이석원 기자
스마트홈 규격인 매터(Matter) 제정 단체인 CSA(Connectivity Standards Alliance)가 IoT 기기 보안 표준 규격인 IoT 기기 보안 사양 1.0(IoT Device Security Specification 1.0)과 이에 따른 인증 프로그램인 제품 보안 인증 마크(Product Security Verified Mark)를 발표했다.
최근 스마트 인터콤 해킹이나 스마트 오븐 원격 작동 등 IoT 기기 해킹 피해 사례가 잇따르고 있다. 하지만 지금까지 IoT 제품의 보안 수준을 평가할 수 있는 기준이나 방법은 없었다.이에 CSA는 소비자 대상 IoT 기기에 대해 전 세계적으로 인정받는 단일 보안 인증을 제공하기 위해 기본 사이버보안 표준인 IoT 기기 보안 사양 1.0과 인증 프로그램인 제품 보안 인증 마크를 발표한 것.
CSA 규격을 준수하고 인증 절차를 거친 기기 제조사는 제품에 PSV 마크를 부착할 수 있다. 다시 말해 구매하는 방범 카메라나 스마트 전구에 PSV 마크가 있다면 프라이버시 침해 위험이 있는 악의적 해킹이나 기타 침입으로부터 보호 요건을 충족했다는 걸 의미한다.
CSA가 제조사에 요구하는 주요 요건은 IoT 기기에 고유 ID가 설정되어 있는지, 기본 비밀번호가 하드코딩되지 않았는지, 기기상 기밀 데이터가 안전하게 저장되는지, 보안 관련 정보를 안전하게 통신할 수 있는지, 지원 기간 중 정기적 소프트웨어 업데이트가 있는지, 취약점 관리를 포함한 안전한 개발 절차를 거쳤는지, 보안 관련 문서가 공개되어 있는지다.
이 요건을 충족한 제품에는 CSA로부터 검증 마크를 제품 포장이나 광고에 사용할 수 있는 승인을 받게 된다. 구글 측 관계자는 소비자는 보안을 기기 구매 주요 요소로 여기지만 어떤 제품이 보안에 안전한지 식별하기 어려운 게 현실이라며 이번 프로그램이 소비자가 IoT 기기를 찾는 데 도움이 될 것이라고 밝혔다.
CSA는 PSV 마크를 정부 보안 라벨 프로그램과 상호 운용할 계획이며 2024년 3월 18일 싱가포르 정부와 상호인정협정을 체결했다. CSA 측은 PSV 마크는 다양한 정부 기관이나 프로그램 요구 사항을 바탕으로 만들어졌다고 설명했다. 또 PSV 마크 부착 제품이 2024년 말쯤 등장할 수 있을 것이라고 내다봤다. 그 뿐 아니라 제품 보안을 중시하는 기업에 PSV 마크 인증은 경쟁사와 차별화할 수 있는 수단이라며 프로그램을 시작하는 즉시 인증 절차에 돌입하길 바란다고 덧붙였다. 관련 내용은 이곳에서 확인할 수 있다.
이원영 기자
