1. 1. 서론

    

   최근 ICT 기술이 발전하면서 국내를 비롯한 해외 주요국은 새로운 성장 동력으로 제4차 산업혁명 정책을 수립하고, 사물인터넷(이하, IoT), 빅데이터 등 핵심기술 확보, 융합 서비스 및 비즈니스 모델 개발, 인력양성 등 관련 정책을 시행하고 있다. 그러나 IoT 등 제4차 산업혁명의 핵심기술이 교통, 의료 등 다양한 산업분야에 적용되고, 예측 불가능한 보안위협의 발생 가능성이 증대되면서 각 국가들은 사이버보안을 강화하기 위해 관련 법·제도를 정비하거나 사이버보안전략 등을 수립하여 관련 정책을 시행하고 있다.

    

   일본의 경우, 2016년 1월 내각부 산하 종합과학기술·이노베이션회의에서 「제5차 과학기술기본계획」을 통해 제3차 산업혁명(정보사회) 이후의 미래사회를 ‘Society 5.0’으로 정의하고, 정부 차원에서 ‘제4차 산업혁명’의 개념을 적극 수용하여 자국의 강점을 활용한 제4차 산업혁명 정책을 수립·추진한다. 즉 일본 정부는 제4차 산업혁명(Society 5.0)을 핵심기술인 IoT·빅데이터·인공지능(이하, AI)·로봇이 교통, 에너지, 의료 등 산업분야별 기술과 데이터가 결합하면서 새로운 제품과 서비스를 창출하는 것으로 이해하고, 4대 핵심기술 확보와 데이터 활용에 초점을 둔 ICT 정책(일본재흥전략(’15, ’16), 민·관 데이터 활용 추진 기본법 제정 및 시행(’16), 미래투자전략(’18), 세계 최첨단 디지털 국가창조 선언·민관 데이터 활용 추진 기본계획(’18) 등)을 수립함과 동시에 고도화된 사이버위협에 선제적으로 대응하기 위해 정부 주도의 사이버보안전략(’15, ’18)을 추진하고 있다.

    

   특히 일본 정부는 사이버보안전략(’15.09)을 통해 민간 기업이 IoT를 활용하여 새로운 서비스를 창출하고, 해외시장에서 기업의 가치와 경쟁력을 높이기 위해 서비스품질의 요소로서 보안 확보의 필요성을 강조하였다. 따라서 후속조치로 산·학·관이 참여하는 ‘IoT 추진 컨소시엄’(’15.10)을 설립하면서 제4차 산업혁명 핵심기술 중 IoT 관련 정책을 중점적으로 추진한다. 먼저, IoT의 특징을 ‘System of Systems(SoS)’로 파악하고, IoT 구성 환경을 데이터가 유통되는 서비스·플랫폼·네트워크·기기, 총 4개의 계층으로 구분하여 서로 다른 IoT 시스템 간의 상호연계를 기반으로 한 가상의 통합시스템으로 정의한다. 따라서 총무성은 <표 1>과 같이 각 계층별로 수행할 정책을 구체화하고, IoT 기기, 네트워크 등에 관한 보안대책을 수립·운영하고 있다. 또한 경제산업성은 IoT, AI 등 기술이 발전함에 따라 모든 사물이 서로 연결되면서 수집된 빅데이터가 새로운 부가가치를 창출하는 산업으로 ‘Connected Industries’의 개념을 제시하고, 교통, 제조 등과 같은 산업 측면에서의 IoT 활용 전략⁽¹⁾과 이로 인해 복잡해지는 사이버 공급망 위험 대응 및 에너지(전력, 가스 등) 분야의 사이버보안 강화 정책을 수행하고 있다.

