[아이뉴스24 최은정 기자] 한국인터넷진흥원(KISA)이 '사물인터넷(IoT) 보안 취약점 점검 서비스'를 기업과 개인을 대상으로 무료로 제공한다.
지승구 KISA 사이버침해대응본부 융합보안지원팀장은 25일 서울 강남에서 아이뉴스24와 만나 "IoT 기기가 증가하면서 사고도 함께 늘고 있다"며 "특히 국내에서는 인세캠·쇼단과 같은 사이트를 통해 보안이 취약한 IP카메라를 공격해 가정집 영상을 유출하는 사건이 자주 발생하고 있다"고 서비스 제공 배경을 설명했다.
지난 1일부터 시작한 이 서비스는 4세대(4G)·5세대(5G) 통신 등 네트워크에 연결된 가전제품, 모바일·웨어러블 장비 등 다양한 IoT 기기를 대상으로 이뤄진다. 서비스를 희망하는 기업과 개인은 KISA에 해당 서비스를 신청하고, 적격심사를 거쳐 지원받을 수 있다.
![지승구 KISA 사이버침해대응본부 융합보안지원팀장 [사진=KISA]](https://img-lb.inews24.com/image_gisa/201910/1571984729353_1_153016.jpg)
인세캠은 비밀번호가 설정돼 있지 않거나 기본값으로 사용해 보안이 취약한 IP카메라를 해킹하고, 영상을 외부에 생중계하는 사이트다.
또 쇼단은 IoT 기기 검색엔진으로 인터넷에 연결된 웹캠, 스마트TV, 스마트 냉장고, 산업제어시스템 등의 설치 국가, 개수, IP정보 등을 공유하는 미국 사이트다. 최근에는 이를 악용해 IoT 기기를 해킹하는 사례가 늘고 있지만, 본래 인터넷에 접속된 기기를 파악하기 위한 목적으로 만들어진 정보공유 사이트다.
KISA는 쇼단에서 아이디어를 얻어 지난해부터 IoT 취약점 점검 서비스를 개발해왔다. 취약점 수집, 점검, 식별 과정을 통해 보안위협을 점검하고, 이를 사용자에게 알려 조치를 취하도록 안내하고 있다.
지 팀장은 "KISA는 국내·외 공개된 취약점 정보를 수집해 데이터베이스화 한다"며 "이를 전산장비로 스캔한 기기의 취약점과 비교해 조회하고, 위협정보를 알아낸 뒤 취약점을 식별한다"고 설명했다.
특히 미국표준기술연구소(NIST)에서 제공하는 공개된 국가취약점 데이터베이스(NVD)도 보유하고 있다는 설명이다. NVD는 국제통용 취약점식별체계(CVE), 국제통용 플랫폼구분체계(CPE), 국제통용 취약점구분체계(CWE), 국제통용 취약점등급(CVSS) 등 각종 정보를 포함한다.
다만 네트워크 전역에서 365일 IoT 기기 정보를 스캐닝하는 쇼단과는 달리 KISA는 사용자 동의를 얻은 IoT 기기에 한해 조사를 진행한다는 한계도 존재한다. 현재 정보통신망법 제48조에 따라 동의 없는 점검은 법률 위반 소지가 있기 때문이다.
지 팀장은 "KISA는 현행법상 사전에 동의를 얻은 기업·개인 사용자 기기만 스캔할 수 있다"며 "모든 IoT 기기 침해 예방을 위해 과학기술정보통신부와 제도를 개선하려는 논의를 진행 중"이라고 덧붙였다.
일본의 경우 IoT 취약점 점검을 목적으로 기기 접근을 한시적(5년)으로 허용하는 법을 지난해 11월 시행했다. 이에 따라 앞으로 일본 내 인터넷에 연결된 2억 개에 달하는 모든 IoT 기기에 대한 조사가 이뤄질 예정이다.
지 팀장은 "KISA 태스크포스(TF)가 망법 개정안에 대한 중장기적인 계획을 과기부와 함께 수립하고 있다"며 "점검을 받는 입장에서는 규제로 작용할 수 있기 때문에 시간을 두고 논의할 예정"이라고 말했다.
최은정 기자 ejc@inews24.com
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기