[MWC19] 국제인증기관 E&E "화웨이 장비 9년째 검증, 보안문제 없었다"

본문 글자 크기 설정
글자크기 설정 시 다른 기사의 본문도 동일하게 적용됩니다.

LTE때도 보안검증, 이상없어… "5G장비 검증결과 가을 목표"

[아이뉴스24 김문기 기자] "화웨이 장비를 LTE때부터 9년째 검증하고 있다. 현재까지 장비보안에 미달한 적도, 중간 보고서(취약상황시 전달하는)를 낸적도, 인증을 철회한 적도 없다. 5G 장비검증은 가을을 목표로 하고 있다. 원래 기준에 맞게 상세하게 테스트를 진행할 예정이다."

미구엘 바농 E&E(Epoche and Espri) CEO의 설명이다. 바농 CEO는 26일(현지시간) 스페인 바르셀로나에서 개막된 MWC19에서 한국기자들을 만나 화웨이 5G 장비 국제보안인증에 관한 진행상황을 설명했다.

E&E는 90년 역사의 정보보안 평가로 유명한 데크라(DEKRA) 소속의 국제공통평가기준(CC) 인증기관이다. 데크라는 독일에 세워졌으나 현재는 국제적으로 정보보안 관련 서드파티의 인증을 돕는 기관으로 잘 알려져 있다.

미구엘 바농 E&E CEO가 26일(현지시간) 국제보안인증 절차에 대해 설명하고 있다.
미구엘 바농 E&E CEO가 26일(현지시간) 국제보안인증 절차에 대해 설명하고 있다.

데크라는 '모두가 안전하고 정보보안에서 자유로운 세상에서 사는 것'을 목표로 전세계 50여국에 지사를 두고 있다. 인력만 약 4만4천명에 달하며 전세계에 30여개에 달하는 랩을 두고 있다. 다양한 상품에 대한 정보보안 검증을 진행하며 그 중에는 무선장비는 물론 비사이버 보안과 네트워크를 전문으로 평가하는 곳도 있다.

이중 E&E는 지난 2007년 설립돼 12년째 정보보안을 전문으로 평가하고 있다. 이번에 미국 등에서 불거진 화웨이 5G 장비 보안 논란과 관련 국제 검증을 맡았다.

바농 CEO는 "네트워크 정보보안 분야에서 최고 권위를 갖고 있다"며, "우리가 평가하는 범위는 장비 전체 라이프싸이클을 모두 포함해 제품 설계부터 개발, 실제 최종 장비에 고객사에 실제 납품한 장비 업데이트까지도 포함한다"고 설명했다.

◆정부 협약 통해 인증 업무, 30개 국서 인정

실제로 E&E와 같은 연구소는 정부 인가를 받아야 한다. 정부간 인증 협약을 맺은 약 30개 국가에서 이 같은 인가를 내릴 수 있다. 30개 국가로 한정됐지만 인증결과는 모두가 공유하는 형태다.

여러 상품에 대한 검증이 이뤄지지만 특히 네트워크 장비는 정부가 직접 보안검증을 요청하는 과정을 밟는다. 네트워크 장비업체가 보안 검증을 요구하면, 각 정부에 요청해 정부가 연구소로 보안검증을 하달하는 방식이다. 연구소는 보안검증을 거쳐 그 결과를 요청한 정부에 전달한다.

따라서 보안검증서의 효력을 최종 결정하는 것은 정부다. 만약 정부가 연구결과를 받아들인다면 보안에 문제가 없다는 인증서를 부여하고, 이를 각 정부나 연구소들이 공유하게 된다. 또한 이 같은 보안검증은 매년 또는 2년마다 갱신해야 한다.

또 CC 인증서의 경우 정보보안 기술에 관한 국제표준 'ISO 15408'을 만족해야 한다. 마찬가지로 인증서를 낼 수 있는 능력을 갖춘 30개 국가가 이를 발급할 수 있다. 이 곳에는 한국도 포함돼 있다.

또 CC는 총 7개 레벨로 구분된다. 투명성과 안정성 등을 고려해 가장 낮은 1단계부터 레벨이 나뉜다. 테스트는 장비를 우선적으로 알지 못하는 블랙박스 테스트로 외관 테스트부터 시작해 소스코드 분석과 내부 설계, 개발자 영역에서 제공되는 정보까지 세부적으로 평가한다.