    

   <표 1> 일본 IoT 구성 환경 및 관련 주요 정책(총무성 IoT종합전략(’17.06))

   계층	주요 구성요소	주요 정책
   서비스 (데이터 유통)	플랫폼을 통해 연결된 데이터 또는 분석을 통해 획득한 데이터를 활용하여 제공되는 서비스 (스마트시티, 스마트공장, 스마트 의료, 스마트카 등)	데이터 활용 촉진 등 필요한 규정 명확화 데이터거래시장 등 관련 규정 정비 전 분야에서 활용 가능한 데이터 연계환경 정비
   플랫폼	데이터 축적·유통·연계 등을 제공하는 인프라(클라우드) 기기·이용자 식별 및 인증, 기기와 플랫폼 간의 보안통신 제공, 기기 관리 등	인증 관련 인프라 구축 Privacy-by-Design(정보은행(정보위탁), 의료분야 PHR(2) 플랫폼 구축) Security-by-Design(IoT기기 보안대책, 스마트홈 위험평가 등 관련 대책)
   네트워크 (통신)	유·무선 통신서비스 데이터 전송기능을 포함한 고정·이동형 통신기기	SDN/NFV 구축 5G 상용화 ICT 인력양성(SDN(3)/NFV(4) 운영·관리, 보안 등)
   단말기기	센서, 엑추데이터 등 네트워크를 통해 데이터 전송이 가능한 각종 기기	안전한 자율형 모빌리티 시스템(전기자동자, 전동휠체어, 자율로봇 등) 다양한 IoT 기기의 효율적인 관리·운용 차세대 AI기술 연구개발 및 도입 추진

    

   본고에서는 IoT 보안 관련 법령, 내각사이버보안센터(이하, NISC), 총무성, 경제산업성 등 관계부처의 IoT 보안대책 등의 현황을 파악하여 일본 IoT 보안정책의 구성을 정의한다. 또한 안전한 IoT 시스템을 구축하기 위한 접근방식 및 기본원칙, 주요 추진과제 현황 분석을 통해 일본 IoT 보안정책의 특징 등 시사점을 도출하고자 한다.

2. 일본 IoT 보안 목표 및 정책 추진방향

2016년 8월, NISC가 발표한 ‘안전한 IoT 시스템을 위한 일반 보안프레임워크’⁽⁵⁾)를 살펴보면 IoT 시스템은 모든 사물이 네트워크에 연결되는 ‘사이버-물리 시스템(Cyber-Physical System)’로 이해하고, 서비스· 플랫폼·네트워크·기기와 같이 계층 구조로 정의하고 있다. 따라서 IoT 시스템 전체의 보안을 확보하기 위해서는 데이터뿐만 아니라 각 계층별로 기밀성(C)·무결성(I)·가용성(A)을 확보하는 것이 필요하다. 또한 IT/OT의 융합 환경으로 인해 사이버공간의 위험이 물리적 세계에 전이될 수 있으므로, NISC는 IoT 보안목표에 안전성(Safety)을 추가한다. 그러나 서로 다른 IoT 시스템들 간의 상호 연결로 인해 복잡도가 증가하고, 예측 불가능한 보안위협의 발생 가능성이 높아지면서 IoT 시스템의 설계 단계부터 보안을 내재화하도록 ‘Security-by-Design’을 기본원칙으로 한다.

IoT 시스템은 주요기반시설부터 일반 소비자에 이르기까지 사용되는 제품의 종류, 이용자에게 제공되는 서비스, 활용되는 데이터 등 IoT가 도입·운영되는 환경이 다양하다. 이와 같은 IoT 시스템의 보안 목표를 달성하기 위해 NISC는 2단계의 접근방식을 제시한다. 이는 먼저 시스템 생명주기 단계별로 필요한 일반적인 공통보안 요구사항을 명확히 하고, 교통, 에너지, 의료 등 각 산업분야별 특성을 고려한 분야별 보안 요구사항을 도출하여 추가하는 방식이다. IoT 시스템의 공통 보안요구사항은 ①시스템의 대상 및 범위, ②정보보호(C·I·A) 및 이용자의 안전성 확보 방안, ③안전하게 시스템이 작동하거나 장애발생 시의 서비스 복구를 위한 필수 요구사항, ④IoT 기기 및 네트워크의 안전성을 확보할 수 있는 법적 또는 산업계 등의 요구사항, ⑤IoT 기기 및 네트워크 장애, 사이버공격 등 발생 시 신속히 복구, ⑥책임소재 및 정보의 소유권 등 데이터 취급 방안, 총 6개 항목으로 이는 IoT 시스템 간의 연계 시에도 적용된다. 또한 IoT 시스템의 장애 발생 및 사이버공격 등 침해사고 이후 신속하게 서비스를 복구하도록 요구한 것으로 보아 시스템의 복원력(Resilience)에도 중점을 두고 있음을 알 수 있다.

