트럼프 대통령이 화웨이뿐 아니라 중국 숏 비디오 앱 ‘틱톡’(TikTok)도 8월 1일(현지시간)부터 미국 내 사용 금지를 언급한 가운데, 화웨이가 지난 6월 글로벌 통신 장비 회사 중 유일하게 획득한 국제 보안 CC(Common Criteria) 인증의 의의와 한계가 관심이다.
미국이 화웨이나 틱톡을 배제하려는 이유는 중국 공산당의 스파이 활동에 활용된다는 의심때문인데, 화웨이 5G 기지국 장비가 국제 보안 EAL4+인증을 최종 획득했다는 것은 어떤 의미일까.
전문가들은 화웨이가 받은 CC 인증에 대해 병이 없다고 100% 확신할 순 없지만, 아주 비싼 건강 검진을 받았더니 건강하다는 결과가 나온 셈이라고 평가했다.
화웨이 장비에 백도어(Backdoor·인증되지 않은 사용자가 컴퓨터의 기능을 무단으로 쓸 수 있는 통로)가 있는지는 확인할 순 없지만, 국제적으로 인정받는 평가기관에서 검사했더니 보안의 안정성에서 높은 수준임을 걸 국제적으로 인정받은 셈이란 얘기다.
화웨이, CC 인증에 국내 5G보안협의회 검증도 받아
지난 6월 국제보안 CC EAL4+인증을 획득한 화웨이 gNodeB 기지국 장비는 5G 기지국 구축에 쓰이는 메인 제품이며 전 세계에 공급되는 제품이다.
CC 인증의 평가보증등급(EAL, Evaluation Assurance Level)은 1~7 등급으로 총 7개의 단계로 구분되며, 등급이 높을수록 그에 상응하게 보안의 안전성 검증도 까다로워지며 검증에 걸리는 시간도 길어진다. 화웨이가 취득한 CC인증은 EAL4+이며, 네트워크 장비로 취득할 수 있는 최고 레벨이기도 하다.
지난 2년 동안 지속적인 소스코드 검증과 제품 개발 과정의 설계, 아키텍쳐 평가, 엄격한 제품 테스트를 거쳐 발급된 것으로, 향후 5년 동안 인증 발급 기관에서 제품의 실제 응용과정을 지속적으로 추적해 인증서를 갱신 관리한다.
이외에도 화웨이 장비는 과학기술정보통신부가 만든 5G보안협의회를 통해 보안성을 검증받고 있는데, 화웨이 장비에 대한 백도어 증거가 제시된 바는 없다. 최기영 과학기술정보통신부 장관은 지난 28일 국회 과학기술정보방송통신위원회 업무보고에서 미 국무부 부차관보의 LG유플러스 화웨이 배제 압박 브리핑에 대해 “과기정통부는 기본적으로 기업 활동은 기업이 알아서 하는 것으로 생각한다”고 말했다. 최 장관은 “5G보안 문제가 있는지 계속 체크하고 있다. 기본적으로 5G 보안위원회가 있어 기본적인 만족해야 할 것들을 챙긴다”고 부연했다.
|
업계 전문가는 “화웨이 장비가 CC인증을 받았다고 해서 백도어가 없다는 게 증명된 것은 아니다”라면서도 “현재 보안 수준이 높고 CC인증서 관리과정에서 정기적인 건강(보안) 검진을 받고 건강(보안)을 관리하겠다는 보안에 대한 의지를 보인 것으로 평가할 수 있다”고 말했다.
한국화웨이는 보안 우려를 없애기 위해 지난 6월 정보보안책임자(CSO)로 이준호 전 네이버 최고정보보안책임자(CISO)를 영입하기도 했다. 국내 기업과 우리 정부의 우려를 없애기위한 조치다. 이 CSO는 2014년 미래창조과학부가 주최한 제13회 정보보호 대상에서 ‘올해의 CISO상’을 수상하고 2016년 한국CIO포럼에서 ‘올해의 CISO’로 선정되기도 했다.
중국 사회시스템 우려와 미중 패권 경쟁 의미
그럼에도 미국 정부는 여전히 ‘화웨이가 백도어를 숨겨놨을 것’이라고 우려한다. 통신장비, 스마트폰, 클라우드 등 첨단 IT 기술분야에서 벌어지는 미국과 중국의 패권 경쟁에다, 인터넷을 감시하고, 구글이나 카카오톡을 제대로 쓰지 못하게 하는 사회주의를 표방하는 중국의 사회시스템이 백도어 논쟁을 피해가기 어렵게 만든 셈이다.
익명을 요구한 A교수(전자공학부)는 “화웨이 글로벌 최고정보보안책임자는 영국인이지만 영국 정부는 화웨이 5G장비 구매를 금지하고 2027년까지 기존에 설치된 장비를 모두 제거하기로 결정했다”면서 “이 사안은 중국 사회 시스템에 대한 우려이자 미·중간 미래 기술을 둘러싼 패권전쟁의 의미”라고 설명했다.