KC인증, 전자파·무선 안정성 검사에 그쳐

KISA, IoT 보안인증 제도 운영하나 의무 아냐

EU의 사이버복원력법처럼 보안인증 제도화 촉구

수원 권선구에 위치한 엔트리연구원

"수입산 전자제품의 개인정보 침해 급증은 안전성과 전자파·무선 적합성 인증에만 그치고 사물인터넷(IoT) 보안인증 제도가 의무사항이 아니기 때문입니다."

배차호 엔트리연구원 AI·SW센터장은 29일 디일렉과 인터뷰에서 "외산 전자제품 수입이 급증하고 있지만, 제도의 허점으로 안전성과 보안성이 확보되지 않고 있다"고 지적했다. 

최근 전자제품은 와이파이(Wi-Fi), 블루투스, 무선주파수(RF), 모뎀 등을 탑재해 인터넷 연결이 가능한 사물인터넷(IoT)이 대부분이다. 기기 간 연결로 편의성은 향상됐으나 외부 접근이 쉬워지면서 보안 취약점이 위험 요인으로 지적된다. 중국산 인터넷프로토콜(IP) 카메라는 사이버보안 인증을 거치지 않은 채 국내로 유통돼 백도어 같은 공격수법에 취약하다.

배 센터장은 "수많은 중국 전자기기에는 카메라가 달려있는데 보안인증을 획득하지 않는 것이 현실"이라며 "한국인터넷진흥원(KISA)이 정보통신망연결기기(IoT) 보안인증 제도를 운영 중이나 자율에 맡길 뿐 의무는 아니다"고 설명했다. 이어 "유럽연합은 사이버복원력법(CRA)을 지난해 입법 후 지난 8월부터 디지털 제품의 보안인증을 제도화했다"고 설명했다. 

KISA는 2019년 IoT 보안인증을 시행했으나 연간 신청 수가 100건에 미치지 못하는 실정이다. 이정헌 의원은 지난주 국회 과학기술정보통신위원회 국정감사에서 "지난해 KISA에 인증 문의한 수는 33건, 올해 상반기에도 13건 뿐"이라고 밝혔다. 소비자 신뢰를 확보하고자 하는 대기업들만 해당 인증 제도를 간간이 활용 중이다. 실제로 삼성전자는 로봇청소기·냉장고 등 4개 모델에 대해 KISA의 IoT 인증을 획득한 바 있다.

전자제품 시험기관 엔트리연구원은 작년 말 AI·SW센터 조직을 신설하고 '사이버보안 인증' 사업을 강화했다. 주요 고객사인 의료기기 업체들이 유럽 수출 시 복잡한 사이버보안 인증제도(CE-RED)를 통과할 수 있도록 발판을 마련한다.

배 센터장은 "산업통상자원부 산하 국가기술표준원 한국인정기구(KOLAS)로부터 사이버보안 관련 인정서를 획득하는 것이 임무"라며 "유럽연합 인증기관인 노티파이드 바디(NB)가 한국산 전자제품의 인정서를 검증하고 기준에 부합할 경우 판매 라이선스를 부여하는 구조"라고 말했다.

국내에서도 사이버보안 인증의 제도화를 촉구했다. 배 센터장은 "중국 전자제품 제조사에 펌웨어(전자장치 소프트웨어) 소스코드를 요구해도 제공하지 않는다"며 "유럽연합처럼 법으로 제정하면 중국산 전자제품의 소스코드로 보안 취약점을 분석해 사전 예방 가능하다"고 전했다.

KC(Korea Certification) 인증 제도는 전자제품의 전자파·무선 적합성 검사에만 특화됐고 KISA의 IoT 보안인증은 의무가 아닌 현실에 적절한 대안을 제시한 셈이다.

<관련기사>

엔트리연구원 "중국산 전자제품, 보안인증 사각지대...의무화 시급"