로봇청소기·IP카메라 해킹에 개인정보 유출 우려... "최소 보안기준 부재… 제조사별 보안 수준 편차"
![]() |
| ▲ 로봇청소기와 IP카메라 등 사물인터넷(IoT) 기기의 보안 취약성이 개인정보 유출을 넘어 국가 핵심 인프라까지 위협할 수 있다는 지적이 나왔다. 국회입법조사처는 현행 자율인증 중심의 보안 체계로는 한계가 있다며 최소 보안기준 마련과 위험도 기반 인증 의무화, 상시 점검체계 구축 등 제도 개선이 시급하다고 제언했다. 기사의 이해를 돕기 위한 이미지. (사진=newsis) |
로봇청소기와 IP카메라 등 사물인터넷(IoT) 기기의 보안 취약성이 국민의 사생활은 물론 국가 핵심 인프라까지 위협할 수 있다는 지적이 제기됐다.
국회입법조사처(강은수 입법조사관)는 현행 자율인증 중심의 보안 체계로는 한계가 있다며 최소 보안기준 마련과 위험도 기반 보안인증, 상시 점검체계 구축 등 제도 개선이 필요하다고 제언했다.
국회입법조사처는 지난 14일 발간한 '사생활 훔쳐보는 로봇청소기를 그대로 둘 것인가? - 사물인터넷(IoT) 보안 강화를 위한 입법 및 정책 과제' 보고서를 통해 이같이 밝혔다.
◇ 로봇청소기부터 국가 인프라까지… 확산되는 IoT 보안 위협
보고서는 사물인터넷이 로봇청소기와 IP카메라, 월패드 등 가정용 기기뿐 아니라 스마트공장, 스마트팜, 에너지·교통시설 등 국가 핵심 인프라까지 폭넓게 활용되고 있다고 설명했다.
지난해 기준 국내 IoT 매출액은 약 30조 원으로 최근 4년간 연평균 약 9.7% 성장했다. 반면 인터넷에 연결되는 기기가 증가하면서 보안 취약점을 악용한 사이버 공격 위험도 함께 커지고 있다는 분석이다.
특히 IoT 기기에는 카메라와 마이크, 위치정보 수집 기능 등이 탑재돼 있어 해킹될 경우 개인정보뿐 아니라 영상과 음성, 실내 구조, 생활패턴 등 민감한 정보가 외부로 유출될 수 있다고 보고서는 지적했다.
실제로 지난해에는 가정집과 사업장 등에 설치된 IP카메라 12만여 대가 해킹돼 영상이 해외 불법 사이트에서 유통됐고, 같은 해 실시된 보안 실태조사에서는 시중에 판매 중인 일부 로봇청소기에서 내장 카메라 영상에 권한 없는 사용자가 접근할 수 있는 보안 취약점이 확인됐다. 보고서는 지난 2021년 아파트 월패드 해킹, 지난 2023년 성형외과 IP카메라 해킹 사례도 함께 제시했다.
보고서는 산업설비와 국가 핵심 인프라에 적용된 IoT가 사이버 공격을 받을 경우 생산 차질과 서비스 중단은 물론 사회 전반의 안전에도 영향을 줄 수 있다고 강조했다.
◇ "최소 보안기준조차 없어"… 자율인증 한계 지적
국회입법조사처는 국내 IoT 보안 제도의 가장 큰 문제로 최소 보안기준 부재를 꼽았다.
보고서에 따르면 정보통신망법은 지난 2020년 개정을 통해 IoT 제조·수입업자의 보호조치 의무를 규정했지만, 구체적인 보호조치는 정보보호지침을 통해 권고하도록 하고 있다. 그러나 법 개정 이후 약 6년이 지났음에도 과학기술정보통신부는 IoT 관련 보호조치 기준을 정보보호지침에 반영하지 않고 있어 제조·수입업자가 준수해야 할 최소한의 보안기준이 마련되지 않은 상태라고 지적했다.
이 때문에 제조사별 보안 수준 편차가 발생하고 있으며 보안성이 충분히 검증되지 않은 제품이 시중에 유통되는 문제가 이어지고 있다고 분석했다.
IoT 보안인증 제도의 실효성도 부족하다고 평가했다.
최근 5년간 IoT 보안인증은 연평균 90건 수준에 머물렀으며, 가전 10건, 교통 6건, 제조·생산 12건, 통신 7건 등 일부 분야는 인증 실적이 매우 저조했다. 최고 수준인 '스탠다드' 등급 인증도 7건에 불과했다. 보고서는 자율인증 방식으로 운영돼 인증을 받지 않아도 별다른 불이익이 없고, 공공 우선구매나 해외 진출 지원 등 실질적인 혜택도 제한적인 점을 원인으로 분석했다.
