사물 인터넷(IoT)는 지난 2년 동안 엄청난 속도로 성장했다. 스마트 자동차, 스마트 가전, 구글 홈 및 알렉사와 같은 가정용 오디오 도우미 등이 최근 등장했다. 그러나 여러 조사에 따르면 이러한 장치의 보안에 관해 기업, 국회의원 및 시민들이 끊임없는 논쟁을 계속하고 있다.

IoT는 편리하지만 해킹당할 위험이 크다.

미국 상원의원인 스티브 데인즈, 코리 가드너, 마크 워너, 론 와이든 등은 최근 법안을 발의했다. IoT 사이버 보안 개선법 2017이다.

이 법안에는 두 가지 주요 조항이 있다. 하나는 정부에 대한 새로운 조달 요구 사항을 제안하며 관리 및 예산국에 대한 감독 권한을 부여하는 것이다.

즉 정부가 연결된 인터넷 장치를 구입할 때 해당 공급 업체는 보안 취약점이 있는지 반드시 언급해야 한다는 것이다. 이 조항을 준수하지 않으면 특별 면제를 받아야 한다.

두 번째는 컴퓨터 사기 및 남용 법 및 디지털 밀레니엄 저작권법(Digital Millennium Copyright Act)과 같은 현행법에 대한 면제다. 컴퓨터 연구 커뮤니티는 현재 이러한 유형의 법안을 오랫동안 추진했다.

그런데 이 법안에는 애매한 부분이 있다. 이 법안은 연방 정부 기관에서 구입한 인터넷 연결 장치에 대한 최소한의 사이버 보안 운영 표준 제공 및 기타 목적으로 활용된다.

이 법안은 “인터넷 연결 장치란 인터넷에 연결할 수 있거나 인터넷과 정기적으로 연결되어 데이터를 수집, 전송 또는 수신할 수 있는 모든 물리적 객체”라고 정의한다.

즉, 모든 스마트폰, 태블릿 및 랩톱이 포함된다. 다시 말해 IoT 장치뿐만 아니라 인터넷에 연결되는 모든 장치가 해당되는 것이 애매한 부분이다.

또한 어떤 연구자가 보호받을 것인지 결정하는 것과 관련된 질문이 제기됐다.

새로운 법안은 “선의로, 사이버 보안 연구에 종사하는 사람들이 미국의 정부 부서 또는 기관에 종속된 인터넷 연결 장치를 사용할 경우, 그리고 이 종사자들이 국토 안보부의 국가 보호 및 프로그램 이사회가 발급한 가이드라인에 준수하여 행동한 경우 이들을 보호한다”라고 정의했다.

발견된 취약점에 대해 누가, 언제 보고를 받아야 하는지 책임 공개에 대한 정의가 핵심적인 문제가 된다.

또 민간 기업과 민간 연구원들은 혼란을 느낄 수밖에 없다.