• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

미국 연방통신위원회, 사물인터넷 장비에 안전 스티커 붙이기로 결정 2024.03.15

강제성은 없지만 미국 사물인터넷 시장이 들끓을 예정이다. FCC가 자발적으로 참여하는 기업의 제품들에는 보안 안전 스티커를 붙여주기로 했기 때문이다. 사물인터넷, 이제 좀 안전해질까?

[보안뉴스 문가용 기자] 미국의 연방통신위원회(FCC)가 일반 소비자용 사물인터넷 제품들에 적용될 사이버 보안 ‘라벨링’ 프로그램을 조만간 시작할 예정이라고 발표했다. 아직은 자발적인 참여로 이뤄지는 프로그램으로 기획되고 있어 강제성은 없을 것이라고 한다.

[이미지 = gettyimagesbank]


라벨링 프로그램의 진행 여부는 어제 공개 회의의 투표를 통해 만장일치로 결정됐다. 여기서 말하는 ┖라벨링 프로그램’이란 미국 표준기술연구소(NIST)가 지정한 최소한의 항목을 통과한 사물인터넷 제품에 ‘사이버 신뢰도 인증 표식’을 붙이는 것을 말한다. NIST의 기준 정도는 통과하는, 신뢰할 만한 제품이라는 표시가 될 수 있다.

이 표식에는 QR 코드들도 같이 붙는다. 사용자가 QR코드를 스캔하면 해당 제품의 보안과 관련된 상세 정보를 열람할 수 있다. 이 덕분에 소비자는 더 많은 데이터를 가지고 구매 결정을 내릴 수 있게 된다. FCC 위원인 죠프리 스탁스(Geoffrey Starks)는 “현재 상태로는 그 어떤 소비자도 사물인터넷 장비를 구매할 때 보안 관련 정보를 충분히 확보할 수 없으며, 따라서 근거를 가진 결정을 내리기 힘들다”고 설명했다. “이젠 그것도 곧 끝납니다.”

제조사들, 어떻게 대처해야 하나
인증 스티커를 붙이고 싶은 제조사라면 먼저 NIST의 내부보고서 8425호(NIST Internal Report 8425)를 참조해 항목을 참고하는 것부터 시작하는 것이 좋을 것이라고 스탁스는 설명한다. “고유 식별 번호는 물론 모든 부품과 구성요소의 목록도 가지고 있어야 하고, 설정 변경이 유연해야 하며, 안전한 공장 초기화 옵션도 탑재하고 있어야 합니다. 중요한 변경의 경우 인증된 사용자만 조정할 수 있도록 하는 기능도 존재해야 합니다.”

그 외에 데이터 저장과 전송과 관련된 보안 장치들도 필요하고, 민감한 개인정보를 삭제하는 것도 쉬워야 한다. 접근을 제어하는 기능도 당연히 있어야 하며, 소프트웨어 및 펌웨어 업데이트도 사용자가 간편하게 해결할 수 있어야 한다. 사이버 보안 사고가 발생했을 때를 대비해 특정 정보를 캡쳐하고 기록할 수도 있어야 하고, 그 정보를 저장하고 전송할 수도 있어야 한다. NIST는 이런 식으로 여러 항목들을 정해두고 있다.

시장에 영향 미칠까?
FCC는 스티커를 부착하는 것이 ‘제도’는 절대 아니며, 자발적으로 참여하고 싶은 기업들만 참여할 수 있는 것이라고 강조했다. 하지만 이미 아마존, 베스트바이, 구글, LG, 로지텍, 삼성이 이 제도를 지지하며 참여하겠다고 나선 상황이다. 스티커 자체만의 효과가 미미하다 하더라도, 이런 기업들이 스티커 붙인 제품을 시장에 내놓으면 그 효과가 미미한 채로 남아있지 않을 가능성이 높다. 이 기업들은 소비자도 많이 거느리고 있지만 하청 기업과 파트너사도 많기 때문이다.

하지만 그 ‘영향’이라는 걸 결정하는 건 결국 소비자일 수밖에 없다. 소비자가 이 스티커를 알아보고 구매하느냐, 아니면 스티커라는 게 있는지 없는지 관심도 두지 않느냐에 따라 모든 것이 결정될 것이기 때문이다. 소비자가 스티커 붙은 제품에 지갑을 열기 시작하면 기업은 싫더라도 이 프로그램에 참여해야만 한다. 한 해 100억 개 이상의 사물인터넷이 세상에 나와 소비자의 선택을 받게 된다고 하는데, 이런 시장에서 경쟁의 우위를 점하지 못하면 안 된다는 게 기업들의 생각이다.

보안 업체 가이드포인트(GuidePoint)의 OT 책임자 패트릭 길레스파이(Patrick Gillespie)는 “비용이 모든 것을 결정할 것”이라고 보고 있다. “스티커를 하나 붙인다는 게 말처럼 쉬운 일이 아닙니다. NIST가 요구하는 항목을 다 충족시키려면 생산 공정을 싸그리 바꿔야 할 겁니다. 물론 평소 보안을 중시해 왔다면 조금만 변경해도 될 거고요. 게다가 제품이 한두 개가 아니니 스티커를 만들어 붙이는 공정도 더해야 하겠죠. 이런 비용을 계산하고, 기대 수익을 계산해서 그 차이를 산출하면 라벨링 참여 여부에 대한 답이 나오지 않을까요.”

3줄 요약
1. 미국 통신위원회, 사물인터넷 제품에 안전 스티커 붙이는 프로그램 시작할 예정.
2. NIST가 지정한 사이버 보안 항목을 충족시키는 제품에는 이 스티커가 부착됨.
3. 자발적으로 참여해도 되는 프로그램이며, 강제성은 없음.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>