IoT 보안에 대한 또 다른 접근방식으로는 사이버보안전략(’15)에서 정의한 ‘임무보증(Mission Assurance)’에 따른 위험관리 방식을 들 수 있다. 임무보증은 정부기관과 주요기반시설 사업자를 대상으로 한 접근 방식으로 해당 조직이 수행하는 업무와 서비스를 완수하기 위해 발생 가능한 위험을 분석하고, 그 결과를 기반으로 경영층의 종합적인 판단 하에 위험에 대응하는 것을 의미한다. 따라서 IoT 시스템에 대해 위험 평가(Risk Assessment)를 실시하고, 이 결과를 기반으로 수용 가능한 수준까지 위험을 완화하는 보호대책을 마련하도록 요구한다. 특히 IoT 시스템은 산업분야나 제공하는 서비스에 따라 요구되는 보안 수준이 다르고, 사이버공격 등 침해사고 발생 시 그 파급효과가 다른 시스템으로 전파될 수 있기 때문에 IoT 시스템 간의 상호 연계하는 경우에는 위험평가를 실시하여 발생 가능한 위험에 대해 대비해야 한다.

따라서 NISC는 이와 같은 IoT 보안의 기본원칙과 접근방식에 따라 <표 2>와 같이 IoT 보안정책의 추진방향을 제시하고, 총무성, 경제산업성 등 관련 부처들은 이를 기반으로 담당하는 분야별로 IoT 보안을 확보하기 위한 추진과제를 수립한다.

<표 2> 일본 IoT 보안정책의 추진방향

3. 일본 IoT 보안정책의 추진현황

총무성은 2017년 1월 ‘사이버보안TF’를 구성하고 봇넷 대응 등 IoT 보안정책을 체계적으로 추진하기 위해 「IoT 보안 종합대책」(’17.10)을 수립한다. 「IoT 종합전략」(‘17.06)에서 정의한 4계층의 IoT 시스템 구성 모델을 기반으로 각 계층별로 필요한 보안 개선사항을 검토하고, IoT 기기의 보안 내재화(Security-by-Design), 취약점 조사 및 대응 등 IoT 기기의 생명주기에 따른 보안정책에 집중 투자한다. 그러나 5G의 상용화에 따른 신규 위험의 발생 가능성 증가, 공급망 위험관리 및 데이터 유통·관리의 필요성, 사이버보안에서의 AI 활용 등 급변하는 ICT 환경에 대응하기 위해 총무성은 기존의 종합대책을 보완하고, 5G 보안대책을 추가한 「IoT·5G 보안 종합대책」(’19.08)을 발표한다. 해당 대책은 정보통신 서비스·네트워크 분야를 ①IoT, ②5G, ③클라우드 서비스, ④스마트시티, ⑤신뢰 서비스(이하, Trust Service), ⑥공공 무선랜, ⑦주요기반시설 정보통신 분야, ⑧지역사회 정보통신서비스로 구분하여 각 분야별 중점 추진사항을 구체화하고, 핵심 원천기술 개발, 정보공유 및 정보보호 공시제도 활성화, 인력양성 등 공통 추진과제를 제시하고 있다.

경제산업성은 플랜트 분야에서 IoT 기기 등 도입 시 안전성과 보안성을 모두 고려한 보안대책을 마련하거나 기업의 IoT 투자 촉진 방안으로 사이버보안 대책을 지원하는 등 정책을 추진하고 있다. 또한 IoT, 빅데이터 등을 활용하면서 사이버 공급망 위험 등 신규 보안위험에 대응하기 위해 산업사회를 3계층 모델⁽⁶⁾)로 정의하여 각 계층별로 신뢰성을 확보하면서 위험관리 프로세스를 기반으로 계층별 구성 요소⁽⁷⁾에 대해 보안대책을 마련할 수 있도록 ‘사이버-물리 보안대책 프레임워크(Cyber-Physical Security Framework, 이하 CPSF)’(’19.04)을 발표하고, 이를 기반으로 빌딩, 전력, 방위산업, 자동차산업, 스마트홈 등 분야별 보안대책 수립을 추진하고 있다.

