2019.05.07

'IoT 설계 단계부터 보안 고려' 英 관련 법안 발의··· 관련 업계 영향은?

Hannah Williams | Computerworld UK
지난주 영국 디지털문화미디어체육부 장관 마고 제임스가 인터넷에 연결된 모든 기기를 ‘설계 단계부터’ 사이버 공격으로부터 안전하게 보호하기 위한 소비자 IoT 보안 관련 신규 법안을 발의했다.
 
ⓒGetty Images Bank

2019년 6월 5일까지 진행되는 협의에는 기기 제조사, IoT 서비스 업체, 모바일 애플리케이션 개발자, 학자, 판매업자, 기술 전문가 등 소비자 IoT 보안에 관심이 있는 누구나 참여할 수 있다.

영국 정부에 따르면 이번 규제 법안의 목적은 제품의 설계 단계부터 효율적인 보안 기능을 탑재시키는 것이다.

영국 정부는 2018년 10월 발표한 IoT 보안 실천 요강을 통해, 이번 법안은 인터넷에 연결된 제품 중 아직 기본적인 보안 기능이 부족한 제품이 상당수에 이르고 있는 상황에 대처하기 위해서라고 설명했다.

업계 전문가 및 이해 관계자들의 참여로 지금까지 3가지 방안이 제시되었다. 그중에는 영국 내 판매되는 스마트TV와 가전 등의 기기 전체에 ‘보안 인증’ 라벨 부착을 의무화하는 방안도 있다. 

이 밖에 전 IoT 제품에 그 어떤 범용 공장 설정으로도 재설정될 수 없는 고유의 암호를 두라는 내용이 포함된 일반 지침과 실천 요강도 있다.

여기에 따르면, 제품 제조사의 공개 연락처는 물론, 제품이 주기적인 보안 업데이트를 받을 수 있는 최소한의 기간을 명시해야 한다.

업계 대응
영국 전역의 여러 단체는 이 법안에 대한 의견을 피력해 왔다. 많은 사람들이 이 법안을 지지하고 있다.

영국 카스퍼스키랩 수석 보안 연구원 데이빗 엠은 “인터넷에 연결된 전 제품이 준수해야 할 업계 표준 요건이 제정되면 시중의 전 제품은 전국 가정에서 사용할 때 훨씬 안전해질 것이다. 발의된 라벨 부착 시스템을 시행하면 더욱더 그렇다. 소비자들이 스마트 기기들의 보안 요건 준수 여부를 쉽게 확인할 수 있기 때문이다”라고 말했다

이어서 그는 “소비자를 안전하게 보호하고 그 어느 때보다 훨씬 잘 대비시킬 수 있는 매우 긍정적인 조치다. 고객 보호가 너무 오랫동안 등한시됐다. 전세계적으로 수십 억대의 기기가 매일 인터넷에 연결된 상태로 작동 중인 상황에서 마침내 조치가 취해진 것은 다행스럽다”라고 덧붙였다. 

시사점
현재 상정된 3가지 실천 방안은 다음과 같다. 

A안: 유통업체는 IoT 보안 라벨이 부착된 소비자 IoT 제품만 판매하고 제조사는 소비자 IoT 제품에 대한 자체 평가와 보안 라벨 부착을 의무화하는 방안.

B안: 유통업체는 상위 3개 지침을 준수하는 소비자 IoT 제품만 판매하고 제조사는 소비자 IoT 제품이 IoT 보안 실천 요강의 상위 3개 지침을 준수하는지 자체 평가하도록 의무화하는 방안.

C안: 유통업체는 실천 요강의 13개 지침 전부를 준수함을 증명하는 라벨이 부착된 소비자 IoT 제품만 판매하고 제조사는 라벨이 적절한 제품 포장에 부착되어 있는지 자체 평가하고 확인하도록 의무화하는 방안.

현재 A안이 가장 많은 지지를 얻었다. 제품 라벨이 이 분야의 투명성 회복에 최상의 방안이라는 영국 디지털문화미디어체육부(DCMS) 내의 믿음 때문이다.

유럽, 중동, 인도, 아프리카 지역 후지쯔의 위협 및 정보 담당 수석 관리자 폴 맥바트는 “기업이 고객 정보 및 사생활 보호에 핵심적인 역할을 한다. 반드시 염두에 두어야 할 점은 사이버 범죄자들은 해킹을 성공시키기 위해 수단과 방법을 가리지 않는다는 것이다”라고 말했다

이어서 “IoT 제조사들은 ‘설계 단계부터 보안 확보’ 및 개인정보 보호에 나선다면 고객을 제대로 보호할 수 있고 고객이 안심하고 제품을 구매할 수 있게 된다”라고 맥바트는 전했다. 
 
다음 단계
협의 기구에 따르면 DCMS는 이미 라벨 부착 디자인을 내놓았는데 PETRAS 학술 컨소시엄이 포함된 실무진과의 협력을 통해 개발된 것이라고 한다. 

전 IoT 제품에 ‘긍정적’ 라벨과 ‘부정적’ 라벨을 부착하자는 의견이 나왔는데 DCMS는 올해 하반기에 자발적 제도의 일환으로 라벨을 출범하기에 앞서 디자인에 대한 의견을 수렴 중이다.

영국 정부는 대중의 반응을 참고하여 법제화할 방안을 결정할 예정이다. 위의 방안 가운데 하나 아니면 3가지 방안 전체를 조합한 내용이 포함될 것이다. ciokr@idg.co.kr
 



2019.05.07

'IoT 설계 단계부터 보안 고려' 英 관련 법안 발의··· 관련 업계 영향은?

