세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사
[주말판] IoT 보안, 규정이냐 표준이냐 그것이 문제로다
  |  입력 : 2018-01-20 15:18
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
사물인터넷 보안 놓고, “법이 너무 낡았다” vs. “법적 해결은 불가능”
관리의 필요성은 모두가 동의...“어떻게 할 것인가”가 관건


[보안뉴스 문가용 기자] 블록체인과 암호화폐라는 신문물 앞에서 정부가 일단 내놓은 대안은 규제다. 이를 놓고 찬성과 반대의 목소리가 격양되어 있다. 여기에 가려져 있지만 사물인터넷 기기들의 출현을 두고도 규제가 필요하다는 주장과 그렇지 않다는 주장이 세계 여기저기서 팽팽하게 맞서고 있다. 어쩌면 여기서 선례를 찾을 수 있지 않을까. 블록체인이나 암호화폐와는 상관없지만 규정이라는 존재에 대해 보안 업계가 어떤 식으로 접근하고 있는지 살펴보면 힌트가 될지도 모른다.

[이미지 = iclickart]


규정이 필요한 이유와 현재 상황
현재 사물인터넷이 가진 위험성에 대한 방어책이란 수십 년 전에 만들어진 규정들뿐이다. 미국의 경우 사물인터넷 장비에 적용되는 법 중 1987년의 소비자보호법이 그나마 최근에 만들어진 것이다. 나머지는 무려 2차 세계대전 직후에 만들어진 광고법과 반(反)감시법이다. 인터넷조차 생소하던 시대에 만들어진 규정들이 사물인터넷과 관련된 문제들을 제대로 다룰 리 없다. 그래서 사건이 발생할 때마다 이 오래된 규정들에 맞추려고 법적 해석을 확장시키고 심지어 사건의 본질을 왜곡시키기도 한다.

2014년 제네시스 토이즈(Genesis Toys)라는 장난감 회사에서 사물인터넷 개념을 사용해 인형인 ‘마이 프렌드 카일라(MY FRIEND CAYLA)’를 만들었다. 음성 인식 기술이 탑재돼 아동과 소통이 가능한 ‘인터랙티브 인형’이었다. 하지만 독일 정부는 2017년 마이 프렌드 카일라의 판매를 금지시켰다. 그 근거는 전파의 전송이 가능한 장비가 숨겨져 있는 물건의 사용을 금지시키는 통신법이었다(Miss­brauch von Sen­de­an­la­gen). 이 법은 나치 정부의 감시 행위를 막기 위해 도입한 것이었다.

미국에서도 마이 프렌드 카일라는 문제가 됐다. 미국의 전자개인정보센터는 연방통신위원회와 함께 법정에 이 인형에 대한 문제를 제기했다. 이 때 이 두 기구가 근거를 삼은 건 2000년에 제정된 어린이온라인사생활보호법이었다. 노르웨이의 소비자위원회와 유럽소비자기구 역시 이 인형은 물론 같은 회사에서 비슷한 개념으로 출시된 아이큐(iQue) 로봇을 금지시키기 위해 노력 중에 있다.

이 일련의 사태가 말해주는 것은 무엇인가? ‘사물인터넷 장비’에 있는 위협을 전반적으로 관리하거나 금지시킬 수 있는 법적 장치가 없다는 것이다. 우리가 가진 예전의 법들은 사건의 중심이 되는 기기 하나하나만을 겨우 다룰 수 있을 뿐이다. 그것도 나라마다 적용되는 법이 다르고, 해석이 다르며, 판결 역시 달라질 수 있다.

보안과 사생활을 위협하는 제품들이 계속해서 시장에 쏟아지고 있는데, 현대의 법 시스템이 모든 기기들을 하나하나 실험해볼 수 있을까? 지역과 나라마다 다른 법의 괴리를 영리하게 악용한 사례도 나올 수 있고 말이다. 실제로 카일라와 아이큐 로봇을 배포하는 회사인 비비드(Vivid)는 항소를 준비하고 있고, 여러 국가의 법원은 이 한 가지 제품을 놓고 또 한 번 긴 시간을 보내야 할 예정이다.

