“사물인터넷 고위험 제품 보안 인증 필요”
국회입법조사처 보고서
“자율인증은 한계 뚜렷”
급속하게 늘고 있는 사물인터넷(IoT) 기기에 대한 보안기준 마련과 인증 의무화가 필요하다는 주장이 나왔다.
국회입법조사처는 14일 발행한 ‘사생활 훔쳐보는 로봇청소기를 그대로 둘 것인가?: 사물인터넷(IoT) 보안 강화를 위한 입법 및 정책 과제’ 보고서를 통해 현행 IoT 보안정책의 한계를 분석하고 입법·정책 개선방향을 제시했다.
보고서는 현행 IoT 보안정책이 최소 보안기준조차 없이 자율인증에 의존하고 있으며 실태점검 근거도 마련되어 있지 않은 등 핵심 제도 전반에서 실효성이 부족하다고 지적했다.
보고서는 우선 최소 보안기준이 없는 것이 문제라고 밝혔다. 국회는 2020년 6월 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률’(정보통신망법)을 개정해 과기정통부장관이 정보보호지침을 통해 IoT 제조·수입자가 지켜야 하는 보호조치 기준을 정하여 권고할 수 있도록 했다. 하지만 6년이 지난 현재까지도 해당 기준이 마련되지 않아 IoT 제품 간 보안 수준에 편차가 발생하고 있다
IoT 기기 보안인증이 자율인증 방식으로 진행돼 실효성이 부족하다는 점도 지적됐다.
실제 IoT 보안인증은 최근 5년간 연평균 인증 건수가 90건에 그치고 있다. 또한 IoT 인증제품이 공공부문 우선구매 대상에 포함되지 않는 등 인증 획득에 따른 실질적 혜택이 크지 않다는 것이다.
보고서는 보안 점검 체계가 부실한 것도 문제점으로 지적했다.
현행 정보통신망법은 시장 유통 IoT 제품에 대한 사전 실태점검 근거와 점검 절차, 결과 공개, 개선 명령 및 사후관리 체계를 규정하고 있지 않다. 2025년 과기정통부와 한국소비자원이 협력해 로봇청소기 보안 실태점검을 실시한 바 있으나, 이는 ‘소비자기본법’에 따른 한국소비자원의 조사권한을 활용한 사례라는 것이다.
보고서는 IoT 보안 개선과제로 △최소 보안기준 마련 △위험도 기반 보안인증 체계 구축 △실태점검과 후속조치 체계 구축을 제안했다.
국회입법조사처는 “로봇청소기·IP카메라 등 가정용 기기부터 산업 설비와 국가 핵심인프라까지 IoT 활용이 확대되면서 보안 위협 또한 커지고 있다”며 “IoT 제품의 전 주기에 걸친 지속적인 보안관리체계를 구축하고 사업자의 보안책임을 강화해 시장 전반의 보안 수준을 높여야 한다”고 밝혔다.