장비업계 "인증을 받는다고 기지국 보안 보장 안 돼"
(바르셀로나=연합뉴스) 채새롬 기자 = 한국 화웨이가 국내외에서 제기되는 통신 장비 보안 이슈에 대한 우려를 불식하기 위해 자사가 장비 검증을 의뢰한 정보보안 평가기관 CEO의 기자 간담회를 열었다.
하지만 화웨이 통신장비가 LG유플러스[032640]를 통해 이미 국내 구축됐고, 검증 결과는 올해 가을에나 나올 예정이어서 보안 검증 실효성에 대한 우려가 제기된다. 업계에서는 CC(공통평가기준) 인증을 받는다고 하더라도 기지국 보안이 보장되는 것이 아니라서 '면피용' 검증이라는 지적도 나온다.
화웨이 장비 검증을 맡고 있는 스페인 E&E 미구엘 바농 CEO은 26일(현지시간) 세계 모바일 전시회 'MWC 2019' 화웨이 전시장에서 열린 국내 기자 대상 간담회에서 "화웨이 5G 기지국·코어장비 보안 취약성에 대해 통상적으로 업계에서 가장 높은 레벨의 테스트를 진행중"이라며 "검증 결과는 올가을께 나올 것"이라고 말했다.
이 기관은 주로 자동차 안전성을 테스트하는 검증기관으로 잘 알려진 독일 '데크라'(DEKRA) 소속 정보보안 평가기관이다. 미구엘 바농 CEO는 데크라 부사장을 겸임한다.
E&E는 CC 인증 절차 1∼7단계 중 기지국 장비로서는 업계 가장 높은 보안 수준인 4단계 레벨에서 테스트를 진행 중이라고 설명했다. 이 단계는 장비의 인터페이스, 내부 설계, 소스코드, 보안 기능 등을 검증한다.
장비회사가 정부에 인증을 의뢰하면서 연구소를 선정하면 연구소가 검증한 뒤 이 결과를 정부에 제출하고, 정부에서 인증서를 발급하는 절차다.
화웨이 장비가 국내 이미 구축된 상황에서 가을께 결과가 나오면 보안 검증이 늦은 것 아니냐는 비판이 나온다. 보안 문제가 불거졌을 때 기지국을 철거할 수 있을지도 알 수 없다. 화웨이는 3∼4개월 전 스페인 정부에 5G 장비 검증을 의뢰한 것으로 알려졌다.
미구엘 바농은 이에 대해 "화웨이 장비는 정보보안 품질이 나날이 향상 중"이라며 "지난 9년 동안 화웨이와 협력 중인데, 화웨이 장비가 보안 기준 미달한 적이 없었다. 화웨이를 제외한 다른 장비회사는 CC인증 발급을 검증기관에 요청한 적도 없다"고 주장했다.
다른 장비회사는 보안 검증을 받지도 않지만, 화웨이만 유일하게 받는 업체이기 때문에 믿을 수 있다는 설명이다.
그러나 업계 주장은 이와 배치된다. CC 인증은 지금까지 알려진 외부 침입을 잘 막고, 알려진 보안 취약점에 대한 대비책을 잘 갖추고 있느냐를 판별하는 것이지만 개발자가 몰래 뒷문을 만들어놓는 개념인 백도어는 평소에 닫혀 있을 경우 존재 여부를 알기 어려운 것으로 전해졌다.
한 장비업체 관계자는 "CC 인증은 보안 관련 소프트웨어나 애플리케이션 대상 보안 검증 프로세스이고 기지국을 대상으로 한 것이 아니다"라며 "CC 인증을 받는다고 기지국 보안이 보장되지 않는다"고 전했다.
다른 장비업체 관계자 역시 "모든 장비업체가 출시 전 공인 기관에 보안 검증을 받는다"며 "CC 인증은 화웨이가 자사 필요에 의해 다른 기관에서 추가로 받는 것이라 화웨이만 유일하게 보안 검증을 받는다는 주장은 잘못됐다"고 설명했다.
인증 방식도 도마에 올랐다. CC는 기업이 자체 기준을 정해 이를 충족하는지를 검증받는 방식이다. 특히 연구소의 테스트 비용을 화웨이가 전액 부담한다.
미구엘 바농은 "우리가 작성한 리포트는 정부에 제출하기 때문에 화웨이를 포함한 고객사에 구애받지 않고 독립적인 결과를 낸다"고 강조했다.
E&E의 인증 결과가 나오더라도 결과를 신뢰하기 어려울 수 있어 파장이 예상된다.
유영민 과학기술정보통신부 장관은 26일(현지시간) 기자 간담회에서 "정부 차원에서 화웨이를 포함한 어떤 통신 장비에 대해서도 보증해주지 않을 것"이라며 "다만 정부는 보안에 대해 엄격한 기준을 요구할 것"이라고 말했다.
유 장관은 "보안에 대해서는 미국 정부 우려 이상으로 한국 정부도 우려하고 있다"며 "통신사도 장비사를 선정할 때 정부가 요구하는 기준에 따라 선정하게 될 것"이라고 말했다.
srchae@yna.co.kr