한편 미국의 연방거래위원회는 조금 다른 접근법을 보여주고 있다. 사물인터넷 장비를 생산하는 회사들을 직접 겨냥해 법정싸움을 벌였다. 디링크 코퍼레이션(D-Link Corporation), 에이수스(ASUS), 트렌드넷(TrendNET), 레볼브(Revolv)가 연방거래위원회로부터 고소를 당했다. 그 중 에이수스는 자신들이 생산한 제품들에 대한 고객 지원을 20년 간 이어가겠다고 약속했다. 하지만 연방거래위원회의 모든 법정싸움이 의도대로 흘러간 건 아니었다. 디링크의 경우, 법정은 사물인터넷 관련 싸움을 ‘광고 위법 행위’로 축소시켜버렸다. 사물인터넷 기기를 다룰만한 법이 존재하지 않는다는 게 명백해졌다는 게 성과라면 성과였다.

사실 연방거래위원회는 소비자 보호를 최우선으로 삼고 사물인터넷과 관련된 가이드라인들을 2015년에도 몇 차례 발행한 바 있다. 사물인터넷 기기를 사용할 때 프라이버시를 어떤 식으로 보호해야 할까에 대한 고민이 담겨 있었다. 하지만 당시 이를 규정으로 만드는 노력은 하지 않았다. 왜냐하면 당시 연방거래위원회도 ‘자율 규제’가 더 나을 것이라고 판단했기 때문이다. 일반적인 여론도 그랬다. 하지만 그로부터 2년 동안 자율 규제는 허상이라는 사실만 거듭 확인됐다.

그래서 2017년 미국 상원에서는 ‘사물인터넷 사이버보안 향상법’이 통과됐다. 그리고 사물인터넷 장비의 보안 문제를 해결하기 위한 토대가 되고 있다. 아직까지는 정부 기관들과 관련된 사업자들에게만 적용되는 법이라는 한계가 있긴 하지만 앞으로 민간 부문으로 확대되고, 추후 비슷한 규정이 필요할 때 벤치마크 대상이 될 전망이다. 이 법은 사물인터넷 기기들로부터 다음과 같은 사항들을 요구하고 있다.

1) NIST 취약점 데이터베이스나 그에 준하는 자료에 나와 있는 취약점들을 가지고 있는 하드웨어, 소프트웨어, 펌웨어가 기기 내 존재해서는 안 된다.
2) 오래되거나 약점이 발견된 네트워크나 암호화 프로토콜을 사용해서는 안 된다.
3) 원격 관리나 업데이트 혹은 통신을 위한 고정 크리덴셜 및 하드코드된 크리덴셜이 없어야 한다.
4) 생산자로부터 안전하고 인증된 소프트웨어 업데이트를 공급받을 수 있어야 한다.
5) 새롭게 발견된 취약점들은 소비자들에게 공개되어야 한다.
6) 새롭게 발견된 취약점들을 빠르게 고치고 업데이트를 배포해야 한다.

보안 전문가들은 이 법에 대해 “시작점으로서는 충분하다”는 의견이지만 “NIST보다는 OWASP의 사물인터넷 보안 가이드라인들을 사용했으면 어땠을까”하는 아쉬움을 나타내기도 했다. OWASP에서 관리하는 사물인터넷 취약점 데이터베이스가 NIST의 취약점 데이터베이스보다 훨씬 더 사물인터넷에 특화되어 있기 때문이다. 하지만 이제 시작 단계이니 다음 개정 때 NIST가 아니라 OWASP과 같은 국제적인 표준을 추가하면 해결될 부분이라 큰 반발과 항의가 있는 건 아니다.

