UPDATED. 2022-01-20 13:22 (목)
IoT 기기 정보보호인증 제도 활성화… 사이버보안 확보 기대
IoT 기기 정보보호인증 제도 활성화… 사이버보안 확보 기대
  • 박광하 기자
  • 승인 2022.01.08 20:28
  • 댓글 0
이 기사를 공유합니다

한국인터넷진흥원
IoT 기기 정보보호인증 운영

2020년 정보통신망법상
법적근거 마련, 법정인증화

전체 누적인증건수 142건
인증 기기 지속적 증가 추세

[정보통신신문=박광하기자]

사이버보안의 중요성이 사회 전반적으로 확산됨에 따라, 정부가 사물인터넷(IoT) 기기에 대해 정보보호인증 제도 시행에 관한 구체적인 근거를 마련, 시행하고 있다. 자율인증인 IoT 기기 정보보호인증을 받은 기기는 인증 마크를 부착할 수 있어 시민들이 IoT 기기 구매 시 정보보호인증 제품임을 쉽게 식별할 수 있다.

과학기술정보통신부는 최근 5G 상용화, 정보통신기술(ICT) 융·복합으로 초연결이 가속화되면서 ICT 융합 제품·서비스에 대한 보안위협이 지속적으로 증가하고 있다고 짚었다.

구체적으로는 IP카메라, 지능형CCTV, 스마트홈·가전, 자율주행차 등 융합제품·서비스 보안 문제가 사회적 이슈로 등장하고 있다고 언급했다.

또한, ICT가 융합된 산업에서 발생할 보안위협은 기존 사이버보안 위협과는 달리 시민의 생명과 재산에 직접적인 피해 또는 사회 전반에 광범위한 피해를 야기할 우려가 있기 때문에, 융합산업에 대한 보안사고 예방 및 피해 최소화를 위해서는 사후 처벌보다는 보안 내재화를 통한 사전 보안성 강화가 필요하다고 진단했다.

이에 과기정통부는 월패드 등 홈네트워크 기기를 대상으로 해킹에 의한 개인정보 유출 우려 등 국민의 불안감을 해소하기 위해 기기 수입·제조 기업을 대상으로 정보통신망연결기기 등 정보보호인증을 해오고 있다.

'정보통신망 이용촉진 및 정보보호 등에 관한 법률(정보통신망법)' 제48조의6에 따른 정보보호인증은 정보통신망연결기기가 일정 수준의 보안을 갖췄는지 시험하는 것이다.

과기정통부는 IoT 보안인증을 이 법 개정에 따라 법정인증으로 개편, 2020년에 법적 제도로 근거를 마련했다.

또한, 지난해 9월에는 '정보통신망연결기기등 정보보호인증에 관한 고시(과기정통부 고시 제2021-73호)'를 제정했다.

정보보호인증은 정보통신망에 연결되는 기기·설비·장비에 대해 인증기관이 인증기준에 적합함을 승인하는 행위를 의미한다.

과기정통부는 ICT 융합화가 전방위적으로 확산돼 정보보호 중요성이 기존 비(非)ICT 분야로 확산되고 있으나, 각 산업 분야를 규율하는 개별법에 융합제품·서비스 보안을 위한 제도적 장치가 부재한 경우가 있어 정보보호 공백을 해소하고자 관련 법령을 정비하게 됐다고 언급했다.

만일 부처에 따라 상이하고 일관성 없는 정책 추진이 일어날 경우 분야별 정보보호 수준 격차, 규제 중복, 유사 제도의 난립 등이 발생해 효율적인 사고 조치 및 대응이 불가능하게 될 것이 우려된다는 설명이다.

과기정통부는 제정된 고시에 대해 한국인터넷진흥원(KISA)에서 수행하고 있는 IoT 보안인증을 법제화한 것으로서, 기존 보안인증의 유형과 방식이 유사하기 때문에 피규제자가 해당 내용을 준수하는데 어려움이 없을 것으로 분석했다.

고시에 따르면, 과기정통부는 인증 체계에서 정보보호인증과 관련된 전반적인 정책을 수립·시행하는 역할을 담당하게 된다. 인증기관은 인증기준 개발, 시험방안 마련, 시험결과 검증, 인증품질 관리, 인증 및 취소, 인증서 관리 등 업무를 수행하며, 이를 위해 필요한 경우 인증시험을 수행할 수 있다. 인증위원회는 인증기관의 요청에 따라 인증기준 및 인증대상의 적합여부, 인증시험 결과 등에 대해 심의한다. 시험대행기관은 과학기술정보통신부장관이 필요한 경우 지정하며 정보통신망연결기기등이 인증기준에 적합한지 여부를 확인하는 시험을 대신해 수행한다.

