ICSA랩, 새로운 IoT 보안 인증 프로그램 발표

UL에 이어 두 번째... 여섯 개 항목에서 점검 실시
업계, “가지의 안전성만 시험해서는 의미 없어... 뿌리까지 봐야”

[보안뉴스 문가용] 산업 현장이나 가정에서 사용되는 사물인터넷 기기들에 새로운 보안 시험 과정이 도입될 예정이다. 세계적인 보안제품 인증 기관인 ICSA랩이 IoT 제조사 및 소비자들을 위한 새로운 프로그램을 발표한 것.

ICSA랩의 새로운 IoT 인증 시험 프로그램은 지난 4월 UL(Underwriters Laboratories)에서 발표한 사이버보안 보장 프로그램(Cybersecurity Assurance Program, UL CAP)에 이어 IoT 관련 보안 인증 프로그램으로서는 두 번째다. ICSA랩은 “IoT 기기를 여섯 개의 항목 아래 시험할 것”이라고 설명하며 “해당 항목은 1) 경보 및 로깅, 2) 크립토그래피, 3) 인증, 4) 통신, 5) 물리 보안, 6) 플랫폼 보안”이라고 덧붙였다.

그에 반해 4월에 발표된 UL의 프로그램에서는 공개된 취약점, 인증, 접근, 암호화, 소프트웨어 업데이트에 대한 시험을 진행할 것으로 알려져 있다. 또한 UL은 3사분기 안에 첫 사이버보안 인증서를 발급할 계획이다. UL은 사물인터넷 자동차, SIM 카드, 임베디드 SIM 카드, 모바일 기기, 칩셋, 스마트 홈 기기, 웨어러블, 무선 기기를 시험 대상으로 삼고 있다.

ICSA 랩의 총괄책임인 조지 자팍(George Japak)은 ICSA랩에 대해 “25년간 사이버 보안 시험 및 인증서 발급을 진행해 온 조직”이라고 설명하며 이번 IoT 관련 프로그램 신설에 대해 “UL과 마찬가지로 전통적인 개념에서의 사이버 보안을 한 걸음 전진시킨다는 의미를 가지고 있다”고 말했다.

IoT 기기들의 안전 및 보안 문제에 대한 우려는 계속해서 제기되어 왔다. 특히 자동차 해킹, 가정 자동화 기기 무력화로 인한 침입 등은 심각한 물리적인 피해로까지 이어질 수 있다는 점에서 기대보다는 걱정의 목소리가 더 높았던 것이 사실이다. 그런 차에 IoT 분야에 대한 보안 인증 프로그램이 올해 전반기에만 두 개 생겼다는 건 긍정적인 신호다. “IoT 제조업체들은 소비자와 보안 업계가 아무리 걱정을 해도 전혀 듣지를 않았습니다. 생산에만 바빴죠. 인증서와 같은 자극이 반드시 필요한 시점이었습니다.” 자팍의 설명이다.

하지만 보안 전문가들은 보안 인증 프로그램이 정말로 기기들의 보안성을 높이려면 IoT 생태계 전반을 시험해야 한다는 반응이다. 그래야 IoT 기기들이 사용하는 클라우드 기반구조와 모바일 및 웹 앱 등도 아우를 수 있기 때문이다. IO액티브(IOActive)의 CTO인 케사르 세루도(Cesar Cerrudo)는 “모든 게 연결되어 있는 게 IoT 기기라면, 기기 하나만 안전하다고 안전한 게 아니죠. 뿌리가 썩었는데 가지 하나가 아무리 싱싱해도 건강하다고 할 수 없는 것처럼요”라고 설명한다.

“나무 비유가 나와서 계속하자면, 인증 시험 과정은 나무 전체에 대한 안전 및 건강 상태를 살펴야 할 것입니다. 깊숙이 들어가면 들어갈수록 믿을만한 결과가 나올 거라는 소리죠. IoT의 정의에 ‘연결’이라는 단어가 들어간다는 걸 반드시 염두에 두어야 할 것입니다.”

인디펜던트 시큐리티 이벨류에이터(Independent Security Evaluators)의 파트너인 테드 해링턴(Ted Harrington)은 “IoT 기기 보안 인증 프로그램에는 장점과 단점이 모두 존재한다”며 “IoT 산업 전반에 ‘보안’이라는 인식을 심어줄 수 있지만, 딱 그 선에서 그칠 가능성도 있다”고 풀었다. 인식에만 그칠 경우, 인증서 취득이라는 건 매우 귀찮은 행정적인 절차로 낙인 찍힐 가능성이 있고, 그렇게 된다면 장기적으로 봤을 때 보안에 더 나쁜 영향을 끼칠 수 있다는 것.

“또한 ‘인증서를 받았다’는 게 ‘안전하다’로 곧바로 치환되는 것도 위험한 일입니다. 이미 전통의 사이버 보안 인증서나 정책 컴플라이언스가 그 자체로는 진정한 보안과 별 상관이 없다는 사실이 입증되었죠. 오히려 인증서 받았다고 안심하고 있다가 당한 사례도 많고요. 이런 일이 반복되지 말라는 법이 없습니다. 게다가 IoT 기기의 다양성을 생각한다면 획일화된 인증 프로그램은 무용지물이 될 가능성이 높습니다.”

인증서가 대중적으로 인정을 받게 되면 기업들이 진짜 보안이 아니라 ‘마케팅 툴’로서 인증서를 활용할 가능성도 예측이 가능하다. “이미 수많은 인증서들이 홍보수단으로 전락했습니다. 고객들이 질문을 더 하지 못하도록 입을 막는 수단이 되기도 하죠. 업체가 인증서를 이런 식으로 바라볼 때 온전한 보안은 물 건너 간 일이 되어버립니다.”
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

- 국내 최대 규모의 개인정보보호 컨퍼런스 PIS FAIR 2016 - 6월 9일(목)~10일(금) 개최
- 공공·금융·민간 CPO, 개인정보처리자, 보안담당자 등 4,000여명 참석
- 공무원상시학습, CPPG, CISSP, CISA, ISMS등 관련 교육이수(최대 16시간) 인정
- CPO, 개인정보처리자, 보안담당자 등 사전 무료 참관등록(www.pisfair.org/2016/)

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)