또 현행 제도는 침해사고 발생 이후 원인 분석만 가능할 뿐, 시장에 유통 중인 제품을 상시 점검하고 취약점을 사전에 확인할 수 있는 법적 근거가 부족하다고 지적했다. 지난해 로봇청소기 보안 실태조사는 한국소비자원과 협력해 실시된 첫 사례였지만, 과학기술정보통신부가 직접 운영하는 상시 관리체계로 보기에는 한계가 있다고 평가했다.
◇ EU·영국은 의무화… 국내는 자율에 의존
보고서는 유럽연합(EU)과 영국의 입법 사례도 소개했다.
EU는 '사이버복원력법(CRA)'을 통해 제품 설계 단계부터 보안을 내재화하고 판매 이후에도 지속적인 보안 업데이트와 취약점 관리 의무를 부과했다. 제조업자뿐 아니라 수입업자와 유통업자에게도 책임을 부여하고 있으며, 규정을 위반하면 최대 1500만 유로 또는 전 세계 연간 매출액의 2.5% 중 더 큰 금액의 과징금을 부과할 수 있도록 했다.
영국 역시 지난 2024년부터 소비자용 IoT 제품에 기본 보안기준을 적용하고 있다. 범용 기본 비밀번호 사용 금지와 보안 업데이트 지원 기간 공개 등을 의무화했으며, 규정 위반 시 리콜 명령과 함께 최대 1000만 파운드 또는 전 세계 연간 매출액의 4% 중 더 큰 금액을 과징금으로 부과할 수 있도록 했다.
국회입법조사처는 EU와 영국이 시장 진입 제한과 리콜, 과징금 등을 통해 제도의 실효성을 확보하고 있는 반면 우리나라는 최소 보안기준조차 없는 자율인증에 의존하고 있어 보안 수준 확보에 한계가 있다고 진단했다.
◇ "최소 보안기준·인증 의무화·상시 점검체계 마련해야"
보고서는 IoT 보안 강화를 위한 입법·정책 과제로 세 가지를 제시했다.
우선 정보보호지침을 통해 모든 IoT 기기에 공통 적용 가능한 최소 보안기준을 마련해야 한다고 제안했다. 영국 사례처럼 범용 기본 비밀번호 사용 금지, 제조업체 연락처 공개, 보안 업데이트 지원 기간 공개 등을 기본 보안요건으로 검토할 수 있다고 설명했다.
또 의료·교통 등 국민 안전에 미치는 영향이 큰 고위험 IoT 기기를 중심으로 보안인증을 단계적으로 의무화하고, 저위험 제품에는 자체 점검 방식의 간편 인증을 도입하는 방안을 제안했다. 이와 함께 주요 국가와 상호인정약정을 확대하고 공공부문 우선구매 등 인증 취득에 따른 혜택도 강화해야 한다고 밝혔다.
아울러 정보통신망법에 과학기술정보통신부의 IoT 보안 실태점검 권한을 명확히 규정하고, 취약점이 확인될 경우 개선명령과 리콜, 이행 결과 제출 요구, 공표 등 후속조치를 할 수 있는 제도적 기반을 마련해야 한다고 제언했다.
국회입법조사처는 "IoT 제품의 전 주기에 걸친 지속적인 보안관리체계를 구축하고 사업자의 보안 책임을 강화할 경우 IoT 시장 전반의 보안 수준을 높이고 국민의 안전과 개인정보 보호를 강화할 수 있을 것으로 기대된다"고 밝혔다.
일요주간 / 임태경 기자 allonbebe@naver.com
'시민과 공감하는 언론 일요주간에 제보하시면 뉴스가 됩니다'
▷ [전화] 02–862-1888
▷ [메일] ilyoweekly@daum.net
[저작권자ⓒ 일요주간. 무단전재-재배포 금지]

































































![부산 덕포동 중흥S클래스 건설현장서 화재 발생...검은 연기 치솟아 [제보+]](/news/data/20220901/p1065590204664849_658_h2.jpg)
![[포토] 제주 명품 숲 사려니숲길을 걷다 '한남시험림'을 만나다](/news/data/20210513/p1065575024678056_366_h2.png)
![[포토] 해양서고 예방·구조 위해 '국민드론수색대'가 떴다!](/news/data/20210419/p1065572359886222_823_h2.jpg)
![[언택트 전시회] 사진과 회화의 경계](/news/data/20210302/p1065575509498471_939_h2.jpg)