다른 인증서로는 북미에서 평가하는 FIPS 140-2와 ISO 19790으로 동일한 형태의 기준으로 구성된다. 국가 보안과 관련된 암호화 장비를 평가한다.

미구엘 바농 E&E CEO가 26일(현지시간) 국제보안인증 절차에 대해 설명하고 있다
미구엘 바농 E&E CEO가 26일(현지시간) 국제보안인증 절차에 대해 설명하고 있다

◆ 화웨이 5G 장비 검증 중…9년간 문제 발견되지 않아

이에 따라 화웨이의 5G 장비에 대한 검증결과는 국가가 인증하는 수준으로 결과를 신뢰할 수 있다는 얘기다. 현재 계획대로라면 가을께 결과를 확인할 수 있을 것으로 예상된다.

바농 CEO는 "(검증결과는)가을을 목표로 하고 있다"며, "변수는 벤더사가 얼마나 빠르게 피드백을 하는가와 랩에서 빨리 테스트를 진행할 수 있는지, 정부가 얼마나 빠르게 인증서를 발급하는지 등 3가지에 달려 있다"고 밝혔다.

바농 CEO에 따르면 화웨이의 5G 장비 보안 검증을 스페인 정부에 요청한 시기는 3~4개월 전이다. 화웨이 5G 장비의 경우 현재 한국에 상용장비가 배치된 상태. 한국 정부가 아닌 스페인 정부에 이를 의뢰한 배경은 크게 두 가지다.

그 중 하나는 우리 정부는 이 같은 장비 검증을 직접 의뢰하지 않기 때문이다.

유영민 과학기술정보통신부 장관은 MWC에서 기자들과 만나 "한국 정부가 특정 통신사에 특정 장비 채택 유무에 개입할 수는 없다"며, "정부는 보안 요구사항을 이통사에 요청했다"고 설명했다.

또 스페인 정부의 보안검증레벨이 상대적으로 높다는 점도 이번 평가의 공정성, 신뢰성 확보를 꾀한 대목이다.

실제로 스페인은 화웨이 장비에 대한 CC 인증은 레벨4 기준으로 실시한다. 북미 레벨2, 한국 레벨2를 웃도는 요구다. 스페인 정부에서 받은 인증은 북미나 한국에서도 같은 효력을 발휘한다.

화웨이의 5G 장비가 구축, 상용화된 상태여서 이 같은 검증이 늦은 것 아니냐는 지적에도 철저한 검증 절차 및 결과의 중요성을 강조했다.

바농 CEO는 "CC 인증에 대한 대개의 비판은 바로 검증이 오래 걸린다는 것"이라며 "맞는 지적이나 (출시 시기 등) 타임투마켓을 생각치 않고 정부쪽에 가능한 상세한 결과를 내려 노력한다"고 말했다.

이어, "평가기준은 벤더가 아닌 정부가 정한 것으로 가장 높은 기준을 만족시키려 노력한다"며, "시간적으로 압박이 들어와도 원래 기준에 맞게 상세하게 테스트를 진행하고 있다"고 강조했다.

또 "통상 평가레벨이 높을 수록 오래 걸리지만 , 레벨4의 경우 1년 가량, 화웨이처럼 많은 경험이 축적돼 있으면 6~8개월까지 줄일 수 있다"며, "다만, 장비의 복잡성에 따라 시간은 더 걸릴 수도 있다"고 말했다.

보안검증결과가 나오지 않은 장비가 우선 구축된 점에 대해서도 "화웨이만이 유일하게 인증 받고 있고, 5G 장비 인증서가 발급되지 않았지만 예정된 유일한 벤더이자, 매년 인증서를 갱신하고 있어 긍정적으로 생각해도 된다"고 강조했다.

그는 또 "현재까지 화웨이 장비가 보안검증에 미달하거나 중간 보고서를 낸 바 없고, 오히려 나날이 향상되고 있다"도 덧붙였다.

바르셀로나(스페인)=김문기 기자 moon@inews24.com




주요뉴스


공유하기

주소가 복사되었습니다.
원하는 곳에 붙여넣기 해주세요.
alert

댓글 쓰기 제목 [MWC19] 국제인증기관 E&E "화웨이 장비 9년째 검증, 보안문제 없었다"

댓글-

첫 번째 댓글을 작성해 보세요.

로딩중
댓글 바로가기


뉴스톡톡 인기 댓글을 확인해보세요.