Hannah Williams | Computerworld UK
지난주 영국 디지털문화미디어체육부 장관 마고 제임스가 인터넷에 연결된 모든 기기를 ‘설계 단계부터’ 사이버 공격으로부터 안전하게 보호하기 위한 소비자 IoT 보안 관련 신규 법안을 발의했다.
 
ⓒGetty Images Bank

2019년 6월 5일까지 진행되는 협의에는 기기 제조사, IoT 서비스 업체, 모바일 애플리케이션 개발자, 학자, 판매업자, 기술 전문가 등 소비자 IoT 보안에 관심이 있는 누구나 참여할 수 있다.

영국 정부에 따르면 이번 규제 법안의 목적은 제품의 설계 단계부터 효율적인 보안 기능을 탑재시키는 것이다.

영국 정부는 2018년 10월 발표한 IoT 보안 실천 요강을 통해, 이번 법안은 인터넷에 연결된 제품 중 아직 기본적인 보안 기능이 부족한 제품이 상당수에 이르고 있는 상황에 대처하기 위해서라고 설명했다.

업계 전문가 및 이해 관계자들의 참여로 지금까지 3가지 방안이 제시되었다. 그중에는 영국 내 판매되는 스마트TV와 가전 등의 기기 전체에 ‘보안 인증’ 라벨 부착을 의무화하는 방안도 있다. 

이 밖에 전 IoT 제품에 그 어떤 범용 공장 설정으로도 재설정될 수 없는 고유의 암호를 두라는 내용이 포함된 일반 지침과 실천 요강도 있다.

여기에 따르면, 제품 제조사의 공개 연락처는 물론, 제품이 주기적인 보안 업데이트를 받을 수 있는 최소한의 기간을 명시해야 한다.

업계 대응
영국 전역의 여러 단체는 이 법안에 대한 의견을 피력해 왔다. 많은 사람들이 이 법안을 지지하고 있다.

영국 카스퍼스키랩 수석 보안 연구원 데이빗 엠은 “인터넷에 연결된 전 제품이 준수해야 할 업계 표준 요건이 제정되면 시중의 전 제품은 전국 가정에서 사용할 때 훨씬 안전해질 것이다. 발의된 라벨 부착 시스템을 시행하면 더욱더 그렇다. 소비자들이 스마트 기기들의 보안 요건 준수 여부를 쉽게 확인할 수 있기 때문이다”라고 말했다

이어서 그는 “소비자를 안전하게 보호하고 그 어느 때보다 훨씬 잘 대비시킬 수 있는 매우 긍정적인 조치다. 고객 보호가 너무 오랫동안 등한시됐다. 전세계적으로 수십 억대의 기기가 매일 인터넷에 연결된 상태로 작동 중인 상황에서 마침내 조치가 취해진 것은 다행스럽다”라고 덧붙였다. 

시사점
현재 상정된 3가지 실천 방안은 다음과 같다. 

A안: 유통업체는 IoT 보안 라벨이 부착된 소비자 IoT 제품만 판매하고 제조사는 소비자 IoT 제품에 대한 자체 평가와 보안 라벨 부착을 의무화하는 방안.

B안: 유통업체는 상위 3개 지침을 준수하는 소비자 IoT 제품만 판매하고 제조사는 소비자 IoT 제품이 IoT 보안 실천 요강의 상위 3개 지침을 준수하는지 자체 평가하도록 의무화하는 방안.

C안: 유통업체는 실천 요강의 13개 지침 전부를 준수함을 증명하는 라벨이 부착된 소비자 IoT 제품만 판매하고 제조사는 라벨이 적절한 제품 포장에 부착되어 있는지 자체 평가하고 확인하도록 의무화하는 방안.

현재 A안이 가장 많은 지지를 얻었다. 제품 라벨이 이 분야의 투명성 회복에 최상의 방안이라는 영국 디지털문화미디어체육부(DCMS) 내의 믿음 때문이다.

유럽, 중동, 인도, 아프리카 지역 후지쯔의 위협 및 정보 담당 수석 관리자 폴 맥바트는 “기업이 고객 정보 및 사생활 보호에 핵심적인 역할을 한다. 반드시 염두에 두어야 할 점은 사이버 범죄자들은 해킹을 성공시키기 위해 수단과 방법을 가리지 않는다는 것이다”라고 말했다

이어서 “IoT 제조사들은 ‘설계 단계부터 보안 확보’ 및 개인정보 보호에 나선다면 고객을 제대로 보호할 수 있고 고객이 안심하고 제품을 구매할 수 있게 된다”라고 맥바트는 전했다. 
 
다음 단계
협의 기구에 따르면 DCMS는 이미 라벨 부착 디자인을 내놓았는데 PETRAS 학술 컨소시엄이 포함된 실무진과의 협력을 통해 개발된 것이라고 한다. 

전 IoT 제품에 ‘긍정적’ 라벨과 ‘부정적’ 라벨을 부착하자는 의견이 나왔는데 DCMS는 올해 하반기에 자발적 제도의 일환으로 라벨을 출범하기에 앞서 디자인에 대한 의견을 수렴 중이다.

영국 정부는 대중의 반응을 참고하여 법제화할 방안을 결정할 예정이다. 위의 방안 가운데 하나 아니면 3가지 방안 전체를 조합한 내용이 포함될 것이다. ciokr@idg.co.kr
 

X