IoT 넘치는데…중국산 보안 인증은 ‘0’

KISA 운영 'IoT 보안인증' 국내 기업들만 신청
"제도 시행 5년간 중국업체 인증 문의도 없어"
정보통신망 규정 추상적…처벌도 유명무실탓
샤오미 올해 국내에서 30여종 기기 출시 계획
"해외 유입 포함 IoT 보안인증 의무제 필요"




국내에서 사용되는 중국산 전자기기가 크게 늘고 있는 가운데 IoT(사물인터넷) 보안 인증을 받은 중국 제품은 전무한 것으로 나타났다. 중국 제조사들이 보안 인증에 무관심하고 정보 유출 등 문제가 발생하더라도 처벌할 마땅한 제도적 장치도 없기 때문이다. 반면 국내 기업들은 보안 인증이 의무 사항이 아니어도 소비자 보호를 위해 인증에 적극 나서고 있다. 보안 전문가들은 IoT 보안 인증을 의무화해 형평성 문제를 해소해야 한다고 지적했다.


27일 IoT 보안 인증제도를 운영하고 있는 한국인터넷진흥원(KISA)에 따르면 관련 제도가 시행된 이후 최근 5년 간 인증받은 중국산 기기는 ‘0건’이다. 한국인터넷진흥원은 2017년부터 인증 신청을 한 업체의 IoT기기가 사용자 인증·데이터 보호 등을 안전하게 하고 있는지 국내에서 유일하게 테스트하고 있다. 최소 6주에서 12주 이상 제품을 점검해 라이트·베이직·스탠다드 등의 등급을 매긴다. 삼성SDS의 디지털도어록·LG유플러스의 홈CCTV 등이 모두 IoT 보안 인증을 받았다.


하지만 관련 인증이 의무화가 아니다 보니 중국산 제품들은 나몰라라하는 상황이다. 인터넷진흥원 관계자는 “지금까지 중국 업체가 인증 문의를 한 적은 전혀 없다”고 말했다. 국내 한 보안 전문가도 “중국산은 백도어(인증을 받지 않고 망에 침투할 수 있는 수단)가 설치됐다는 의심을 지속해서 사고 있지만 최소한의 인증도 받지 않은 채 시중에 유통되고 있다"고 지적했다. IoT는 여러 기기와 연결된 만큼 특정 기기가 해킹에 노출되면 해당 네트워크와 연결된 기기 모두 정보 유출 위험에 빠지게 된다.


하지만 현재 IoT 제품에 보안 문제가 발생해도 처벌하기도 힘든 상황이다. 정보통신망법 제45조 제1항은 ‘정보통신망에 연결되어 정보를 송·수신할 수 있는 기기를 제조·수입하는 자는 정보 보호조치를 해야 한다’고 규정돼 있다. 하지만 규정된 보호조치가 추상적이고 어길 시 실제 받는 처벌도 사실상 없다. 한 가전 업계 전문가는 “정보 유출 문제는 당장 눈에 보이는 게 아니어서 소비자로서는 안전한 국산보다는 값이 더 싼 중국산에 관심을 가질 수 밖에 없다”며 “중국산 IT기기의 보안 문제는 앞으로 더 불거질 것”이라고 지적했다.


반면 미국·캐나다 정부는 중국 기기의 보안에 대해 적극적으로 문제를 제기하고 있다. 미국은 중국 통신장비 업체 화웨이와 중흥통신(ZTE)을 무역 블랙리스트에 올렸다. 캐나다는 지난달 5G 사업에서 두 기업을 금지했다. 보안 업계 관계자는 “한국은 통상 문제로까지 번지길 원치 않아서 그 정도 제재는 힘들 것"이라고 말했다.


중국은 지난 2010년 8억 위안(약 1320억원)을 투자해 사물지능통신센터를 구축해 일찌감치 IoT 시대를 대비해 왔다. 샤오미·화웨이·TCL 등 가전 기업들은 자사의 TV·에어컨을 스마트폰으로 조절하는 IoT 생태계를 구축하고 있다. 시장조사기관 마켓앤마켓에 따르면 전세계 IoT 시장 규모는 2021년 3845억 달러(497조원)에서 2027년에는 5664억 달러(733조원)로 연간 6.7%씩 성장할 전망이다.


특히 샤오미는 올해 한국 시장에 30종 이상의 IoT 기기를 내놓는다고 발표해 국내로 유입되는 중국산 IoT기기는 급증할 전망이다. 이미 샤오미 홈카메라·게이트웨이·블루투스 스피커·로봇청소기 등이 국내 가정에서 상당량 사용되고 있다. 류연승 명지대 보안경영공학과 교수는 “앞으로 5G 상용화와 스마트홈·스마트시티에 대한 수요도 IoT 기기 증가에 영향을 미칠 것"이라며 “외국에서 수입되는 IoT 제품을 포함해 보안 기능을 의무적으로 보증하는 제도가 필요하다”고 말했다.


<저작권자 ⓒ 서울경제, 무단 전재 및 재배포 금지>