[테크월드뉴스=양승갑 기자] “제품 설계 단계부터 취약점을 고려해 기본 보안을 내장하고 업데이트가 가능한 구조로 신뢰성 높은 소프트웨어를 만들어야 합니다.”

배차호 엔트리연구원 AI·SW보안센터장은 23일 인천 송도 컨벤시아에서 열린 AI 보안 혁신 서밋 ‘AI 시큐리티 넥스트 2025’에서 이같이 말했다.

이날 배 센터장은 ‘국내외 주요국 사이버보안 제도 동향’을 주제로 발표하며 “최근 각국이 AI와 사물인터넷(IoT) 확산에 대응해 사이버보안 규제를 강화하고 있다”고 짚었다.

이에 따르면 유럽연합(EU)은 디지털 요소가 포함된 하드웨어와 소프트웨어 제품에 대해 사이버보안 요구사항을 명시한 ‘유럽 사이버 복원력법(CRA)’을 제정했다. 제품의 전체 수명 주기에 걸쳐 보안을 확보해야 한다는 점이 핵심이며 기업은 이에 대응하기 위해 제품 개발 단계부터 사전적인 보안 설계와 준비가 필요하다는 것이 골자다.

영국의 경우 유무선 제품의 보안을 강화하기 위한 규제 인증 체계 ‘PSTI(Product Security and Telecommunications Infrastructure)’를 마련했다고 언급했다. 스마트TV·라우터 등 가정용 IoT 기기에도 보안 업데이트, 취약점 보고 체계를 마련해야 한다는 내용이다. 미국은 소비자가 제품의 보안 수준을 확인할 수 있도록 ‘사이버보안 라벨링 프로그램’을 도입했다고 밝혔다.

다만 배 센터장은 국내 IoT 보안인증 제도는 자율인증 중심으로 운영되고 있으며 국제 인증체계와의 호환성 부족이 문제된다고 지적했다.

그는 “KC 인증에 포함되지 않았으므로 해외 시장에서의 인정도가 낮고 실제 인증 건수도 많지 않다”고 말했다.

이에 따라 사이버보안 시험·인증체계의 방향을 제시했다. 무선기기 보급의 확대에 따라 보안 위협이 증가하는 가운데 안전한 제품의 출시를 위해 사이버보안 설계의 의무화가 필요하다는 것이다. 특히 보안은 ‘사후 대응’보다 ‘사전 예방’이 필요하다는 점을 강조했다.

또 제품 설계 시 ▲취약점 최소화(불필요한 기능 제거 및 안전한 구성 설정 제공) ▲기본 보안 설정(출고시 보안성 높은 초기 설정 적용) ▲보안 업데이트 가능성(업데이트 기능과 무결성 검증 포함) ▲신뢰성 있는 소프트웨어 구현(코드 검증·시큐어 코딩·외부 라이브러리 검증) 등을 고려해야 한다고 설명했다.

그는 “디바이스나 애플리케이션, USB나 모니터의 터치스크린 등에서 데이터 탈취 사례가 발생하므로 유럽이나 미국에서 이런 요구사항을 만들어 공유하고 있는 것”이라며 “엔트리연구원은 이런 요건을 점검하고 리포팅하는 ‘전선’에 서 있다”고 말했다.

TECHWORLD ONLINE NEWS(뉴스 링크)