물론 부작용도 예상된다. 규제를 시도하고 규정을 새롭게 만든다는 것에 앞뒤 안 가리고 신경질적인 반응을 보이는 사람들이 있기 때문이다. 사물인터넷도 규정이 확대되면 될수록 사용자의 자유로운 소유권한이 지상 최고의 가치라고 믿는 사람들의 반대 목소리가 커질 것이다. 또한 이미 존재하는 법이나 법안과의 충돌도 일어날 것이다. 예를 들어 수리권(Right to Repair)의 경우 개념 정립이 새로워질 필요가 있다. 원래는 제품을 오래 사용할 수 있도록 하기 위해 마련된 것이지만, 수리를 빙자해 사물인터넷 기기들을 조작해 공격용으로 활용할 수 있기 때문이다. 혹은 기존의 수리권이 유지되고, 사물인터넷 기기를 제작할 때 난독화나 조작 방지 기술을 적용할 수 없게 될지도 모른다.

그렇다고 규정을 마련하지 않을 수 없다는 게 사물인터넷 보안을 연구하는 전문가들 사이의 중론이다. 중앙에서 통제되는 규정이 없다면 카일라 같은 인형이 시장에 나왔을 때 오로지 소비자의 자율적인 구매 거부 운동에 소비자의 안전을 맡겨야 하기 때문이다. 보안 업체 펜테스터 파트너즈(Pen Tester Partners)의 켄 문로(Ken Munro)는 “분명히 뭔가가 근거가 될 만한 엄격한 ‘약속’이 필요한 상황”이라고 짚는다.

“다만 채찍과 당근이 동시에 있어야 합니다. 보안 규정을 잘 지키고 특별한 노력을 한 제조사들에겐 충분한 보상과 영광을 주는 것도 병행해야지 무조건 안 지키면 때릴 생각만 해서는 규제에 대한 거부감만 키우겠죠. 아무튼 자율 규제에 의거한 보안은 성립되지 않는다는 걸 모두가 알고 있는 지금 이 상황이 규정을 마련할 적기입니다. 보안 산업과 전문가들은 충분히 성숙했고, 적절한 규정이 무조건적인 자유주의보다 더 이롭다는 걸 체득했습니다. 모두가 이로울 수 있는 법이 반드시 존재해야 합니다.”

규정에 반대하는 이유
당연히 반대의 목소리도 있다. 보안 컨설턴트 업체인 어드벤트 IM(Advent IM Ltd)의 마이크 길레스피(Mike Gillespie)도 그 중 하나다. 그는 규정이 필요 없다기보다 사물인터넷을 통제한다는 것이 불가능하다고 주장한다. 외신인 인포시큐리티(Infosecurity Magazine)의 인터뷰를 발췌하면 다음과 같다.

“규정이라는 건 시행 절차가 있어야만 효과를 발휘합니다. 정보보안과 안전과 관련된 규정이 이미 얼마나 많은지 생각해보세요. 규정이 없어서 사고가 발생하는 게 아니라 시행이 잘 되지 않아서 그렇습니다. 사물인터넷 장비에 대한 안전 규정을 만든다고 해서 실제적인 시행이 가능할까요? 사물인터넷을 안전하게 만들고 사용하고 폐기하기 위한 올바른 문화가 더 필요한 시점입니다.” 그와 같은 의견을 가진 보안 전문가들은 사물인터넷을 정부가 규제하려고 하는 것을 두고 고양이 길들이기에 비교한다. 개념은 존재하지만 실재할 수 없다는 것이다.

