규정으로 모든 것을 해결할 순 없지만, IoT 만큼은 문제투성이라
보안 책임은 누구에게?...데이터 프라이버시 개념 확대되어야

[보안뉴스 문가용 기자] IT 전문가들이 정부의 규제와 정책을 환호하는 일은 극히 드물다. 정부가 문제를 해결하려고 들면 IT 전문가들은 대부분 비판적인 태도를 취한다. 하지만 사물인터넷이라는 문제에 있어서는 조금 다르다. IT 분야에서 의사 결정권을 가진 사람들 중 96%가 “정부의 규제가 필요하다”고 말한 것이다.


이는 보안 업체 젬알토(Gemalto)가 950명의 IT 및 사업 부문 결정권자들을 대상으로 실시한 조사에서 나온 결과다. 이 중 1/3의 응답자는 “현재 사물인터넷 장비를 만들고 있다”고 답했고, 30%는 “사물인터넷 장비용 소프트웨어를 만든다”고 답했으며, 30%는 “사물인터넷 통합 사업을 하고 있다”고 밝혔다. 절반은 다른 제조사에서 만든 사물인터넷을 사용 중에 있다고 답하기도 했다.

젬알토의 CTO인 제이슨 하트(Jason Hart)는 “정말 솔직히 말하자면, 조사 전에 ‘사물인터넷 보안이라는 분야에 있어서 우린 배운 게 아무 것도 없다’고 생각했었다”고 말한다. 20년 동안 화이트 해커로 살아온 하트로서는 “그렇게나 공격을 당하면서도 기업과 사용자의 보안 인식은 조금도 바뀌지 않은 것처럼 보인다”고 한다. “우리는 깨닫지 못하는 걸까요? 아니면 지금이 보안을 디폴트로 가져가야 할 바로 그 전환점인 걸까요?”

그렇다고 해서 정부의 규제가 온전한 결과물이라고 생각하지는 않는 게 하트의 입장이다. “규제에 있어서는 항상 조심스러워야 합니다.” 그렇다면 응답자들은 어떤 규정을 원하는 것일까? 가장 많은 사람들(59%)은 IoT 장비의 생애 주기 여러 단계에서 사이버 보안 사고가 발생했을 때 책임 소재를 정하는 일에 대한 규칙이나 가이드라인이 있었으면 좋겠다고 답했다. 똑같은 비율의 응답자가 데이터 저장을 위한 방법론에 대한 규정이나 안내가 필요하다고 답했다.

하트는 “사물인터넷 장비라는 건 그 범위가 상당히 넓다는 것을 기억해야 한다”고 지적한다. “인터넷에 연결되는 아동용 곰 인형도 사물인터넷이고, 환자의 개인정보를 저장하고 처리하는 의료용 사물인터넷도 있지요. 그러니 하나로 묶어서 ‘사물인터넷 규제’라고 하는 건 위험할 수 있는 접근 방법이라고 생각합니다.”

또한 사물인터넷 보안에 대한 책임은 여러 관계자가 공유하는 것이어야 한다고 응답자들은 답했다. 물론 공평하게 다 나누자는 건 아니다. 클라우드 제공업체와 사물인터넷 보안 전문 서비스 제공업체가 가장 큰 책임을 져야 한다는 응답자가 60%로 가장 많았고, 사물인터넷 장비를 생산하는 업체가 가장 큰 책임을 져야 한다는 응답자가 55%, 그 다음은 보안 전문가가 50%를 차지했다.

하트는 “책임 소재 문제는 그리 복잡하지 않다”고 말한다. “사물인터넷 장비를 만든 사람이 제조 과정 1단계부터 보안을 도입하면 될 일이거든요.” 그러면서 그는 “데이터 암호화, 인증 및 접근 통제, 키 관리와 같은 다양한 방법들을 복합적으로 사용함으로써 사물인터넷을 단단하게 만드는 게 가능하다”고 강조한다.

“그런 여러 기술들 중 강력한 것은 생산자가 생산 단계에서부터 탑재시켜야 합니다. 그리고 그런 보안 장치에 문제가 생기면 마치 진공청소기나 커피머신이 고장 났을 때 수리 받는 것처럼 생산자에게 맡길 수 있어야 합니다. 솔직히 사물인터넷 장비라고 해서 기존 가전제품과 그리 다르게 취급받을 일이 뭐가 있나 싶습니다. 장비를 통해 정보가 새나갔다면, 그건 엄연한 고장이고 생산자의 문제입니다.”

하지만 다르게 취급 받아야 할 요소가 아주 없는 건 아니다. 사이버 보안 인식에 대해서는 추가적인 교육이 필요하기 때문이다. 이번 조사에 참여한 응답자들 중 14%는 “사물인터넷 보안 문제를 윤리 문제의 일종으로 보고 있다”고 답했다. 이제는 보안이 기본적인 태도로 자리잡아가고 있다는 뜻이다. 지난 해 이런 응답을 한 사람은 4%에 불과했다.

또한 보안을 ‘비용 절감과 브랜드 명성 피해 방지’ 수단으로 보는 응답자는 2017년의 9%에서 14%로 올랐다. ‘규정상 반드시 지켜야 할 것’이라고 보는 응답자는 10%에서 13%로 증가했다. 하지만 ‘수익 창출의 한 요소’라고 보는 사람은 18%에서 9%로 감소했다. ‘새로운 서비스를 위한 안정적인 발판’이라는 답은 32%에서 24%로 크게 줄었다. ‘고객 유치를 위한 홍보 요소’라고 답한 사람 역시 10%에서 7%가 되었다.

사물인터넷 보안을 강화하려는 조직들의 노력 역시 꾸준히 늘어나고 있는 것으로 나타났다. 사물인터넷 관련 투자 예산 중 13.15%는 보안에 할당되어 있었는데, 2017년에는 이것이 11.07%에 불과했다. 보안 투자 예산 중에는 데이터 프라이버시(38%)와 보호(34%)에 배치되는 게 가장 많았다.

하트는 “데이터 프라이버시에 대한 인식이 전체적으로 올라가야 하는 게 가장 본질적인 문제”라고 지적한다. “그게 되려면 데이터가 가지고 있는 가치에 대해서 더 잘 이해해야겠죠. 데이터의 가치를 이해하고, 그 프라이버시를 이해한다면 사물인터넷 보안 문제에 큰 발전이 있을 것으로 보입니다.”

3줄 요약
1. 사물인터넷 보안에 관해서는 국가의 규정 및 가이드라인 마련이 필요하다는 게 IT 업계의 의견.
2. IoT 보안 사고 시, 책임은 누가 져야 하는가? 클라우드 업체와 장비 제조사가 꼽힘.
3. 결국 데이터의 가치와 데이터 프라이버시에 관한 이해가 얼마난 확산되느냐의 문제.
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>