ICT뉴스

집안 몰래 감시한 좀비 로봇청소기..책임은 누가?

보안수준 낮은 저가 IoT 제품 범람..보안인증제·보안등급 표시 의무화 필요성 대두

[머니투데이 김지민 기자]

#. 얼마 전 A씨는 방에서 옷을 갈아입던 중 섬뜩한 느낌이 들어 고개를 돌렸다. 일부러 벽 쪽으로 돌려뒀던 로봇청소기 카메라 방향이 어느새 자신을 향해 있는 것을 발견했다. 누군가 로봇청소기를 해킹하고 있다는 것을 직감적으로 느낀 A씨는 개인 생활이 노출됐을 것 같은 두려움에 밤잠을 이루지 못했다.

사물인터넷(IoT) 시대를 살아가는 이라면 누구든 이 같은 얘기의 주인공 될 수 있는 세상이다. 실제 올 초 IP카메라 해킹을 통해 개인들의 사생활이 중국 성인 사이트에 올라가는 일이 벌어졌다. 수고를 덜기 위해 구입한 IT기기가 좀비 해킹 기기로 둔갑해 사생활 유포 등 이용자에게 피해를 입힌다면 책임은 누구에게 물어야 할까.

5일 인터넷법제도포럼·홍익대학교 법학연구소가 주최하고 한국인터넷진흥원(KISA)이 주관한 ‘사이버보안 강화를 위한 법제도 현안과 전망’ 토론회에서는 IoT 시대 보안을 강화하기 위한 법과 제도 마련 필요성이 논의됐다.

이용자들의 가장 큰 우려는 사생활 노출이다. 국가인권위원회에 따르면 2010년 당시 도시인의 하루 평균 CCTV 노출 건수는 83회에 달했다. 7년이 지난 지금 달라진 점은 기기 수가 더 늘어났다는 것과 ‘집 안’이 새로운 사이버 보안 취약지대로 등장했다는 것이다. IoT 단말은 센서, 카메라, 마이크 등을 부착하고 있어 사실상 늘 해킹 위협에 노출돼있다. 이날 발제에 나선 이창범 동국대학교 교수는 “공격자나 해커들이 보안이 강화된 기업 정보시스템보다는 개인의 단말기를 공격 대상으로 삼을 가능성이 높아졌다”며 “IoT 단말기는 사이버 공격, 의도적 오작동, 데이터 위변조 등에 취약하다”고 지적했다.

해킹 위협을 최소화하기 위해서는 기기나 서비스 설계 단계부터 개인정보 보호와 정보보안의 관점을 반영해야 한다는 점이 우선적으로 거론된다. 기기 제조사나 서비스 제공자들이 최소한의 정보만 수집, 이용할 수 있는 규정을 마련할 필요가 있다는 것. 이에 따라 현행 정보보호 인증체계도 IoT 기기 특성을 감안해 재정비할 필요가 있다는 지적이다. IoT 보안인증제나 보안 등급제를 도입하자는 얘기다. 유럽연합(EU)은 설계단계부터 개인정보 보호와 정보보안 조치를 의무화는 방안을 논의 중이다.

이 교수는 “시중에 팔리는 중국산 저가 IoT 제품의 보안 수준은 형편없는 것이 대부분이지만 이용자들이 이를 판단할 수 있는 근거가 없다”며 “의료, 자동차, 가정용 CCTV 등 민감 제품의 포장 등에 보안등급제를 표시하는 것을 의무화하는 방안이 필요하다”고 말했다.

IoT 사업자별 책임과 이용자의 의무사항 등을 명확히 규정할 필요가 있다는 지적도 이어졌다. 이 교수는 “디바이스 제조자, 플랫폼 제공자, 서비스 제공자가 해킹 등의 침해사고를 발견하는 즉시 KISA에 신고하는 것을 의무화하는 방안이 필요하다”며 “급박한 침해사고나 피해확산 우려가 있을 때 정부가 시정 명령을 하고 이를 이행하지 않은 이용자에게 과태료를 무는 방안 등을 생각해볼 수 있을 것”이라고 밝혔다.

장기적으로 거버넌스 체계의 재정비도 요구된다. IoT 보안 사고가 일상화되는 가운데 미래창조과학부, 방송통신위원회, 국가정보원 등으로 분산돼있는 정보보호 관리 체계를 총체적으로 관리하는 곳이 없기 때문이다. 정필운 한국교원대학교 교수는 “현행 체계에서는 분산된 권한을 적절히 관리할 관리, 조정 기능이 부족하다”며 “영역별 보안관제센터 활성화나 주무부처별 정보보호위원회 신설 등도 필요할 것"이라고 말했다.