- 통신·스마트 기기부터 의료기기까지 인터넷 연결이 가능한 모든 기기를 의미 -

- 제리 브라운 전(前) 주지사 작년 9월 법안에 서명, 2020년 1월 1일부터 발효 -

□ 캘리포니아, 일명 ‘IoT(사물인터넷)’ 보안법 시행 예정

  ◦ 개요

    - 캘리포니아주에서는 일명 ‘IoT(사물인터넷)’ 보안법(정식 명칭 SB 327)이 작년 8월 처음 소개됨.

    - SB 327은 ‘커넥티드 디바이스’ 생산 기업에게 해당 기기에 합당한 ‘보안’ 기능을 반드시 탑재하도록 규제하는 법

    - 이 법안은 최초 발의 이후 상·하원 의회의 투표를 거쳐 2018년 9월 중순에 최종 통과됐고 9월 말 제리 브라운(Jerry Brown) 전(前) 주지사에게 전달됨. 9월 28일 주지사가 법안에 최종 서명함으로써 2020년 1월 1일부로 발효 예정

    - 이로써 캘리포니아주는 미국 내 모든 주(State)를 통틀어 이러한 일상의 인터넷 연결 기기들에 사이버 보안 기능 탑재를 법적으로 필수화한 최초의 주가 됨.

  ◦ 법률상 용어의 정의

    - 커넥티드 디바이스(Connected devices): 인터넷에 직·간접적으로 연결할 수 있어 IP(Internet Protocol) 주소 혹은 블루투스(Bluetooth) 주소가 부여되는 모든 기기, 장치 및 물체를 의미함. 예를 들어 스마트폰, 스마트 스피커, 스마트 디스플레이 등의 통신과 스마트 제품에서부터 페이스메이커(Pace-maker)와 같은 각종 개인용 의료기기까지 인터넷에 연결할 수 있는 장치라면 모두 포함

‘커넥티드 디바이스’의 예

(왼쪽부터) 스마트 스피커, 페이스메이커, 원격 환자 모니터

자료: Google Store, Pixabay

    - 생산자(Manufacturers): 캘리포니아에서 판매되는 커넥티드 디바이스를 생산하거나 계약을 통해 타인에게 생산을 의뢰하는 모든 사람 혹은 주체를 의미함. 단, 생산이 아닌 구매나 브랜딩만을 위한 계약은 미포함

    - 보안 기능(Security features): 해당 기기에 보안(Security)을 제공하기 위해 디자인된 기능을 의미

    - 인증(Authentication): 사용자·프로세스·기기 등의 주체가 특정 정보 시스템(Information system)의 데이터에 접근하기 위한 권한을 확인하는 수단을 의미

    - 비인가 접근, 파괴, 사용, 변경 혹은 공개(Unauthorized access, destruction, use, modification, or disclosure): ‘소비자’에 의해 승인·인가되지 않은 접근, 파괴, 사용, 변경 혹은 공개를 의미

  ◦ SB 327의 주요 내용

    - SB 327은 위에서 정의한 커넥티드 디바이스의 생산자는 해당 기기 생산 시 반드시 ‘합당한(Reasonable) 보안 기능’ 혹은 아래의 3가지 조건을 모두 만족하는 기능을 탑재하도록 규정하고 있음.

    (1) 해당 기기의 본질과 역할에 적절한 기능

    (2) 해당 기기가 수집, 포함, 전송하는 정보에 알맞은 기능

    (3) 인가되지 않은 접근, 파괴, 사용, 변경 혹은 공개로부터 해당 기기와 해당 기기에 포함된 모든 정보를 보호하기 위해 디자인된 기능

    - 근거리 통신망(Local area network) 외부로부터의 인증(Authentication)이 가능한 기기의 경우, 다음의 두 조건 중 하나를 만족한다면 합당한 보안 기능을 갖춘 것으로 간주함.

    (1) 생산된 각각의 기기별로 고유한(Unique) 사전 프로그램된(Preprogrammed) 암호가 있는 경우

    (2) 해당 기기에의 최초 접근이 승인되기 전, 사용자에게 새로운 인증 수단을 생성하도록 요구하는 보안 기능이 포함된 경우

    - 상세 내용은 다음의 링크에서 전문 확인 가능(https://leginfo.legislature.ca.gov/faces/billNavClient.xhtml?bill_id=201720180SB327)

  ◦ 기타 사항

    - 이 법안은 사용자가 본인의 재량에 따라 소프트웨어·애플리케이션 등을 추가·변경하거나 해당 기기를 제어하는 경우에는 적용되지 않음.

