제조사 뿐 아니라 하이테크 제품을 영국에 수입 판매하는 소매 업체에도 적용된다. 관련 내용은 이곳에서 확인할 수 있다.