또한 이들은 “규정을 만들려면 전 세계적으로 동일하게 입법되고 시행되어야 한다”고 말한다. 인터넷은 모두가 공유하는 공간이며, 사물인터넷에 대한 규정이 이 나라 저 나라 다르면, 대기업들부터 솔선수범하여 조세도피처를 찾아내는 것과 같은 현상이 일어날 것이기 때문이다. 중소기업이나 대기업이, 모든 나라마다 다른 정서와 문화와 법 환경을 초월하여 따를 수 있는 동일한 규정이 존재할 수 있을까, 이들은 묻는다. 그러면서 GDPR이 탄생하기 전까지 얼마나 오랜 시간이 걸렸는지 되돌아봐야 한다고 주장한다.

“지금 사물인터넷에 필요한 건 규정이 아니라 표준”이라는 게 규정을 반대하는 이들의 요지다. 길레스피는 지금 우리가 사용하는 인터넷이 ‘규정이 아니라 표준에 의해 통제되는’ 멋진 예라고 말한다. “현재 인터넷이 지금의 상태로 존재할 수 있는 건 IP 시스템 때문입니다. 이는 RFC 1918이라고 하는 사설망에서부터 출발했죠. 각자가 자유롭게, 하지만 무질서하게 통신하던 때 자연스럽게 주소 할당에 대한 필요가 생겨났고, 이것이 곧 오늘날 우리가 사용하는 TCP/IP 네트워크의 표준으로 발전했습니다. 누군가 나서서 ‘규정’으로 주소들을 통제한 게 아니죠. 표준이었기에 전 세계가 같은 시스템을 사용해 인터넷을 사용하고 소통할 수 있는 겁니다. 정책과 표준에는 큰 차이가 존재합니다.”

규정이 보안이나 안전에 지대한 영향을 미치지 않은 사례는 무수히 많다. 눈속임으로 혹은 감사 시즌에만 겨우 규정을 지키는 시늉만 하는 게 ‘컴플라이언스’의 현주소이고, 차라리 벌금을 내는 게 낫다고 떠드는 사업자들도 쉽게 발견할 수 있다. 그러므로 자율 규제에 의한 보안이 꿈만 같은 소리인 만큼, 규정에 의한 보안 역시 허구성 믿음이라고 반대파들은 주장한다. 문화적인 현상으로 접근해야지, 법적으로 강제성을 가지고 접근하는 건 오류이며, 그러므로 ‘표준’이 출현하도록 토양을 마련해야 한다는 주장에도 충분한 설득력이 존재한다.

규정이든 표준이든, 두 주장은 ‘관리의 필요성’이라는 공통점을 가지고 있다. 강제성을 띈 관리를 조만간 시작하느냐, 아니면 누구나 자발적으로 따를만한 표준이 출현할 때까지 시장을 지켜보느냐의 차이가 있을 뿐이다. 둘 다 ‘안전’에 초점이 맞춰져 있기에 시끄럽거나 격렬하지 않고 양측 다 그럴 듯 하다. 어쩐지 곧 답이 나올 것만도 같다. 암호화폐 규제 문제를 놓고 대부분이 바라는 건 이런 분위기가 아닐까. ‘다른 개미들이 망하든 말든 돈이 계속 벌고 싶다’거나 ‘네가 노동의 참맛도 모르고 떼돈을 버는 게 배 아프다’라는 감정부터 배제시키고, 모두에게 안전한 사회를 목표로 정해두고 이야기를 진행했으면 한다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 2
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 배너 시작 18년9월12일위즈디엔에스 2018WD 파워비즈 2017-0305 시작파워비즈배너 시작 11월6일 20181105-20200131
설문조사
국내 정보보호 분야 주요 사건·이슈 가운데 정보보호산업에 가장 큰 영향을 미친 것은 무엇이라고 생각하시나요?
2001년 정보보호 규정 포함된 정보통신망법 개정
2003년 1.25 인터넷 대란
2009년 7.7 디도스 대란
2011년 개인정보보호법 제정
2013년 3.20 및 6.25 사이버테러
2014년 카드3사 개인정보 유출사고
2014년 한수원 해킹 사건
2017년 블록체인/암호화폐의 등장
기타(댓글로)