현행 IoT 기기 인증, 의무 아닌 임의 인증제
해외 기업 인증 0건...국내 기업 참여 유인도 부족
“인센티브 방향으로 제도 내실화해야”
로봇청소기 ‘로보락’ 등 중국산 가전제품을 통한 개인정보 유출 우려가 커지는 가운데, 사물인터넷(IoT) 기기의 보안 인증을 강화하고, 인센티브를 제공해 시장 수요를 촉진하는 법안이 발의돼 관심이 쏠린다.
국회 의안정보시스템에 따르면, 이정헌 더불어민주당 의원은 3월 14일 이 같은 내용을 담은 ‘정보통신망 이용촉진·정보보호 등에 관한 법률 일부개정법률안(이하 사물인터넷 기기 보안법)’을 대표 발의했다.
현행법에 따라 정부는 한국인터넷진흥원(KISA) 위탁 운영으로 IoT 보안인증제도(CIC)를 운영하고 있다. IoT 보안인증제도란 국내 IoT 시장 규모 확대에 따라 증가하는 사이버보안 위협을 방지하기 위해 과학기술정보통신부가 해당 제품이 정보보호인증기준에 적합함을 시험해 인증서를 발급하는 제도다.
하지만 현행법상 정보보호 인증 제도는 의무가 아닌 임의 인증제도로 규정돼 있어 실효성 문제가 제기된다. 정보통신산업진흥원이 발표한 ‘2024 사물인터넷 산업 실태조사’에 따르면 국내 IoT 관련 사업체는 약 3000곳, 매출액은 25조원 이상으로 조사됐다. 반면 지난해 인증서 발급 현황은 106건으로, 지난해 관련 사업체의 약 3.5%만 인증받은 수준으로 나타났다.
특히 중국산 로봇청소기 등 해외 기업에서 국내 IoT 보안인증을 신청한 사례는 지금까지 단 한 건도 없었다. 국내 기업 또한 해외 시장 수출을 목표로 삼을 경우, 국내에만 통용되는 인증 평가에 참여할 유인이 부족하다. 이에 따라 기업 인증 참여를 유도해 시장 수요 창출이 가능하도록 인센티브 중심으로 법안을 바꿔야 한다는 분석이 나온다. 보안인증 제도를 의무화할 경우 해외국과 통상 문제가 불거질 수도 있어서다.
이에 이 의원이 대표 발의한 사물인터넷 기기 보안법은 보안인증을 받은 기업이 제품에 인증 내용을 표시하거나 홍보할 수 있도록 규정함으로써, 보안인증 제품의 시장 경쟁력을 높일 수 있도록 유도한다. 또한, 과기정통부 장관이 정부기관·지자체, 공기업 등에 보안인증 기기 우선 구매를 요청할 수 있도록 했다. 인증 수수료 등 인증 과정에서 드는 비용, 기술에 대한 재정 지원의 근거도 담았다. 현재는 고시에 근거해 중소기업 대상으로 시험평가 수수료 80%를 지원하는데, 이를 법률로 상향하는 것이다.
이 의원은 “중국산 로봇청소기 등 첨단 가전제품에 의한 개인정보 유출 논란에 대응해 미국, 독일 등에선 소비자 IoT 기기 보안을 더욱 강화하는 라벨링 제도를 도입하고 있다”며 “보안인증 제품 경쟁력을 확보하고, 공공 조달·수수료 지원을 통해 보안인증 참여 기업이 성장할 수 있도록 인센티브 방향으로 제도를 내실화하는 것이 이번 법 개정의 취지”라고 설명했다.
