□ 미국 최초로 캘리포니아에서 사물인터넷(IoT) 보안 규제 법안이 통과

○ 캘리포니아 주 지사 제리 브라운이 9.28일(현지시간) IoT 기기의 패스워드 설정을 규제하는 내용으로 발의된 법(SB-327)에 서명

 - 동 법은 ’17.2월 발의 후 ’17.8월 주 상원을 통과한데 이어 최근 주지사가 최종 서명함에 따라 캘리포니아는 미국 최초로 IoT 보안 관련법을 실행하게 됐으며 ’20.1.1일부터 발효

 - 직간접적으로 인터넷에 연결하는 기기를 제조하는 업체는 모든 기기에 보안 기능을 갖춰야 한다며 기기 인증(authentication) 절차를 구체적으로 명시

 - 커넥티드 기기가 근거리통신망(local area network) 외부에서 인증 수단을 갖추고 있다면 △기기가 사용하는 기본(default) 패스워드는 기기마다 고유하거나 △최초 설정 시 이용자에게 직접 패스워드를 설정하도록 유도해야 한다고 설명

○ 이는 무단 액세스, 수정, 정보 노출을 방지해 IoT 악성코드 공격과 그에 감염된 봇넷의 피해를 예방하는 것이 목적

 - 인터넷에서 제품 매뉴얼을 통해 기본 관리자 계정과 패스워드 값을 확인할 수 있는 IoT 기기가 봇넷 악성코드의 공격 표적이 돼왔기 때문

○ 적용대상은 캘리포니아 지역 내 스마트TV나 가정용 인터넷공유기 같은 홈IoT

 - 제조사는 동일 모델 기기라 해도 각 제품마다 관리자 패스워드 기본 값을 처음부터 다르게 생사하거나 그 펌웨어를 이용자가 직접 변경할 수 있게 개발해 생산해야할 전망

□ 미국 전역에서도 IoT 보안을 논의 중인바 캘리포니아에서 확대될 가능성에 주목

○ 미국 상원에서는 ‘IoT 사이버보안 개선법’의 법안을 제출(’17.8.1.)

 - IoT 기기의 이용이 일반화 되고 있음에 따라 제기되는 사이버 보안문제를 해결하는 것이 목적

 - 아직까지는 정부 기관과 관련된 사업자에게만 적용되는 법이라는 한계가 있긴 하지만 민간 부문으로 확대할 것으로 예상되며 추후 비슷한 규정이 필요할 때 벤치마크 대상이 될 전망

  ※ 미국의 경우 IoT 장비에 적용되는 법 중 ’87년의 소비자보호법이 가장 최근에 마련된 것이며 나머지는 2차 세계대전 직후에 만들어진 광고법과 반(反)감시법

  ※ 인터넷조차 생소하던 시대에 만들어진 규정이 IoT와 관련된 문제를 다루기에는 부족하다는 판단 하에 법 개정이 지속적으로 요구되는 상황

□ 한편 유럽에서도 IoT 보안법을 마련하려는 움직임

○ 유럽연합 산업위원회에서 사이버 보안법(Cybersecurity Act)이 55:5로 통과(7.10.)

 - 유럽연합의 네트워크 및 정보보안 기구인 ENISA에 더 많은 권한과 예산, 책임을 부여하고 IoT와 같이 인터넷에 연결된 기기나 서비스에 인증 제도를 적용하자는 것이 골자

 - 그 외 ICT 프로세스, 제품, 서비스의 사이버 보안 수준을 높이기 위한 인증서 제도에 관한 내용도 포함

 - 주요 사회 기반 시설 시스템 및 산업 기관의 경우 사이버 보안 인증서 취득을 필수 항목으로 만드는 내용을 추가할 계획

□ IoT 보급이 확대됨에 따라 안정적인 활용을 위한 보안 대책 마련이 요구

○ 모바일 등 스마트 기기의 확산으로 인해 스마트 센서 증가와 함께 기기 간의 융합 및 연결성을 확보하면서 IoT 환경에 대한 관심이 고조

○ 미국·유럽 등 주요 선진국에서는 IoT서비스 상용화를 촉진하는 규제 정비, 실생활 적용 중시, 사용자 보호/보안 등 규제 정비 및 보안에 중점을 두고 정책을 추진

○ 우리나라도 IoT 기술을 안전하게 활용할 수 있도록 우리나라 환경에 맞는 다양하고 구체적인 추진계획을 지속적으로 수립할 필요