(1) IoT 기기 등 단말설비 보안에 대한 법적 요구사항 강화

네트워크가 대부분 인터넷망(IP망) 기반으로 이동되고 IoT 도입이 증가하면서 총무성은 전기통신 설비 관련 위험에 대해 보다 선제적으로 대응하기 위해 총무성령 제31호인 「단말설비규칙」(’19.03 공표, ’20.04 시행) 일부를 개정하고, IoT 기기를 포함한 단말설비 보안에 대한 법적 요구사항을 강화하였다. 즉 인터넷 프로토콜을 사용하여 ISP 등 전기통신회선설비를 통해 데이터 송수신 기능을 포함한 단말설비(예. 인터넷에 직접 접속하는 라우터나 IP카메라 등)에 대해 ①접근제어 기능, ②초기 비밀번호 변경을 요구하는 기능, ③SW업데이트 기능과 같이 최소한의 보안대책 기준을 제시하였다. 그러나 PC나 스마트폰 등과 같이 이용자가 쉽게 임의의 SW 설치가 가능한 기기에 대해서는 본 규정의 대상에서 제외된다.

(2) 취약한 IoT 기기에 대한 조사 및 조치방안 지원

총무성은 주요기반시설 또는 일반 소비자들이 사용하는 제품을 대상으로 보안이 취약한 IoT 기기를 조사하고, 이를 조치할 수 있도록 해당 제품 소유자 등에게 관련 정보를 제공하고 있다. 주요기반시설에서 이용하는 IoT(중요 IoT 기기⁽¹⁰⁾))의 경우, NICTER⁽¹¹⁾)이나 네트워크 스캔을 활용하여 비밀번호가 설정되어 있지 않거나 비밀번호를 설정하는 인증 화면이 웹상에 공개되어 있는 등 취약한 중요 IoT 기기를 검출하고, 이를 조치할 수 있도록 기기 소유자 또는 운영자, 필요시 제조업체에 관련 기술적 또는 관리적 보안 대책 정보를 제공한다. 또한 정보통신연구기구(NICT⁽¹²⁾)는 IoT 기기를 악용한 사이버공격에 대응하기 위해 일부 개정된 「NICT법」에 근거하여 보안이 취약한 IoT 기기를 조사하고, 해당 이용자에게 보안대책을 안내하는 NOTICE 프로젝트(’19.02~)를 시행하고 있다. 즉 NICT는 인터넷을 통해 외부에서 접근할 수 있는 IP카메라, 센서 등 IoT 기기를 대상으로 취약한 비밀번호(예. 추측 가능한 비밀번호)가 설정되어 있는지 등을 확인하고 사이버공격에 악용될 가능성이 있는 기기를 식별한다. 이와 같이 보안 취약점이 확인된 기기는 송수신 IP 주소, 통신 일시, 통신 이력 등이 자동으로 기록되므로, 조치가 필요한 기기에 대한 정보를 ISP사업자에게 통지한다. 통지를 받은 사업자는 해당 기기를 사용하는 이용자에게 메일 등을 통해 주의 사항을 안내하고, 이용자는 NOTICE⁽¹³⁾ 지원센터를 통해 비밀번호 설정 변경, 펌웨어 업데이트 등 적절한 보안대책과 조치사항을 지원받을 수 있다.

(3) 민간 주도 IoT 기기 보안인증제도 운영

일본은 산업계 관계자들을 중심으로 민간 기관의 주도 하에 IoT 보안 관련 가이드라인 개발, IoT 기기 시헝·검증 등을 수행하고 있다. 특히 IoT 기기 보안인증제도의 경우에는 크게 제어시스템 구축·운영 환경에서 사용되는 임베디드 기기를 대상으로 하는 EDSA 인증과 자동차, 의료기기 등과 같이 분야별 제품을 대상으로 하는 CCDS 인증으로 나눌 수 있다.

