[the300][2025 국정감사]
이정헌 더불어민주당 의원이 가정에서 사생활 데이터를 수집할 수 있는 해외 IoT(사물인터넷) 기기 업체에 대한 우리나라의 보안인증 제도가 유명무실하다며 실효성 있는 대책 마련을 촉구했다.
이 의원은 21일 서울 여의도 국회 과학기술정보방송통신위원회(과방위) 국정감사에서 류제명 과학기술정보통신부 2차관, 이상중 한국인터넷진흥원장과의 질의 시간에 자신이 구입한 중국산 로봇청소기 '로보락'을 보여주며 "카메라뿐 아니라 마이크도 설치돼 있고, 블루투스가 연결돼 있어서 집 내부의 데이터를 다 수집한다. 해커가 마음만 먹으면 원격으로 카메라를 조종할 수 있다"고 말했다.
이 의원은 "로보락 업체는 공식적으로 프라이버스 보호를 강화하고 있고 보안 강화를 약속하고 있다"며 "그럼에도 우려되는 점들이 한둘이 아니다. (로보락 업체 홈페이지 내 '개인정보 처리방침'을 보면) 개인정보를 중국에서 수집해 처리할 수 있고, 개인정보 처리활동이 공익적, 과학적 목적에 기반한 경우 이것을 계속 보유할 수 있다는 내용이 담겨 있다"고 했다.
이어 "일상에서 자주 쓰는 로보락 같은 IoT 기기의 문제점, 또 개인정보 유출이나 해킹을 막기 위해 IoT 보안 인증을 하고 있다"며 "국내, 해외 기업의 IoT 보안 인증 신청 현황을 보면 올해 상반기까지 13개 업체가 신청을 했다. 지난해는 33개 업체였다. IoT 관련 제품을 생산하는 업체들은 3000여곳에 이른다. 매출은 25조원에 이를 정도로 커지고 있는데, 13개 업체밖에 하지 않은 것"이라고 했다.
그러면서 "한국인터넷진흥원에서 실시하는 보안인증을 얼마나 받았나 살펴보니 해외 업체는 아무 데도 받은 곳이 없다"며 "IoT 보안인증을 하면 뭐하나. 한국에 수출하는 업체들이 보안 인증 자체를 무시해버리는 것"이라고 했다.
이 의원은 "가장 높은 수준인 스탠더드 레벨 인증을 받은 것은 삼성전자 제품 4개밖에 없다"며 "보안인증 자체가 의무도 아니고 자율이다 보니 해외 업체들은 전혀 상관하지도 않는다. 굳이 해야 할 필요성을 못 느끼는 것이다. 국내 업체들도 굳이 돈과 시간을 써가면서 보안인증을 받으려 하지 않는다"고 했다.
이어 "보안인증을 받으려면 최소 600만원에서 최대 2000만원까지 들어가는데, 다른 업체도 다 안 하니 자기들도 할 필요가 없다고 생각하는 것"이라며 "보안인증 제도를 의무화하면 자칫 통상에서 문제가 될 수 있어서 신경을 안 쓸 수도 없다"고 했다.
그러면서 "미국의 경우 사이버 보안 라벨링 프로그램을 발표했다. 핀란드도 라벨 제도를 유럽 최초로 시행했다"며 "실효성 있는 대책을 서둘러 마련해야 한다"고 했다.
