[바르셀로나(스페인)=디지털투데이 백연식 기자] 중국 통신장비 업체 화웨이의 5G 통신 장비에 대한 보안 인증 결과가 이르면 올해 3분기 경에 나온다. 다만 스페인의 민간평가기관인 E&E(2006년 설립, Epoche & Espri)를 통해 진행 중인 화웨이의 인증은 화웨이가 자체적으로 설정한 보안수준에 대해 평가하는 것으로 특정 국가에서 요구하는 보안수준을 평가하는 것이 아니다.

ST(Security Target) 방식의 CC(Common Criteria) 인증인데 제조사가 스스로 보안수준을 정하고 이를 준수하는지 평가받는 것으로 제조사가 스스로 보안수준을 정하고 이를 준수하는지 심사가 이뤄지는 것이다. 정부가 최근 진행하고 있는 5G보안 기술자문협의회 역시 이와 비슷한 방식이다. 

현재 미국과 미국 우방들은 화웨이 장비에 백도어(back door, 인증 없이 전산망에 침투해 정보를 빼돌릴 장치)가 심어져 있다며 화웨이의 보안 문제를 지적하고 있다. 국내 5G 장비의 경우 LG유플러스가 이미 화웨이의 장비를 설치하고 있으며, SK텔레콤과 KT는 일단 배제했다. 하지만 비단독 모드인 5G SA(스탠드얼론) 시대가 열리고 보안 우려만 없다면 SK텔레콤과 KT 역시 화웨이의 장비를 사용할 가능성이 있다. 삼성전자에 비해 빔포밍 등 장비의 기술이 워낙 우위에 있는데다가 가격에 큰 장점이 있기 때문이다. 화웨이의 보안 문제는 5G 세계 시장 패권을 두고 미국과 중국의 경쟁 때문에 이뤄진 것이라고 보는 업계 전문가들이 많다.

보안 검증 나선 화웨이, MWC서 기자 대상 설명 

26일(현지시간) 오후, 한국 화웨이는 MWC 2019가 열리는 스페인 바로셀로나에서 스페인 보안 검증 연구소 ‘E&E(Epoche & Espri)’가 참석한 기자 간담회를 열었다. 이날 미구엘 바욘은 “화웨이 5G 통신 장비의 보안성을 검증 중”이라며 “인증 결과는 올해 가을쯤 나올 것으로 예상한다”며 “화웨이와 정부, 그리고 인증기관을 포함한 총 3주체가 진행하는 것이기 때문에 복잡하긴 하지만, 올해 가을 정도에 결과가 나올 것으로 예상하고 있다”고 말했다.

이어 “우리 연구소에서 진행되는 모든 기준은 국제 규격에 의해 진행된다”며 “우리는 정부의 인가를 받아서 테스트를 진행하는 연구소다. 보안 인증을 요청한 회사의 제품 상태가 정부가 요청하는 사항에 만족하고 있는지 여부에 대해 테스트한다”고 설명했다.

미구엘 바욘 E&E 최고경영책임자(CEO)가 자사의 보안 인증 방식에 대해 설명하고 있다
미구엘 바욘 E&E 최고경영책임자(CEO)가 자사의 보안 인증 방식에 대해 설명하고 있다

E&E는 스페인 정보 보안 평가 연구소로 정보통신기술(ICT) 장비를 테스트하고 취약성을 평가하며 네트워크 정보 보안 평가를 전문적으로 맡고 있다. E&E는 통신 장비 설계·개발을 포함해 실제 고객사에 납품되는 최종 장비까지의 범위에 대해 보안 평가를 한다. 이 중 대표적인 것이 커먼 크리테리아(Common Criteria, CC) 테스트로 IT 장비의 보안을 검증하고 인증을 발급한다. CC 테스트 단계는 총 7개 레벨이 있는데, 레벨이 높을수록 엄격한 보안 인증 절차가 이뤄진다. 화웨이 장비가 받는 인증 절차 방식은 레벨 4다. 90%에 달하는 주 고객사는 글로벌 기업들로 이 중 50%가 미국 기업이고 나머지는 중국 기업이다.

바욘 CEO는 “우리가 진행하는 화웨이 장비 보안 평가 기준은 다른 통신업체들과 동일하다”며 “레벨 4는 통신업체가 통상적으로 가장 높게 획득할 수 있는 레벨로 소스코드 검사가 포함됐다. 레벨 7은 결제 기능이 있는 칩 같은 IT 기기가 받을 수 있다”고 설명했다.

E&E가 의뢰 회사 제품의 보안 인증 결과를 각 나라 정부 쪽에 통보하면 정부가 이를 확인하고 보안 인증서를 발급해주는 방식이다. 바욘 CEO는 “(LG유플러스가 사용 중인) 화웨이 말고는 보안 인증서 발급 예정인 통신 장비 업체가 없다”며 “화웨이만이 유일하게 보안 인증 검사를 받고 있는 업체다. 또 인증서 발급 이후에도 매년 보안 인증을 갱신하기 때문에 이 부분에 대해서는 긍정적으로 생각해도 될 것 같다”고 강조했다.

보안 검증 업체 "정부가 실제 고객...검증 결과 신뢰도 높다"

화웨이는 E&E의 보안 인증 비용을 일정 부분 부담하는 것으로 알려졌다. 이에 따라 ENE의 보안 결과를 신뢰할 수 있냐는 지적도 나온다. 바욘 CEO는 결국 정부 쪽이 실제 고객이기 때문에 그럴 걱정은 없다고 주장했다.

바욘 CEO는 “우리가 하는 비즈니스는 결국 정부 쪽에 제출하는 리포트가 목적”이라며 “우리의 고객은 화웨이 같은 업체가 아니라 정부다. 만약에 정부 쪽에서 우리의 리포트를 인증하지 않고 의문을 제기하게 된다면, 독립성을 잃게 돼 회사의 존립이 위험하다”고 말했다.

이에 대해 정부는 화웨이가 E&E를 통해 받는 인증은 ST(Security Target)방식의 CC인증이라며 4년 전에도 화웨이는 같은 것을 받았다는 입장이다. 과학기술정통부는 2018년 10월부터 보안전문가와 이통사가 참여하는 5G보안 기술자문협의회를 구성·운영하고 있는데, 이것과 ST 방식의 CC인증은 비슷하다고 정부 측은 설명했다. PP(Protection Profile)방식의 CC인증은 일반적 CC평가방식으로 국가·단체 등 IT제품 수요자가 보안요구수준을 정하면, 이에 따라 평가받는 방식이다. PP방식의 CC인증의 예로는 정부기관에 납품되는 방화벽 등이 있다. 과기정통부에 따르면 현재 기지국 장비에 대한 PP 방식의 인증은 전 세계 어느 나라도 받은 적이 없다.

박준국 과기정통부 정보보호산업과장은 “우리나라와 주요국들은 민간이통사의 통신장비에 보안인증을 요구하는 제도를 가지고 있지 않으며, 민간이통사가 자체 보안검증을 거쳐 통신장비를 도입하고 있다”며 “최근 정부는 5G보안 기술자문협의회를 구성·운영하고 있는데, 협의회에서 논의를 거쳐 3GPP 등 국내외 통신장비 보안기준 등을 종합해 높은 수준으로 5G 기지국 장비에 대한 보안기준을 마련하겠다”고 말했다.

저작권자 © 디지털투데이 (DigitalToday) 무단전재 및 재배포 금지

관련기사