EDSA 인증은 ISCI(ISA Security Compliance Institute)에서 개발한 제어장치의 임베디드 기기를 대상으로 한 보안보증 프로그램으로 제어시스템보안센터(CSSC⁽¹⁴⁾) 인증Lab이 임베디드 기기의 보안성을 평가· 인증한다. 국제표준인 IEC62443-4을 기반으로 ISASecure EDSA 요구사항을 도출하고, 소프트웨어 개발 보안 평가 (SDSA⁽¹⁵⁾), 보안기능 평가(FSA⁽¹⁶⁾), 통신의 견고성 시험(CRT⁽¹⁷⁾), 총 3개의 분야로 구분하여 각 분야별로 세부 항목을 평가한다. CCDS는 생활에서 주로 사용하는 IoT 기기를 대상으로 위협분석 및 위험평가 방법, 제품의 생명주기 단계별 보안대책 등 제품 분야별 보안 가이드라인을 개발하고, 이를 활용하여 인증 프로그램(’19.10~)을 운영하고 있다. 먼저 IoT 분야 공통 보안 요구사항을 도출하고, 차량 내 탑재된 기기, IoT 게이트웨이, ATM, POS 등 산업계에서 요구하는 분야별 요구사항을 추가하여 시험·평가한다. 또한 그 외 IoT 시스템 조달을 위한 보안 요구사항 프레임워크, 자가 점검용 도구 등을 제공하고 있다.

<표 4> IoT기기 보안인증제도 비교

4. 시사점 및 결론

일본은 정부 차원에서 ‘제4차 산업혁명’의 개념을 적극 수용한 국가로서 일본사회가 직면한 사회적 문제를 해결하고 지속적인 경제성장을 목표로 제4차 산업혁명 대응 정책을 수립·추진한다. 특히 일본 정부는 제4차 산업혁명의 핵심동인을 ‘데이터’로 이해하고, 현실세계의 데이터를 수집하는 기점이 되는 IoT 관련 정책을 중점적으로 추진한다. 따라서 민간 기업들이 새로운 비즈니스 창출을 위해 IoT를 도입할 수 있도록 촉진하는 정책을 시행함과 동시에 사이버공격 등 발생 가능한 보안위협에 대응할 수 있는 안전한 IoT 시스템을 구축하기 위한 IoT 보안 정책을 시행하고 있다. 따라서 IoT 보안의 목표 및 기본원칙, 접근방식 등을 분석한 결과, <그림 1>와 같은 일본 IoT 보안정책 프레임워크를 구성할 수 있다.

일본 정부는 민간 기업이 IoT를 활용하여 새로운 가치를 창출하고 해외시장에서의 경쟁력을 높이기 위해 안전성(Safety)과 보안성(Security)을 서비스품질에 있어 필수 불가결한 요소로 정의하고, 이를 만족하는 시스템이 안전한 IoT 시스템으로 정의한다. 따라서 ‘Security-by-Design’ 기본원칙에 따라 IoT 시스템 전체의 보안을 확보하기 위해서는 데이터뿐만 아니라 IoT 시스템의 각 계층 및 연계 구간에서의 안전성(Safety) 및 기밀성(C), 무결성(I), 가용성(A)을 유지해야 한다. 또한 IoT 시스템의 복잡도가 증가하고, 예측 불가능한 보안위협의 발생이 높아짐에 따라 장애나 침해사고 이후 신속하게 서비스를 복구할 수 있도록 ‘복원력(Resilience)’도 IoT 시스템의 보안요소에 포함될 수 있다. 안전한 IoT 시스템을 구축하기 위해서는 IoT 기기, 서비스 등을 대상으로 법령에서 규정하는 공통 보안요구사항과 해당 시스템이 도입되는 산업분야별 특성에 따른 추가 보안요구사항을 충족해야 하고, 시스템 간의 상호 연계 시에는 위험평가를 실시하고 도출한 위험에 대해서는 수용 가능한 수준까지 위험을 완화하는 보호대책을 적용해야 한다. 또한 시스템의 생명주기를 고려하여 각 단계별 요구되는 보안대책을 실시한다.

다음으로 NISC, 총무성, 경제산업성 등에서 추진하는 IoT 보안정책을 분석한 결과 다음과 같은 특징과 시사점을 도출할 수 있다.

