IoT 보안

설계, 개발 단계

보안원칙1: 정보보호와 프라이버시 강화를 IoT 제품 서비스 설계

보안원칙2: 안전한 소프트웨어 및 하드웨어 개발 기술 적용및 검증

배포, 설치, 구성단계

보안원칙3: 안전한 초기 보안설정 방안 제공

보안원칙4: 안전한 설치를 위한 보안 프로토콜 준수 및 안전한 파라미터 설정

운영,관리,폐기 단계

보안원칙5: IoT 제품 서비스의 취약점 보안패치 및 업데이트 지속 이행

보안원칙6: 안전한 운영, 관리를 위한 정보보호 및 프라이버시 관리체계 마련

보안원칙7: IoT 침해사고 대응체계 및 책임 추적성 확보 방안 마련

IoT 장치가 갖는 저전력, 저성능 특성을 고려하여 기밀성, 무결성, 가용성 등의 보안 서비스를 경량화 하여 구현하는 방안을 고려한다.

IoT 서비스에서는 IoT 제품및 서비스에 대해 서비스 운영 환경에 맞는 접근권한 관리및 인증, 종단 간 통신보안, 데이터 암호화 등의 방안을 제공해야 한다.

IoT 제품 및 서비스 수준에 따라 소프트에어 또는 하드웨어 보안기술의 적용 가능성을 컴포하며, 실제 적용 시에는 안전성이 검증된 보안기술이나 표준 보안기술을 활용한다.

IoT 제품및 서비스는 수즙하는 혹은 수집된 개인정보, 프라이버스 등과 관련된 민감 정보를 보호하기 위해 암호화, 비식별화, 접근관리, 무결성 확보및 인증 방안등을 제공해야 한다.

IoT 서비스 제공자는 사용자에게 개인정보 등 수집되는 민감정보의 이용 목적과 사용범위, 이용기간 등을 포함한 운영정책을 수립하고 이를 사용자에게

공개함으로써 민감 정보 이용에 대한 투명성을 최대한 보장한다.

소스코드 구현단계부터 내재될 수 있는 보안 취약점을 사전에 예방하기 위해 IoT 제품및 서비스 개발시, 시큐어 코딩을 적용한다.

IoT 제품, 서비스 개발에 사용되는 다양한 S/W 에 대한 취약점 점검을 수행하고 취약점 발생시 안전한 방법으로 보안 패치를 적용할수 있어야 한다.

IoT 서비스 수준과 하드웨어 보안성을 고려하여 부채널 공격, 역공학 기반 공격등 다양한 하드웨어 공격에 대응하는 수준별 보안 기법을 적용해야 한다.

IoT 제품 및 서비스의 초기 설치 단계와 고장 수리후 재설치 단계에서 보안 프로토콜에 기본으로 설정되는 파라미터 값이 가장 안전한 설정이 될수 있도록

"Secure by Default" 기본 원칙을 준수해야 한다.

IoT 제품 개발자와 서비스 제공자는 데이터 통신및 개방형 플랫폼에서 검증된 보안 프로토콜 혹은 표준 보안 프로토콜을 적용하고

보안서비스 제공시 안전한 파라미터들이 설정될수 있도록 해야 한다.

IoT 장체 제조사와 서비스 제공자는 IoT 제품 서비스에서 보안 취약점이 발견되면 이에 대한 분석을 수행하고, 보안 요구사항을 반영한 보안패치를 신속히 배포할수 있도록

사후 조치 방안을 마련해야 한다.

IoT 제품, 서비스에 대한 보안취약점 정보(제품, 서비스명 및 모델번호, OS 종류, 버젼, 취약점 내용)와 보안 취약점을 해결하기 위한 방법을 홈페이지, SNS, 이메일등 다양한

방법으로 사용자에게 공개해야 한다.

최소한의 개인정보만 수집, 활용될수 있도록 개인정보보호정책을 수립해야한다. 개인정보보호정책 수립 시에는 빅데이터 분석과정에서 특정 개인을 식별할수 있는 새로운

개인정보가 생성, 유통될수 있기 때문에 이를 적절히 통제할 수 있는 기술적 관리적 보호조치도 포함되어야 한다.

IoT 서비스는 다양한 유형의 IoT 장치, 유무선 네트워크 장비, 플랫폼 등으로 구성되며, 각 영역에서 발생 가능한 보안 침해사고에 대비하여 침입탐지 및 모니터링이 수행되어야 한다.

침해사고 발생 이후 원인분석 및 책임 추적성 확보를 위해 로그기록을 주기적으로 안전하게 저장, 관리해야 한다.