로보락 ( 로봇청소기 제품 ) 등 중국산 가전제품에 의한 개인정보 유출 우려가 커지는 가운데 , 사물인터넷기기 (IoT 기기 ) 보안인증 제도를 내실화하고 인센티브를 통한 시장 수요 창출을 유도하는 ‘ 사물인터넷기기보안법 ’ 이 발의된다 .
더불어민주당 이정헌 의원 ( 서울 광진구갑 , 과방위 ) 은 19 일 ( 수 ) 이 같은 내용을 담은 「 정보통신망 이용촉진 및 정보보호 등에 관한 법률 일부개정법률안 」 ( 이하 사물인터넷기기보안법 ) 을 대표 발의했다고 밝혔다 .
현행법에 따라 정부는 한국인터넷진흥원 (KISA) 위탁 운영으로 IoT 보안인증제도 (CIC, Certification of IoT Cybersecurity) 를 운영하고 있다 . IoT 보안인증제도란 국내 IoT 시장 규모 확대에 따라 증가하는 사이버보안 위협을 방지하기 위해 과학기술정보통신부가 해당 제품이 정보보호인증기준에 적합함을 시험하여 인증서를 발급하는 제도다 . ( 「 정보통신망법 」 제 48 조의 6)
그러나 현행법상 정보보호인증제도가 의무가 아닌 임의인증제도로 규정돼 있어 , 실효성 문제에 대한 지적이 잇따라 제기돼왔다 . 이 의원은 2024 년 국정감사에서 해당 내용을 지적한 바 있다 .
IoT 보안인증 실적은 제도가 시행된 2018 년 4 건 이후 꾸준히 증가해 2024 년 106 건을 기록했다 . ( 붙임 1-1) 그러나 국내 IoT 관련 사업체 수만 3 천여 곳 , 매출액이 25 조 원 이상 ( 정보통신산업진흥원 ‘2024 사물인터넷 산업 실태조사 ’) 으로 향후 시장의 급성장이 예상되는 점을 고려하면 인증 실적은 여전히 미미한 수준이다 .
특히 , 중국산 로봇청소기 등 해외 기업에서 국내 IoT 보안인증을 신청한 사례는 지금까지 단 한 건도 없었다 . 국내 기업 또한 해외 시장 수출을 목표로 삼을 경우 , 국내에만 통용되는 인증 평가에 참여할 유인이 부족하다 .
또한 , IoT 보안인증제도는 보안 수준에 따라 라이트 , 베이직 , 스탠다드로 나뉘는데 현재까지 최고 등급 스탠다드 인증을 받은 기업은 삼성전자 AI 로봇청소기 1 건에 그쳤다 . ( 붙임 1-3) 신청 기업 수만 보면 중소 · 중견기업이 다수이나 , 최소 6 백만 원에서 최대 2 천만 원에 달하는 시험평가 수수료 부담이 있다 .
다만 , 보안인증제도를 의무화할 경우 해외국과의 통상 문제가 불거질 수 있어 신중한 접근이 필요하다는 것이 이 의원실 설명이다 . 이에 기업의 인증 참여를 유도해 자연스러운 시장 수요 창출이 가능하도록 인센티브 중심 법 개정이 필요하다 .
이 의원이 대표 발의한 ‘ 사물인터넷기기보안법 ’ 은 보안인증을 받은 기업이 제품에 인증 내용을 표시하거나 홍보할 수 있도록 규정함으로써 , 보안인증 제품의 시장 경쟁력을 높일 수 있도록 유도한다 .
또한 , 과학기술정보통신부 장관이 정부 기관 및 지자체 , 공기업 등에 보안인증 기기 우선구매를 요청할 수 있도록 하여 , 정부 조달을 활용한 수요 창출의 방식으로 제도 내실화를 꾀했다 .
인증 수수료 등 인증 과정에서 드는 비용 , 기술에 대한 재정 지원의 근거도 마련된다 . 현재는 고시에 근거해 중소기업 대상으로 시험평가 수수료 80% 를 지원하고 있는데 , 이를 법률로 상향하는 것이다 .
이 의원은 “ 중국산 로봇청소기 등 첨단 가전제품에 의한 개인정보 유출 논란에 대응해 미국 , 독일 등에선 소비자 IoT 기기 보안을 더욱 강화하는 라벨링 제도를 도입하고 있다 ” 라며 “IoT 기기가 AI 와 결합해 고도화되면서 우리 국민도 일상의 민감한 개인정보 데이터가 유출되고 , 사생활 침해를 당하지 않을까 불안이 큰 상황 ” 이라고 입법 배경을 설명했다 .
그러면서 이 의원은 “ 현행 IoT 보안인증제도는 인증 실적이 미미하고 참여 유인이 부족해 사실상 유명무실한 상태 ” 라며 “ 보안인증 제품이 시장에서 경쟁력을 확보하고 , 공공조달 및 수수료 지원을 통해 보안인증 참여 기업이 성장할 수 있도록 인센티브 방향으로 제도를 내실화하는 것이 이번 법 개정의 취지 ” 라고 말했다 .