    - 해당 기기의 ‘생산자’ 혹은 생산 의뢰인이 아닌 전자 매장(Electronic store), 게이트웨이, 마켓플레이스 혹은 소프트웨어·애플리케이션 등을 구매 및 다운로드하는 수단의 제공자(Provider)에게는 적용되지 않음.

    - 기기의 주요 기능이 연방 규제 기관에 의해 공표된 연방 법의 보안 요건에 따르고 있을 경우 이 법안이 적용되지 않음.

    - 또한 이 법안은 개개인에게 법률적인 행동을 취할 권리를 부여하는 목적이 아님. 이 법을 집행하고 단속할 수 있는 독점적인 지휘권은 주, 도시, 카운티의 각 법무 기관에 있음.

□ 규제 시행 배경과 관련 연방 기관의 움직임

  ◦ 규제의 배경

    - 미국뿐만 아니라 전 세계가 스마트 기기의 시대로 변모하고 있음. 이미 우리의 삶을 크게 변화시킨 스마트폰 이외에도 시중에는 삶을 더욱 편리하게 만들어 줄 각종 스마트 스피커, 스마트 디스플레이, 스마트 가전, 스마트 홈 제품, 웨어러블 기기 등이 소비자에게 많은 관심을 얻으며 공격적인 판매를 기록하고 있음.

    - 급속히 성장 중인 5G 기술로 인해 사물인터넷(IoT)이 점점 더 용이해지고 있으며 이러한 기술적 뒷받침 아래 커넥티드 디바이스의 종류 또한 늘어나고 있는 것으로 분석됨.

    - 우리 주변의 많은 사물·기기들이 서로 연결된 상황에서 보안에 취약한 특정 기기나 특정 연결 지점이 있다면 해커의 침투에 쉽게 노출될 수 있으며, 이렇듯 사소한 취약점은 민감한 개인 정보에서부터 심각하게는 생명에까지 위협으로 작용할 가능성이 있음.

    - 따라서 사물인터넷(IoT) 사이버 보안에 대한 중요성이 대두되고 있으며, 이러한 성격의 규제 확산이 탄력을 받을 것으로 예상됨.

  ◦ 국토안보부와 식약청, 특히 ‘의료기기’ 사이버 보안 예의 주시 중

    - 미국 뉴스 미디어 New York Post는 최근 모든 커넥티드 디바이스는 해커의 타깃이 될 수 있다고 보도하며 심지어 세동제거기(Defibrillators)* 또한 이 타깃에 포함될 수 있다고 언급함.

    주*: 심장 박동을 정상화하기 위해 전기 충격을 가하는 데 쓰는 의료 장비로 제세동기라고도 불림.

    - 지난 3월 미국 국토안보부(DHS)에서는 미국의 대표적인 의료기기 기업인 Medtronic에서 생산한 체내 이식형(Implantable) 세동제거기가 사이버 공격에 취약할 수 있음을 발표한 바 있음.(미국 국토안보부 발표 내용 전문: https://ics-cert.us-cert.gov/advisories/ICSMA-19-080-01)

    - Medtronic사의 세동제거기의 경우, 다른 기기와의 소통 시 안전 보장되지 않은(unsecured) 프로토콜을 사용하기 때문에 기기에 수집된 민감 정보에 공격을 받을 가능성이 있다고 미국 국토안보부는 전함.

    - 이에 대해 Medtronic사는 Fox News를 통해 이번 이슈는 Conexus telemetry system이라는 특정 프로토콜을 사용하는 제품에만 적용되며 지금까지 이 이슈로 인해 사이버 공격이나 개인 정보의 도용, 환자들의 피해가 발생한 사실이 없다고 밝힘. 해당 기업은 무선 커뮤니케이션 보안 기능의 보완을 진행 중이며 올해 중에 업데이트가 예정돼 있다고 전함.

    - 한편 미국 식약청(FDA) 또한 점점 더 많은 의료기기가 인터넷, 병원 네트워크 및 다른 기기에 연결되고 있으며 이에 따라 잠재적인 사이버 보안 공격에 노출될 위험성이 높아지고 있다고 밝힘.(미국 식약청 발표 내용 전문: https://www.fda.gov/MedicalDevices/Safety/AlertsandNotices/ucm633960.htm)

    - 지금까지는 문제가 발생하지 않았더라도 의료기기, 특히 심장에 직접적으로 연관된 장치가 사이버 공격을 받는다면 생명까지 위협할 수 있기에 국토안보부와 식약청 등 관련 기관에서는 이에 철저한 주의가 필요함을 경고하고 있는 것으로 분석됨.