첫째, 일본은 산·학·관이 참여하는 민·관 공동협력체계(Public-Private Partnership)를 기반으로 IoT 보안정책을 수립하고, 각 분야별로 워킹그룹(Working Group)을 구성하여 IoT 보안정책을 보다 세분화하였다. 예를 들어, IoT 추진 컨소시엄은 IoT 기기, 서비스 등 전반적인 IoT 시스템에 대해 보안을 확보하기 위해 IoT 보안 가이드라인을 개발하고, CCDS는 생활기기를 중심으로 공통 보안 요구사항을 정의하고, 산업 분야별로 특화된 위험분석 방안, 보안대책 등을 제시하였다. 총무성, 경제산업성 등 정부기관은 민간 부문에서 제시한 정책제안에 대해 검토한 후 관련 법·제도를 정비하는 등 추진과제를 수립·시행하였다.

둘째, 일본 IoT 보안정책은 제4차 산업혁명(Society) 구현에 대한 ICT 정책과 사이버보안전략과의 일관성을 유지하면서 보안이 내재화된 IoT 기반 조성과 핵심 원천기술 개발을 중심으로 추진되고 있다. 총무성의 IoT 보안 종합대책을 살펴보면 기존의 IoT 종합전략에서 정의한 4계층의 IoT 시스템 구성 모델을 기반으로 사이버보안전략에서 제시한 연구개발, 인력양성, 국제협력 등을 고려하여 구체적인 수행계획을 제시하고 있다. 또한 총무성은 관련 법령 개정을 통해 IoT 기기를 포함한 단말기 보안에 관한 법적 요구사항을 강화하고, NICT의 협력 하에 보안이 취약한 IoT 기기를 조사한 후 발생 가능한 사이버공격을 사전에 차단하기 위해 조치방안 등 관련 정보를 제공하고 있으며, 스마트시티, 5G 보안 등과 같이 서비스, 네트워크 계층에서의 보안대책은 연구개발을 통해 확보하고자 한다.

셋째, 일본 IoT 보안정책은 주기적인 검토를 통해 기존의 정책을 지속적으로 보완하고 있다. IoT 보안대책에 관한 로드맵을 작성하고, 주기적으로 추진과제 현황을 확인하여 분야별로 개선사항을 도출하였다. 또한 IoT·5G 보안종합대책을 살펴보면 5G의 상용화에 따른 신규 위험의 발생 가능성 증가, 공급망 위험관리 및 데이터 유통·관리의 필요성, 사이버보안에서의 AI 활용 등 변화하는 ICT 환경에서의 새로운 보안위협에 선제적으로 대응하고자 5G 보안대책을 추가하는 등 기존의 보안대책을 보완하였음을 알 수 있다.

[참고문헌]

1) 최혜옥, 최병삼, 김석관, 일본의 제4차 산업혁명 대응 정책과 시사점, 동향과 이슈 제30호, 과학기술정책연구원, 2017.05

2) 일본 사물인터넷 추진동향, NIA 기술지원본부 연구보고서, 한국정보화진흥원, 2017.12

3)일본 전기통신사업법 및 NICT법 개정에 따른 총무성령 공표 및 시행, 인터넷 법제동향 Vol.135, 한국인터넷진흥원, 2018.12

3) 일본 총무성 및 NICT IoT 보안대책 프로젝트 NOTICE 실시, 인터넷 법제동향 Vol.137, 한국인터넷진흥원, 2019.02

4) IoTセキュリティガイドライン ver1.0, IoT推進コンソーシアム, 総務省,, 経済産業省, 2017.04

5) つながる世界の開発指針~安全安心なIoTの実現に向けて開発者に認識してほしい重要ポイント~(第2版), IPA, 2017.07

6) 安全なIoTシステムのためのセキュリティに関する一般的枠組, NISC, 2016.08

7) IoTセキュリティ対応マニュアル 産業保安版, 経済産業省, 2019.04

8) IoT開発におけるセキュリティ設計の手引き, IPA, 2019.04

9) サイバー・フィジカル・セキュリティ対策フレームワーク Ver1.0, 経済産業省 商務情報政策局, 2019.04

10) IoTセキュリティ総合対策プログレスレポート２０１９, 総務省　サイバーセキュリティタスクフォース,2019.05

11) IoT·5Gセキュリティ総合対策, 総務省　サイバーセキュリティタスクフォース, 2019.08

12) 情報通信白書(令和元年版), 総務省, 2019.07

13) https://www.ccds.or.jp/index.html

14) https://www.ipa.go.jp/security/iot/index.html

15) https://www.nisc.go.jp/

16) https://www.meti.go.jp/

17) https://www.soumu.go.jp/