화웨이 사이버보안 연구소 방문해보니 "보안 문제 있으면 제품 출하 불가능"
화웨이 사이버보안 연구소 방문해보니 "보안 문제 있으면 제품 출하 불가능"
  • 백연식 기자
  • 승인 2019.04.16 18:10
  • 댓글 0
이 기사를 공유합니다

ICSL의 철학, 많은 눈(many eyes) & 많은 손(many hands)
런정페이, 이윤보다 보안을 우위에 둬

[둥관(중국)=디지털투데이 백연식 기자] 화웨이 본사가 위치해 있는 선전시 근처 둥관시에는 사이버 보안 연구소가 있다. 화웨이의 단말이나 통신 장비 등 모든 제품들은 동관의 사이버 보안 연구소의 검증을 거친 후에 출하된다. 화웨이는 보안과 관련해 전략 수립, 법률, 협력, 검증 등 12개 영역으로 구분해 운영하고 있다. 이곳 동관에 위치한 ICSL(Independent Cyber Security Lab)은 보안 부분에서서 가장 중요한 검증을 맡고 있다. 화웨이 제품 보안에 실제 문제가 발생할 경우, 또는 보안 문제점이 해결되지 않았다고 이곳에서 판단할 경우 화웨이의 완성된 제품은 출하하지 못한다.

ICSL의 철학은 많은 눈(many eyes), 많은 손(many hands)으로 완전 독립적으로 운영된다. 화웨이가 보안에 대해 매우 신경쓰고 있다는 것을 알 수 있는 대목이다. 15일(현지시간) 오후 동관에 위치한 사이버 보안 연구소를 직접 방문했다. 다만 이곳을 방문할 때는 스마트폰이나 노트북 등을 들고 입장하는 것이 불가능했다.

야오린(Yaolin) ICSL 품질관리부장은 “화웨이 창립자인 런정페이 회장은 이윤보다 보안을 우위에 두고 있다. 제품의 보안 결함이 있을 경우 절대 납품을 하지 않는다”며 “켄후 화웨이 순환 CEO가 이끄는 GSPC(Grobal Cyber Security User Privacy Protection Committee)  총괄 위원회를 통해 프라이버시를 보호하고 전략 및 계획을 세운다. 이곳의 정보보호 담당자들은 1500여명이 근무하고 있다”고 말했다.

둥관에 위치한 사이버 보안 연구소 /사진=백연식 기자
둥관에 위치한 사이버 보안 연구소 /사진=백연식 기자

화웨이 사이버 보안 연구소의 경우 CC(Common Criteria)나 FIPS 등 업계 보안 표준을 따르고 있다. 사이버 보안 연구소는 존 서포크 GSPO(Global Cyber Security & Privacy Officer) 휘하에 있다. 존 서포크 GSPO는 CSTC(Cyber Security Transparency Center)와 ICSL을 맡는다.

야오린(Yaolin) 품질관리부장 부장은 “ICSL은 개발라인과 완전 분리해 제품에 대해 독립적인 평가가 가능하다”며 “개발된 제품이 보안 지적을 받고도 해결이 이뤄지지 않을 경우 존 서포크 GSPO가 제품의 출하를 거부할 수 있는 권한이 있다. ICSL은 자사가 발간하는 리포트를 근간으로 제품 보안 성능, 소스 코드 리뷰, 정보 보안, 프라이버시, 보안 시스템 개선 등 모든 것을 검증한다”고 강조했다. 그는 오픈 소스 방식이 보안이 완벽하게 이뤄지는 최선의 방법이라며 클라우드 방식을 통해 편리하게 다운로드를 받아 지원한다고 덧붙였다.

화웨이의 제품을 공급받는 업체마다 검증 요건이 다를 수 있다. 이에 대해 ICSL 측은 업체마다 별도로 검증이 이뤄지지 않고 동일한 절차를 따른다고 설명했다. 다만 업체에서 추가적인 사항이나 검증을 요청할 경우 더 검증을 추가적으로 진행하고 밝혔다.

대외협력을 맡는 조우위(Zhou Yu) ICSL 모의해킹부 부장은 “한번도 화웨이 장비에서는 백도어(시스템에 무단 침입할 수 있는 프로그램)가 발견된 사례가 없다”며 “만약 백도어가 발견될 경우 화웨이가 받는 타격이 매우 크다. 미국에서 의혹제기가 계속 이뤄지고 있는데 백도어 목적이 무엇인지, 근거가 무엇인지 공개된 적이 없다”고 설명했다.

네이버 뉴스 스탠드에서 디지털투데이를 만나보세요.
디지털투데이 뉴스스탠드 바로가기 - MY 뉴스 설정
관련기사