□ 시사점

  ◦ 본격적인 ‘스마트기기’ 시대, 이러한 규제 미국 내 확산 가능성 있어

    - 미국 내에서 소위 ‘사물인터넷(IoT)’ 보안 규제를 법적으로 공식화한 것은 이번 캘리포니아주가 처음으로 지금까지 국회에 소개된 사물인터넷 관련 법안은 여러 개가 존재했으나 모두 통과되지 못했음.

    - 이 중 가장 유사한 성격의 법안으로 2017년 연방 상원에 소개됐던 ‘IoT Cybersecurity Improvement Act of 2017’을 꼽을 수 있으나 이 법안의 경우 정부에서 구매하는 커넥티드 디바이스에 대한 최소한의 보안 기준만을 규정하는 성격으로 일반적인 가전제품에는 해당되지 않았음.

    - 내년 SB 327의 시행을 앞두고, 일각에서는 법률 내용이 모호하며 현재의 내용만으로는 사이버 공격으로부터의 보안 취약성을 완전히 보완하지 못하는 부분이 있다는 평가가 존재함. 그러나 다른 일부에서는 SB 327의 첫 시도가 매우 좋은 시작이 될 것이라는 의견도 있음.

    - SB 327은 캘리포니아주에서만 적용되는 주(State)법이지만, 주 내에서 판매되는 커넥티드 디바이스의 생산자 및 생산 의뢰자에게 모두 적용되는 법률임. 따라서 주 내·외부뿐만 아니라 해외의 생산자들 또한 캘리포니아주에서 해당 제품을 판매하고자 한다면 SB 327을 준수해야 할 것으로 판단됨.

    - 이처럼 캘리포니아주가 만든 의미 있는 첫 도약이 미국에서 판매되는 커넥티드 디바이스의 전반적인 보안 수준 향상에 긍정적인 영향을 미칠 것으로 분석되며, 타 주 및 타 도시에도 이러한 성격의 규제가 확산될 가능성이 있겠음.

    - KOTRA 로스앤젤레스 무역관이 인터뷰한 통상규제 분야 전문 S 변호사에 따르면, 이러한 규제의 시행으로 인해 관련 기기 생산자들은 ‘보안’ 기능을 탑재할 실제의 목적을 가지게 돼 이는 전반적인 커넥티드 디바이스의 보안 기능 강화에 매우 효율적으로 작용하리라 예측함. S 변호사는 또한, 같은 내용의 연방 법률이 아직 존재하지 않는 가운데 SB 327이 미국 전역에 영향을 끼치게 될 가능성이 높을 것으로 전망함.

  ◦ 관련 분야의 기업 및 소비자들 또한 이러한 규제 염두에 둬야

    - 앞서 언급했듯이 커넥티드 디바이스의 정의는 매우 포괄적이며, 세동제거기와 같은 의료기기처럼 이전에는 커넥티드 디바이스로 여겨지지 않았던 기기나 장치들도 점차 인터넷 연결 기능을 갖추어 시장에 나오는 경우를 많이 찾아볼 수 있음.

    - 따라서 커넥티드 디바이스뿐만 아니라 일반적인 가전제품을 사용하는 소비자들은 본인이 사용하는 기기에 인터넷 연결 기능이 있는지 다시 한번 확인하고 평소에 관련 보안에 유의하는 자세가 필요하겠음.

    - 특히 세동제거기나 페이스메이커 등의 개인 의료기기를 사용하는 소비자는 병원이나 전문 의료 기관·업체를 통해 구매한 기기만을 사용하는 것이 좋으며, 해당 기기의 정확한 사용법을 숙지 후 안전한 사용이 권장됨. 또한 보안이 의심되는 외부 기기와 의료기기를 연결하지 않는 것이 중요할 것으로 보임.

    - 캘리포니아주에서 판매되는 커넥티드 디바이스를 생산하는 기업 혹은 해당 업계에 진출하고자 하는 우리 기업들 또한 SB 327과 같은 법적 규제를 염두에 둘 필요가 있으며, 미국 국토안보부 혹은 식약청과 같은 관리 감독 기관의 규제 움직임도 주시할 필요가 있겠음.

    - 의료기기의 경우 특히 식약청(FDA)의 관할 분야이기 때문에 추후 더 구체적인 FDA의 움직임에도 주목해야 할 것으로 보임.

자료: California Legislative Information, The Verge, New York Post, FDA, U.S. Department of Homeland Security, 그 외 KOTRA 로스앤젤레스 무역관 자료 종합