고시에서 정한 인증 대상 기기는 영 제36조의2에 따른 정보통신망연결기기 등이다. 다만, 신청제품이 인증대상에 해당되는지 여부는 망연결성, 기능적 구성, 기술의 발전 등을 고려해 인증위원회의 심의를 거쳐 결정할 수 있다. 다른 법령에 따라 정보보호 관련 인증·시험을 받는 정보통신망연결기기등은 인증대상에서 제외할 수 있도록 했다.

기기의 인증기준은 △식별 및 인증 △데이터 보호 △암호 △소프트웨어 보안 △업데이트 및 기술지원 △운영체제 및 네트워크 보안 △하드웨어 보안 등의 7개 '인증영역'으로 구성돼 있다.

'정보통신망연결기기등 정보보호인증에 관한 고시'에서 정보보호인증은 보안요구사항 수준에 따라 '스탠다드(Standard)', '베이직(Basic)', '라이트(Lite)' 등의 3가지 유형으로 구성된다. [자료=과기정통부, KISA]
'정보통신망연결기기등 정보보호인증에 관한 고시'에서 정보보호인증은 보안요구사항 수준에 따라 '스탠다드(Standard)', '베이직(Basic)', '라이트(Lite)' 등의 3가지 유형으로 구성된다. [자료=과기정통부, KISA]

정보보호인증 인증유형은 보안요구사항 수준에 따라 '스탠다드(Standard)', '베이직(Basic)', '라이트(Lite)' 등의 3가지 유형으로 구성된다.

스탠다드 유형은 고도의 해킹공격에 대응할 수 있고 국제적인 요구사항을 포함한 종합적 보안조치 수준이다. 베이직 유형은 중요 정보의 불법적인 접근을 차단하고 노출방지에 대응할 수 있는 일반적인 보안조치 수준이다. 라이트 유형은 단순 해킹공격에 대응할 수 있는 필수 보안조치 수준이다.

아울러 3가지 인증 유형마다 추가적인 권고 사항을 충족하는 경우 플러스(+)등급을 받을 수 있다.

종합해 보면 △스탠다드+ △스탠다드 △베이직+ △베이직 △라이트+ △라이트 등 6개 인증 등급으로 구별할 수 있다.

지난해에는 73건의 인증서가 발급됐으며, 현재까지 전체 누적인증건수는 142건에 달한다.

정부는 월패드, IP카메라 등의 정보통신망연결기기 이용 시 정보보호인증을 획득한 제품을 사용할 경우, 기기의 보안 취약점 등을 악용한 사이버위협으로부터 보다 안전하게 개인정보나 중요정보의 유출을 방지할 수 있다고 밝혔다.

지능형 홈네트워크 설비 설치 및 기술기준에서도 정보통신망 이용촉진 및 정보보호 등에 관한 법률에 따라 정보보호인증을 받은 세대단말기는 △데이터 기밀성 △데이터 무결성 △인증 △접근통제 △전송데이터 보안 등 5개 항목의 보안요구사항을 충족한 것으로 인정하고 있다.



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.

  • [인터넷 신문 등록 사항] 명칭 : ㈜한국정보통신신문사
  • 등록번호 : 서울 아04447
  • 등록일자 : 2017-04-06
  • 제호 : 정보통신신문
  • 대표이사·발행·편집인 : 문창수
  • 서울특별시 용산구 한강대로 308 (한국정보통신공사협회) 정보통신신문사
  • 발행일자 : 2022-01-20
  • 대표전화 : 02-597-8140
  • 팩스 : 02-597-8223
  • 청소년보호책임자 : 이민규
  • 사업자등록번호 : 214-86-71864
  • 통신판매업등록번호 : 제 2019-서울용산-0472호
  • 정보통신신문의 모든 콘텐츠(영상,기사, 사진)는 저작권법의 보호를 받은바, 무단 전재·복사·배포 등을 금합니다.
  • Copyright © 2011-2022 정보통신신문. All rights reserved. mail to webmaster@koit.co.kr
인터넷신문위원회 abc협회 인증 ND소프트