‘IoT 보안인증’ 건수 0건…“보안인증 의무화 검토해야”

인공지능(AI) 스피커 가입자 수가 1600만명에 달할 정도로 국민적 관심도가 높아졌지만, 국내 주요기업의 인공지능 스피커 중 보안인증을 받은 회사는 전무해 사물인터넷(IoT) 기기 보안에 구멍이 생겼다는 지적이 나오고 있다.

최근 국회 과학기술정보방송통신위원회 소속 변재일 의원(더불어민주당)이 과학기술정보통신부(과기정통부)로부터 제출받은 자료에 따르면, 국내 주요 가전사(삼성전자, LG전자), 이통사(SKT, KT, LGU+), 플랫폼사(네이버, 카카오)의 AI 스피커 가입자는 1610만명에 달하는 것으로 집계됐다.

이는 올 3분기 기준 주민등록 인구 수 5166만명 대비 31%, 가구수 2338만호 대비 68.8%에 달하는 규모다. AI 스피커 이용이 일상이 됐음을 보여주는 결과라고 변 의원은 설명했다.

하지만 AI 스피커 가운데 한국인터넷진흥원(KISA)이 IoT 기기 보안 강화를 위해 지난 2017년 12월 도입한 ‘IoT 보안인증’을 획득한 업체는 한 곳도 없던 것으로 드러났다. AI 스피커는 소프트웨어 해킹 등을 통한 도청 위험이 있다는 지적이 계속돼 왔으며, 개인의 대화를 녹음해 저장하는 운영방식의 문제도 있다는 지적이 제기돼왔다.

AI 스피커 운영사 대부분은 지난 2019년 말부터 옵트아웃 방식을 적용해 사후 음성저장 거부권을 이용자가 행사할 수 있도록 하고 있다. 그러나 옵트아웃 시행 비율은 삼성전자만 49%로 높을 뿐, SKT 0.2%, 카카오 0.14%, KT 0.11% 등으로 대부분 저조한 것으로 나타났다.

변 의원은 지난 8일 국회 과방위 국정감사에서 AI 스피커에 대한 문제를 지적했다. KISA가 운영하는 ‘IoT 보안인증’을 획득한 AI 스피커 업체가 전무하다는 게 핵심이었다.

이날 이원태 KISA 원장은 “IoT 기기 범위가 엄청나게 다양해 중요도에 따라 차등 적용하고 있다”고 해명했다. 이에 변 의원은 “중요도에 따라서 한다고 했는데, 의무화된 IoT 기기가 있는가. 없지 않나. 그렇다면 법 집행을 잘못하고 있는 것”이라며 “사업자의 (IoT 보안인증) 의무 이행은 법을 집행하는 자가 판단해야 하고, 이들이 의무를 이행할 수 있도록 행정입법을 해야 한다. 법과 제도를 다시 만들어서 개선방안을 제출하라”고 꼬집었다.

변재일 의원은 “인공지능 스피커 등 국민의 이용빈도가 높고 생활과 밀접한 스마트홈 IoT 서비스 등과 관련해서는 IoT 보안인증 제도 의무화를 도입해 국민들이 보다 보안성이 높은 제품을 선택할 수 있도록 돕고, 기업에게는 높은 보안성을 유지할 의무를 부여할 필요가 있다”면서 “5G 네트워크 등 인프라를 기반으로 더욱 증가할 것으로 예측되는 IoT의 보안강화를 위해 IoT 보안인증 제도의 효율적 운영 방향을 검토해야 할 시점”이라고 강조했다.

조택영 기자 cty@viva100.com