‘사물인터넷 사이버보안 개선법(The Internet of Things Cybersecurity Improvement Act)’에 따르면 기기 제조사들은 새로운 보안 표준을 충족해야 한다. 아직까진 정부 기관과 관련된 업체에만 적용되는 법이지만, 향후 민간 부문으로 확대될 것으로 전망된다.
IoT 기기 수가 기하급수적으로 증가하면서 이 비율 또한 많이 늘어날 것으로 예상된다. 포티넷(Fortinet)의 최근 보고서는 엣지 기기의 급속한 도입으로 공격 기회가 커질 것이라면서, “지능형 악성코드가 새로운 ‘엣지 액세스 트로이목마(edge access Trojans, EAT)’를 사용하여 민감한 데이터를 발견하고 로컬 네트워크에서 요청을 가로채 시스템을 손상시키거나 추가 공격 명령을 주입하는 등의 침입 활동을 수행할 수 있다”라고 경고했다.
지난 9월 美 하원을 통과했고 지난주 상원에서 만장일치로 승인된 ‘사물인터넷 사이버보안 개선법’은 이러한 위협을 방지하고 IoT 기기 보안을 강화하기 위한 조치다. 이제 남은 것은 도널드 트럼프 대통령의 서명 절차뿐이다.
처음부터 이 법안을 적극 후원했던 월 허드 하원의원과 로빈 켈리 하원의원의 말을 빌리자면, 해당 개선법의 목표는 “국가 안보와 국민의 개인정보를 보호하기 위해 미국 정부가 안전한 기기를 구매할 수 있도록 보장하는 것 그리고 기존 취약점을 차단할 수 있도록 하는 것”이다. 연방정부가 따를 수 있는 표준 및 가이드라인을 만드는 것 또한 목표다.
이 법안은 이러한 표준 및 가이드라인이 “행정부, 산업, 학계 기관 내에서 혹은 공동으로 개발될 것으로 상정했다. 그리고 NIST 기관 간 보고서(NISTIR) 8259의 두 번째 초안에 따라 IoT를 정의했다. 이는 2020년 1월에 처음 발행된 이후 7월에 개정됐다.
법안에 따르면 NIST는 IoT 기기와 관련된 사이버보안 위험을 관리하는 최소 정보 요건을 포함해 IoT 기기를 적절하게 사용하고 관리하는 데 필요한 표준을 제정한 후 90일 이내에 발표해야 한다. 이러한 표준과 가이드라인은 IoT 기기에 대한 NIST의 기존 지침과 호환돼야 하며, ID 관리, 패치, 구성 관리를 통합해야 한다.