홈네트워크장비
보안요구사항 준수 요구
정보보호인증 받은
사용기기·세대단말기
댁내 설치 근거 마련
[정보통신신문=박광하기자]
앞으로 공동주택 신축 시 세대 간에 홈네트워크를 물리적·논리적으로 분리해야 한다. 아울러, 정보보호인증을 받은 설비를 설치할 수 있도록 했다. 이는 아파트 등 공동주택의 홈네트워크 설비를 통한 해킹 발생을 막기 위한 조치로 풀이된다.
과학기술정보통신부, 산업통상자원부, 국토교통부 등은 최근 이 같은 내용을 담은 '지능형 홈네트워크 설비의 설치 및 기술기준' 일부개정(안)을 행정예고했다.
이들 정부부처는 개정(안)에 대해 사물정보통신(IoT) 융합 기술발전 및 홈네트워크 설치, 이용 증가에 따라 홈네트워크를 통해 발생할 수 있는 보안사고의 예방과 망의 안정적인 운용을 위한 유지관리 규정을 마련하고, 현행 제도의 운영상 나타난 일부 미비점을 개선·보완하기 위한 것이라고 개정 이유를 밝혔다.
또한, 홈네트워크를 통한 해킹 등 침해사고 발생 가능성이 증대하는 상황을 고려했을 때, 월패드·단지서버 등 홈네트워크 설비에 대한 설치·운영 시 보안 강화가 필요하다며 정부 개입이 필요하다고도 짚었다.
국제적으로 ITU-T의 홈네트워크 보안표준이 마련됐으며, 과기정통부가 '홈·가전 IoT 보안가이드'를 제작·배포하고 '정보통신망연결기기 등 정보보호인증 제도'를 운영해 IoT 제품을 인증하고 있는 상황이다. 하지만 홈네트워크 설비 운영 주체가 보안요구사항 적용 등을 적극 시행하지 않다 보니 네트워크 안정성 및 이용자 피해 등 위험이 확대되고 있는 것이다. 정부는 이 같은 상황을 고려했을 때 시공사 등의 적극적 준수가 요구된다고 판단했다.
개정(안)의 주요 내용을 살펴보면, 정부는 홈네트워크 설비에 대한 사이버 보안 확보를 강조했다. 제3장의 제목인 '홈네트워크 설비의 기술기준'을 '홈네트워크 설비의 기술기준 및 홈네트워크 보안'으로 변경하고, 관련 조항에서 정보보호 확보 조치 방안을 대거 추가한 것이다.
구체적으로는, 홈네트워크 설비의 안정적인 운영을 위한 유지관리 규정을 마련(안 제14조 제1항 신설)했다.
이에 따르면, 홈네트워크 설비를 설치한 자는 홈네트워크 설비의 유지·관리 매뉴얼을 관리주체 및 입주자대표회의에 제공해야 한다.
홈네트워크 보안 강화를 위한 홈네트워크망 보안강화, 홈네트워크 장비의 보안요구사항 준수, 정보보호인증된 홈네트워크 사용기기 등의 설치 등에 대한 규정을 제정(안 제14조의2 신설)했다.
단지서버와 세대별 홈게이트웨이 사이의 망은 전송되는 데이터의 노출, 탈취 등을 방지하기 위해 △물리적 방법으로 분리 △소프트웨어(SW)를 이용한 가상사설통신망(VPN), 가상근거리통신망(VLAN), 암호화기술 등을 활용해 논리적 방법으로 분리 등의 방법으로 구성토록 했다.
홈네트워크장비의 보안성 확보를 위해 '별표 1(홈네트워크장비에 대한 보안요구사항)'을 신설하고, 이에 따른 보안요구사항을 충족토록 했다.
별표 1의 '홈네트워크장비에 대한 보안요구사항'은 △데이터 기밀성 △데이터 무결성 △인증 △접근통제 △전송데이터 보안 등 5개 분야로 구성돼 있다.
'데이터 기밀성'은 이용자 식별정보, 인증정보, 개인정보 등에 대해 암호 알고리즘, 암호키 생성·관리 등 암호화 기술과 민감한 데이터의 접근제어 관리기술을 적용해 권한 없는 자가 데이터의 내용을 엿볼 수 없도록 해야 한다는 것이다.
'데이터 무결성'은 이용자 식별정보, 인증정보, 개인정보 등에 대해 해쉬함수, 디지털서명 등 기술을 적용해 위·변조를 방지할 수 있어야 함을 의미한다.
'인증'은 사용자 확인을 위해 전자서명, 아이디·비밀번호, 일회용비밀번호(OTP) 등을 통해 신원 확인 및 인증 기능을 구현해야 한다는 의미다.
'접근통제'는 자산·사용자 식별, IP관리, 단말인증 등의 기술로 사용자 유형 분류, 접근권한 부여·제한 기능 등을 구현해 인가된 사용자만 접근할 수 있도록 제어가 가능해야 함을 뜻한다.
'전송데이터 보안'은 승인된 홈네트워크장비 간에 전송되는 데이터가 유출 또는 탈취되거나 흐름의 전환 등이 발생하지 않도록 하는 것이다.
홈네트워크사용기기 및 세대단말기는 '정보통신망 이용촉진 및 정보보호 등에 관한 법률' 제48조의6에 따라 정보보호인증을 받은 기기를 설치할 수 있도록 했다.
해당 법률 조항에 따르면, 과기정통부 장관은 정보통신망연결기기등이 법률에 따른 인증기준에 적합한 경우 정보보호인증을 할 수 있으며, 정보보호인증 및 정보보호인증 취소에 관한 업무를 한국인터넷진흥원(KISA)에 위탁할 수 있다. 과기정통부는 이 법률 조항을 근거로 지난 9월 23일 IoT 기기 등에 대한 정보보호인증 제도 시행을 위해 '정보통신망연결기기등 정보보호인증에 관한 고시(과기정통부 고시 제2021-73호)'를 제정, 고시했다.
개정(안)은 공포 후 6개월이 경과한 날부터 시행하고, 시행 이후 주택건설사업계획승인을 신청하는 경우부터 적용토록 부칙을 뒀다.
정부는 개정(안)이 시행되면 홈네트워크 설비에 대한 보안성 강화가 이뤄져 해킹으로 인한 시민들의 경제적 손실, 정신적 불안·피해 등을 줄일 수 있을 것으로 전망했다.
또한, 개정(안) 시행 이후에는 정보보호 조치 강화로 인해 아파트 총공사비가 0.023% 정도 상승(SW 방식의 세대별 홈네트워크 접근 제한 시)할 것으로 추산했다. 아파트 건설 비용 증가가 미미할 것이라는 판단이다.
개정안에 대해 의견이 있는 법인, 단체 또는 개인은 예고일인 12월 3일로부터 20일 예고사항에 대한 의견(찬·반 여부와 그 사유)을 과기정통부 등에 제출하면 된다.
