미 국제표준기술硏 보안 검증 실험 후 ‘사이버 트러스트 마크’ 부여
[애플경제 이윤순 기자] 미국 정부가 IoT 보안을 위해 도입키로 한 ‘사이버 트러스트 마크’가 새삼 국제적인 주목을 받고 있다. 이는 정부가 제시한 사이버 보안 기준에 따라 제품을 테스트, 인증한 후 사이버 트러스트 마크 라벨을 부착하도록 하는 것이다. 그러나 대부분의 보안 인증 조건이 권장 사항으로 되어있는 등 문제도 많다는 지적이 일고 있다. 이는 사이버보안의 국제적 벤치마킹 대상으로 인식되고 있어, 그 향방이 특히 관심을 끌고 있다.
이번 ‘마크 레벨’은 인터넷 연결 기기에 대한 신뢰를 구축하기 위한 것이다. 전문가들은 그러나 이 마크만으로는 충분하지 않다는 우려도 제기하고 있다.
앞서 백악관은 ”최종 사용자가 IoT 시스템의 보안 자격 증명을 신속하게 평가할 수 있도록 인터넷 연결 기기에 대한 새로운 사이버 보안 라벨을 출시했다“고 밝혔다. 앞으로 미국에서 판매되는 모든 스마트 기기는 공급업체가 제품을 개발할 때부터 필수적인 보안 조치를 구현했음을 나타내는 ‘사이버 트러스트 마크’를 받아야 한다.
해당 ‘사이버 트러스트 마크’를 발부하기 위해 공인된 국가 연구소가 규정을 준수하는지 여부를 시험하게 된다. 대표적으로 미국 국립 표준 기술 연구소(NIST)가 제도화된 사이버 보안 기준에 따라 제품을 테스트하고, ‘사이버 트러스트 마크’ 라벨을 발부한다.
이는 ”IoT 기반 사이버 공격이 증가하는 가운데 인터넷에서 연결된 기기에 대한 신뢰를 구축하고, 소비자를 계몽하는 동시에, 공급업체가 기본적으로 더 안전한 기기를 생산하도록 인센티브를 제공하는 것을 목표로 한다“는 취지다.
이에 대해 일단 보안 커뮤니티를 비롯한 여론은 긍정적이다. 그러나 일각에선 “라벨을 활용하려는 공급업체들에 대한 좀더 엄격한 테스트가 부족하다”는 우려도 나오고 있다. 현지의 보안 인식 회사인 KnowBe4도 이에 대한 원칙적인 동의를 표했다. 그러면서도 “보안 인증 마크를 받으려면 공급업체가 충족해야 하는 ‘좀더 구속력 있는 보안 요구 사항’을 포함하는게 바람직하다”고 했다.
물론 “소비자가 QR 코드를 스캔해서 분산형 IoT 레지스트리에서 정보를 얻을 수 있도록 하는 것은 훌륭한 아이디어”라며 “그런 점에선 매우 긍정적 조치”라고 했다. 그럼에도 불구하고 이들 주장은 기본적인 비밀번호 변경, 패치, 데이터 보호, 소프트웨어/하드웨어 BOM과 같은 IoT 사이버 보안 기본 사항에 중점을 둬야 한다는 것이다.
즉 문제는 세부 사항이란 얘기다. 보안 요구 사항 중 상당수는 실제로 권장 사항에 불과하다는 지적이다. 보안 인증을 위한 많은 사항이 공급업체가 굳이 참여할 필요가 없는 권장사항들이란 얘기다. 그래서 “소비자들이 기본 비밀번호를 변경하도록 의무화하고, 자동 패치를 설치하도록 하는 등 기본적인 사이버 보안 방어책이 필수가 되어야 한다”는 것이다. 그렇지 않을 경우 느슨한 요구 조건으로 인해 공급업체들은 사이버보안을 위해 지켜야 할 기본 사항조차 소홀히 할 수도 있다는 지적이다.
그래서 예를 든 것이 IoT 기기에 하드코딩된 기본 비밀번호를 포함하는 것이다. 이는 수년간 스마트 제품의 보안을 허술하게 만든 취약점이다. 지금 상태라면, 공급업체들은 스스로 보안 허점을 처음부터 제거하는 대신 “고객들께서 비밀번호를 변경하시라”고만 공지하며 취약점을 해결한다는 식의 시늉만 할 것이란 지적이다.
"또 다른 예로, 프로그램에 참여하는 공급업체는 여느 업체들과는 달리, (자신들만) 하드코딩된 기본 비밀번호를 갖고 있음을 소비자들에게 알려야 한다. 그러나 “(라벨을 부여받은) 특정한 공급업체라도 실제로 스마트 기기를 안전하게 보호하기 위해 노력하고 있는지 여부를 구분할 명확한 방법이 없다”는 것도 문제로 지적되고 있다. 그런 노력 여하와는 무관하게 모두 제품에 신뢰 마크를 받아 사용할 수 있는 것이다.
그러므로 양심있는 IoT 공급업체는 소비자의 관심이 거의 필요하지 않은 경우에도 매우 안전한 제품을 만들기 위해 애쓴다. 반면에 그렇지 않은 IoT 공급업체는 동일한 수준의 높은 사이버 보안 관행을 적용하지 않고, 여전히 허술한 사이버 보안 관행을 방치하면서도 동일한 ‘사이버 보안 마크’를 사용할 수 있게 된다.
이에 전문가들은 “이 마크는 특정 업체가 안전한 사이버 보안 관행을 사용하고 있다는 것을 실제로 파악, 표시하도록 해야 한다”는 주장도 편다. 흔히 전자 기기의 경우는 안전성을 입증하고 표시하는게 복잡할게 없다. 그런 경우 사용자는 인증 마크를 보는 것만으로도 제품이 안전하고 특정 최소 기준을 충족한다는 것을 알 수 있다. 그러나 ‘사이버 트러스트 마크’는 공급업체가 실제로 제품의 보안을 보장하지 않으면서도, 그런 인증을 받을 여지가 크다는 지적이다.
이에 “사이버 트러스트 마크 라벨이 붙은 기기가 설계대로 실제로 안전하다는 의미가 되어야 한다”거나, “소비자가 마크를 보고 자동으로 기기가 예상되는 사이버 보안 표준을 충족한다고 가정하고, 충족할 수도 있고 그렇지 않을 수도 있어야 한다”는 주장이다.