한국산업기술시험원(이하 KTL)은 국내 최초로 IECEE(국제전기전자 적합성 평가제도) 사무국으로부터 ‘소비자 IoT 디바이스’의 사이버보안 규격인 'ETSI EN 303 645'에 대한 국제공인 시험·인증기관으로 지정되었다고 19일 밝혔다.
IECEE는 회원국 인증기관에서 발급한 국제공인인증서(IECEE-CB인증서)와 성적서를 추가 시험 없이 상호 인정해 국가 간 무역을 증진시키기 위한 국제적합성 평가제도다. 전 세계 53개국이 가입되어 있다.
2023년 IECEE가 국제공인 IECEE-CB 인증규격으로 채택해 글로벌 사이버보안 인증제도가 출범되었다. 유럽표준(EN)을 채택한 이유는 소비자 IoT 디바이스의 사이버보안을 포괄적으로 다룰 수 있는 IEC규격이 없고, 관련 IEC 신규 제정에도 3~5년이 소요되기 때문이다.
- 해당 표준은 13개의 기술적 표준 사이버 보안사항을 요구한다. 요구 보안사항으로는 ‘소프트웨어를 최신 상태로 유지, 안전한 통신, 소프트웨어 무결성 보장, 개인정보 보안 보장’ 등이 있다.
다양한 기능과 편리함으로 소비자 IoT 디바이스는 이미 생활 깊숙이 들어와 있다. 대표적인 예로 네트워크에 연결된 도어락, 카메라, TV, 스피커, 스마트홈 디바이스, 웨어러블(wearable) 헬스케어 기기, 냉장고, 세탁기, 어린이 장난감, 허브, 게이트웨이 등이 있다. 이 외에도 다양한 제품들이 IoT 디바이스화 되고 있다.
‘소비자 IoT 디바이스’란, 개별 소비자가 주로 사용하는 IoT 디바이스를 뜻한다.
TEC(Telecommunication Engineering Centre)는 이러한 소비자 IoT 디바이스가 2026년까지 264억 개가 유통되고, 그 중 정보통신사무기기와 가전제품은 2/3 이상이 사이버보안의 대상이 될 것으로 추정한다.
이러한 소비자 IoT 시장의 성장은 국내 제조업체에게 큰 기회지만 동시에 많은 국가들이 사이버보안 관련 규제를 추진하고 있어 사이버 범죄에 대한 비용 부담이 크다. 호주, 인도, 싱가포르, 베트남, 영국 등 여러 국가들은 소비자 IoT 디바이스의 사이버보안 관련 규정에 'ETSI EN 303 645'를 인용했다.
이 때문에 KTL의 'ETSI EN303 645' 국제공인 시험·인증기관 지정은 의미가 크다. 앞으로 국내 기업들은 국내 시험인증을 진행하는 경우 비용과 처리기간을 약 30~50% 수준까지 대폭 절감할 수 있다.
또한 KTL을 통해 ▲부적합 발생에 대한 신속한 보완 ▲IoT 디바이스의 사이버공격 취약점 사전 발견 및 개선 ▲관련 사이버보안 규제 미이행 예방 등 다양한 서비스를 받을 수 있다.
KTL 송상훈 인증산업본부장은 "이번 지정으로 국내 시험·인증을 통한 국내기업의 인증비용 및 처리기간 감소로 우리기업의 수출 경쟁력 강화에 도움이 될 것으로 기대한다.″며, "앞으로도 국내유일의 공공 종합시험인증기관으로서 사이버보안분야 국제인증 및 기업지원 서비스 강화를 위한 최선의 노력을 다하겠다.″고 밝혔다.
한편 KTL은 지난해 10월 한국인정기구(KOLAS)로부터 'ETSI EN 303 645' 규격 시험기관으로 지정되었다. 이에 KTL은 국내 기업을 대상으로 2025년 8월 1일부터 시행될 EU RED(Radio Equipment Directive)의 사이버 보안 요구사항에 대한 시험 및 성적서 발급을 진행할 예정이다.
뿐만 아니라, 냉장고, 세탁기 등 가전제품에서 요구하는 사이버보안 시험평가 방법을 개발(IEC 60335-1 Annex U)하고 평가 시스템을 구축해 국내 기업들에게 사이버보안 시험평가 원스톱 서비스 제공하고자 힘쓰고 있다.