본문 바로가기

화웨이 "문제 없다" 해명했지만···5G망 보안 인증 충돌

중앙일보 2019.02.28 16:13
5G(5세대) 이동통신과 관련한 장비 보안성을 놓고 화웨이와 우리 정부가 각기 다른 입장을 내놨다. 화웨이는 최근 계속 제기되는 장비 보안 논란에 대해 "삼성·노키아 등 다른 기업들이 밟지도 않은 인증 절차를 거치는 중"이라고 주장했지만, 과학기술정보통신부는 "자체적으로 설정한 기준에 따른 인증을 받은 것일 뿐"이라고 반박했다.
 
26일(현지시간) 스페인 바르셀로나 MWC 2019에서 미구엘 바농E&E 대표가 한국 기자들과 만나 화웨이 5G 장비 보안검증에 대해 설명하고 있다. [사진 한국화웨이]

26일(현지시간) 스페인 바르셀로나 MWC 2019에서 미구엘 바농E&E 대표가 한국 기자들과 만나 화웨이 5G 장비 보안검증에 대해 설명하고 있다. [사진 한국화웨이]

화웨이는 26일(현지시간) 스페인 바르셀로나에서 열린 MWC 2019에서 한국 기자들을 대상으로 보안 검증과 관련한 간담회를 열었다. 이 자리에는 스페인의 정보보안 평가 기관 E&E의 미구엘 바농 대표가 참석해 5G 장비 인증 과정에 대해 설명했다.
 
E&E는 정보기술(IT) 장비 보안 검증 절차를 규정한 국제 규격(ISO 15408) 준수 여부를 평가하는 'CC 인증'을 진행하는 기관이다. CC 인증은 총 7개 레벨(1단계~7단계)로 구성되어 있는데, 이번에 논란이 되는 5G 등 유무선 통신 장비는 물론 운영체제(OS), 단말기 등에 대해 인증도 한다. 국제 인증 과정이기 때문에 만약 유럽에서 CC 인증을 받으면 한국·미국 등 30개 국가에서도 인증에 대한 효력이 발생한다. 이는 정부 간 협약에 따른 것이다. "유럽에서는 보통 레벨4, 한국·미국에서는 레벨2를 만족하면 된다"는 게 E&E의 설명이다.
 
CC 인증은 보통 인증을 희망하는 기업이나 정부가 인증을 의뢰하면서 시작된다. E&E는 현재 화웨이와 스페인 정부의 의뢰를 받아 화웨이의 5G 무선 기지국 장비에 대한 검증에 착수한 상태다. 최종 결과는 가을에 나올 예정이다. 무선 기지국 장비는 2년에 한 번씩 점검 절차를 밟아야 인증서 효력이 유지된다.
 
바농 대표는 한국 취재진에게 "화웨이는 5G 장비 제조사 중에서도 유일하게 기지국 장비 보안 검증을 의뢰했다"며 "삼성전자·에릭슨·노키아 등은 통신 장비에 대한 보안 검증을 의뢰한 적이 없다"고 설명했다. "다른 전문 인증 기관에 인증을 의뢰했을 가능성도 있지 않냐"는 취재진의 질문에 그는 "최근 2주 이내에 신청한 것이 아닌 이상 내가 모를 리가 없다"고 말했다.
 
바농 대표는 또 "인증 과정에서 가장 중요한 점은 해당 장비에 취약한 점이 있는지 여부인데 아직 테스트 중이지만 화웨이 장비가 보안 기준에 미달하는 점은 발견되지 않았다"고 덧붙였다. 
E&E가 "화웨이 외 인증 절차를 밟고 있는 5G 통신 장비가 없다"는 입장을 내놓자, 일각에서는 국내 이동통신사들이 5G 통신망을 구축하면서 전문 보안 인증을 받지 않았다는 의문이 제기됐다. 이에 과기정통부는 28일 오전 해명 자료를 내고 "보안 전문가, 통신사들과 함께 모든 5G 장비에 대한 철저한 보안 검증을 진행하고 있다"고 반박했다.
 
과기부는 "E&E가 화웨이의 5G 장비에 대해 진행 중이라는 CC 인증은 자체적으로 설정한 보안 수준에 대해 평가하는 것"이라며 "특정 국가에서 요구하는 보안 수준을 평가하는 것은 아니다"라고 강조했다.
 
과기부에 따르면 E&E가 진행 중인 CC 인증은 'ST(Security Target) 방식'으로 진행되는 것이며, 이는 제조사가 스스로 보안 수준을 설정하고, 이를 제대로 준수하고 있는지를 평가하는 것이다. 정부에서 수용할 수 있는 CC 인증은 'ST 방식'이 아닌 'PP(Protection Profile) 방식'이다. PP 방식은 정부 등 통신 장비를 쓰려는 수요자가 보안 요구 수준을 설정하고 이에 대한 평가를 진행하는 것인데, E&E가 진행 중인 CC 인증은 이와는 거리가 멀다는 것이다.
 
과기부는 "한국을 비롯한 주요 국가들은 민간 이동통신사의 통신 장비에 보안 인증을 요구하는 제도가 없고, 민간 통신사들이 자체적인 보안 검증을 거쳐 통신 장비를 도입해왔다"고 설명했다.
 
다만 과기부는 5G 보안의 중요성을 인식해 지난해 10월부터 보안 전문가와 통신사가 참여하는 '5G 보안 기술자문 협의회'를 구성해 운영하고 있다고 강조했다. 이 협의회는 국내외 5G 기지국 장비에 적용할 높은 보안 기준을 마련하는 것이 목표다. 여기서 설정한 기준을 토대로 각 통신사가 5G 기지국 장비에 대한 자체 보안 검증을 시행하고 있다는 것이다.
 
과기부는 "5G 보안 기술자문 협의회가 장비 자체의 보안성뿐만 아니라 장비를 운영할 때의 보안성까지도 함께 검증할 것"이라며 "모든 5G 기지국에 대한 철저한 보안 검증을 진행하고 있다"고 재차 강조했다.
 
하선영 기자 dynamic@joongang.co.kr
 
관련기사
공유하기
Innovation Lab
Branded Content
광고 닫기