본문으로 바로가기

국내외 과학기술정책에 대한 주요 정보

주요동향

주요동향

미국 캘리포니아, IoT 보안법 첫 제정…'20.1월 시행 예정 원문보기 1

  • 국가 미국
  • 생성기관
  • 주제분류 핵심R&D분야
  • 원문발표일 2018-09-28
  • 등록일 2018-10-30
  • 권호 129

 

미국 최초로 캘리포니아에서 사물인터넷(IoT) 보안 규제 법안이 통과

 

캘리포니아 주 지사 제리 브라운이 9.28(현지시간) IoT 기기의 패스워드 설정을 규제하는 내용으로 발의된 법(SB-327)에 서명

 

 - 동 법은 ’17.2월 발의 후 ’17.8월 주 상원을 통과한데 이어 최근 주지사가 최종 서명함에 따라 캘리포니아는 미국 최초로 IoT 보안 관련법을 실행하게 됐으며 ’20.1.1일부터 발효

 

 - 직간접적으로 인터넷에 연결하는 기기를 제조하는 업체는 모든 기기에 보안 기능을 갖춰야 한다며 기기 인증(authentication) 절차를 구체적으로 명시

 

 - 커넥티드 기기가 근거리통신망(local area network) 외부에서 인증 수단을 갖추고 있다면 기기가 사용하는 기본(default) 패스워드는 기기마다 고유하거나 최초 설정 시 이용자에게 직접 패스워드를 설정하도록 유도해야 한다고 설명

 

이는 무단 액세스, 수정, 정보 노출을 방지해 IoT 악성코드 공격과 그에 감염된 봇넷의 피해를 예방하는 것이 목적

 

 - 인터넷에서 제품 매뉴얼을 통해 기본 관리자 계정과 패스워드 값을 확인할 수 있는 IoT 기기가 봇넷 악성코드의 공격 표적이 돼왔기 때문

 

  ※ ’16년 미라이(Mirai) 봇넷의 공격에 196개 국가 26만 대 이상의 IoT 기기가 감염되면서 IoT 보안을 강제하는 법안의 필요성이 요구

 

 

적용대상은 캘리포니아 지역 내 스마트TV나 가정용 인터넷공유기 같은 홈IoT

 

 - 제조사는 동일 모델 기기라 해도 각 제품마다 관리자 패스워드 기본 값을 처음부터 다르게 생사하거나 그 펌웨어를 이용자가 직접 변경할 수 있게 개발해 생산해야할 전망

 

미국 전역에서도 IoT 보안을 논의 중인바 캘리포니아에서 확대될 가능성에 주목

 

미국 상원에서는 ‘IoT 사이버보안 개선법의 법안을 제출(’17.8.1.)

 

 - IoT 기기의 이용이 일반화 되고 있음에 따라 제기되는 사이버 보안문제를 해결하는 것이 목적

 

 - 아직까지는 정부 기관과 관련된 사업자에게만 적용되는 법이라는 한계가 있긴 하지만 민간 부문으로 확대할 것으로 예상되며 추후 비슷한 규정이 필요할 때 벤치마크 대상이 될 전망

 

  ※ 미국의 경우 IoT 장비에 적용되는 법 중 ’87년의 소비자보호법이 가장 최근에 마련된 것이며 나머지는 2차 세계대전 직후에 만들어진 광고법과 반()감시법

 

  ※ 인터넷조차 생소하던 시대에 만들어진 규정이 IoT와 관련된 문제를 다루기에는 부족하다는 판단 하에 법 개정이 지속적으로 요구되는 상황

 

< 상원이 제출한 IoT 사이버보안 개선법 내용 > 

1

NIST 취약점 데이터베이스나 그에 준하는 자료에 나와 있는 취약점들을 가지고 있는 하드웨어, 소프트웨어, 펌웨어가 기기 내 삭제

2

오래되거나 약점이 발견된 네트워크나 암호화 프로토콜을 사용 금지

3

원격 관리나 업데이트 혹은 통신을 위한 고정 크리덴셜 및 하드코드된 크리덴셜이 금지

4

생산자로부터 안전하고 인증된 소프트웨어 업데이트를 공급

5

새롭게 발견된 취약점들은 소비자들에게 공개

6

새롭게 발견된 취약점들을 빠르게 고치고 업데이트를 배포

자료 : 언론 자료 정리

 

한편 유럽에서도 IoT 보안법을 마련하려는 움직임

 

유럽연합 산업위원회에서 사이버 보안법(Cybersecurity Act)55:5로 통과(7.10.)

 

 - 유럽연합의 네트워크 및 정보보안 기구인 ENISA에 더 많은 권한과 예산, 책임을 부여하고 IoT와 같이 인터넷에 연결된 기기나 서비스에 인증 제도를 적용하자는 것이 골자

 

 - 그 외 ICT 프로세스, 제품, 서비스의 사이버 보안 수준을 높이기 위한 인증서 제도에 관한 내용도 포함

 

 - 주요 사회 기반 시설 시스템 및 산업 기관의 경우 사이버 보안 인증서 취득을 필수 항목으로 만드는 내용을 추가할 계획

 

IoT 보급이 확대됨에 따라 안정적인 활용을 위한 보안 대책 마련이 요구

 

모바일 등 스마트 기기의 확산으로 인해 스마트 센서 증가와 함께 기기 간의 융합 및 연결성을 확보하면서 IoT 환경에 대한 관심이 고조

 

미국·유럽 등 주요 선진국에서는 IoT서비스 상용화를 촉진하는 규제 정비, 실생활 적용 중시, 사용자 보호/보안 등 규제 정비 및 보안에 중점을 두고 정책을 추진

 

우리나라도 IoT 기술을 안전하게 활용할 수 있도록 우리나라 환경에 맞는 다양하고 구체적인 추진계획을 지속적으로 수립할 필요

배너존

  • 과학기술정보통신부
  • 케이투베이스
  • ITFIND
  • 한국연구재단
  • 한국연구개발서비스협회
  • 한국과학기술정보연구원