이석원 기자
스마트TV나 스마트전구 같은 IoT 기기는 가구나 가전제품을 인터넷에 연결해 일상을 편리하게 해주지만 동시에 보안 위험을 초래할 수 있다. 영국에선 4월 29일 제품 보안 및 통신 인프라 법(일명 PSTI법)이 개정되어 시행되면서 세계에서 처음으로 IoT 기기 내 추측하기 쉬운 취약한 기본 암호를 금지했다.
PC나 스마트폰 보안에 대해선 생각해본 적이 있겠지만 스마트TV나 스마트전구 같은 IoT 기기 보안에 대해선 그렇지 않을 수 있다. 하지만 IoT 기기는 인터넷이나 유선 네트워크에 연결되어 있어 악의적인 공격자에 의해 침입당하면 위험하다.
2016년에는 리눅스 컴퓨터를 원격 조작하는 미라이(Mirai)라는 멀웨어가 등장해 전세계 웹캠 등 IoT 기기를 봇넷으로 만들어 디도스 공격을 일으킨 사건이 발생했다. 악용된 건 admin, 12345 등 추측하기 쉬운 기본 암호가 설정된 IoT 기기였으며 IoT 기기에 대한 보안 중요성을 여실히 보여줬다.
IoT 기기 보안 우려가 높아지면서 영국 정부는 안이한 IoT 기기 기본 암호를 금지하는 PSTI법 개정안을 발표했고 4월 29일 시행되면서 영국에선 IoT 기기에 추측 가능한 기본 암호 설정이 금지됐다. 이에 따라 기업은 판매하는 IoT 기기에 유일한 기본 암호를 설정하거나 소유자가 암호를 설정할 수 있게 해야 한다. 또 제조사는 IoT 기기 사용자가 보안 문제를 쉽게 신고할 수 있는 체계를 갖추고 신고자가 문제 상황이나 업데이트 일정을 확인할 수 있게 해야 한다. PSTI법 위반 기업에는 최대 1,000만 파운드 또는 전세계 수익 4% 중 더 높은 금액으로 벌금이 부과될 수 있다.
한편 미국에서도 인증 프로그램(US CYBER TRUST MARK)을 통해 강력한 기본 암호 등 보안 요건을 충족한 IoT 기기에 인증을 부여할 예정이지만 이는 기업에 강제력이 없어 효과는 불확실하다는 지적이다. 관련 내용은 이곳에서 확인할 수 있다.
정용환 기자
이원영 기자
