4차 산업혁명의 핵심 중 하나는 스마트 팩토리다. 스마트 팩토리는 인공지능(AI)과 로봇, 사물인터넷(IoT), 정보통신기술(ICT) 등이 필수적으로 필요하다. 스마트 팩토리가 고도화 될수록 이런 기술의 중요성과 점유율은 높아진다.

이중 하나인 IoT 기술의 발전과 기기의 증가로 최근 IoT 보안에 대한 관심이 커지고 있다. 하지만 현재 상황에서는 해당 기기가 데이터를 안전하게 보호하고 있는지 소비자가 알기란 쉽지 않다.

이에 각국에서는 IoT 기기의 보안 품질을 상시적으로 소비자들이 알 수 있게 하는 정책을 추진하고 있다. 대표적으로 미국 정부는 오는 2023년부터 IoT에 대한 사이버 보안 레이벌링 프로그램을 시작해 안보 위협으로부터 자국민을 보호할 것이라고 밝혔다.

이에 백악관 전략 토론에도 참석한 구글은 IoT 보안 레이벌링을 위한 5가지 원칙을 발표해 관련 업체에서는 관심을 가질만 하다. 구글은 ‘실시간 상태 확인 가능’, ‘국제 평가 체계 참고’, ‘유연성’, ‘투명성’, ‘인센티브 도입’이라는 5가지 키워드를 제시했다.

5가지 핵심 키워드 제시

먼저 구글은 디지털 보안레이벌의 경우 실시간으로 확인할 수 있어야 메리트가 있다고 밝혔다. 우리가 흔히 볼 수 있는 인쇄된 레이벌은 실시간으로 계속 변화하는 상태를 확인할 수 없다. 따라서 인쇄된 레이벌은 사용자가 QR코드 스캔 등을 통해 웹사이트를 방문해 실시간 보안 상태를 확인하도록 해야 한다.

왜냐하면 디지털 제품은 언제든지 외부의 공격으로부터 안전하지 않은 상황이 발생할 수 있기 때문이다. 

또 디지털 보안레이벌은 국제 평가 체계를 참고해야 한다. 즉 믿을 수 있는 보안·프라이버시 평가 체계를 참고하도록 만들어야 한다는 것이다. 여러 일관성 없는 국가 레이벌링 체계를 강요하면 소규모 공급 업체의 진입을 가로막게 될 것이라는 우려도 했다.

또한 보안 평가 체계는 추가 보안 기능 요구사항을 측정하고 평가할 수 있도록 충분히 유연해야 한다고도 했다. 즉 디지털 보안 레이벌링은 아직 초기 단계이기에 생태계 개선을 가속하기 위해서는 최소 기준을 설정해 소비자가 열악한 보안 관행에 노출될 가능성을 줄이는 것이 필요하다는 것이다.

레이벌링 체계 도입 시 인센티브 필수

특히 디지털 보안 레이벌 도입시 광범위한 투명성은 최소 기준만큼 중요하다고 밝혔다. 레이벌링 제도가 소비자에게 간단한 안전 지침을 제공하는 것은 바람직하지만, 광범위한 중요 기능까지도 소비자에게 투명하게 알릴 수 있어야 한다는 것이다.

구글은 레이벌링 체계에서 좀 더 포괄적인 투명성을 개발한다면 소비자들이 베일에 가려져 있는 더 광범위한 보안 기능을 배우고 관심을 가질 것이라며, 그 인식은 결국 제품 개발자들이 더 잘하도록 요구하는 계기가 될 것이라고 설명했다.

마지막으로 레이벌링 체계는 도입시 인센티브를 제공해야 한다고 했다. 제품 개발자는 기본적으로 수익성을 높이기 위해 노력하기 때문에 IoT 시장 전반에서 보안은 평균적으로 열악한 편이며, 보안에 들어가는 경제적인 투자는 일반적으로 충분하지 않다.

따라서 구글은 개발자들이 제품 보안을 강화하도록 장려하기 위해서는 당근과 채찍이 골고루 필요한데, 레이벌링 체계 도입 시 인센티브를 주는 방안은 당근이 될 수 있다고 설명했다.