-
>
[단독] 화웨이 통신장비 '백도어' 검증 불가능, ‘소스코드’ 받아야 확인돼
김한경 안보전문기자
입력 : 2019.06.17 07:31
ㅣ 수정 : 2019.06.17 07:31
[단독] 화웨이 '백도어' 검증 불가능
▲ 지난해 9월26일 중국 베이징 PT엑스포의 ‘화웨이’ 전시관에서, 한 직원이 랩톱 컴퓨터로 5G 무선 기술을 시연하고 있다. [사진제공=연합뉴스]
과기부, ‘5G보안 기술자문협의회’ 통해 “화웨이 보안상 결함 없다”고 결론
문제 핵심인 ‘백도어’ 검증 여부 언급 없어...‘국민 기만행위’에 불과
전문가들 기자와 만나 "화웨이가 '소스 코드' 주기 전엔 확인 불가능" 주장
[뉴스투데이=김한경 국방전문기자] 미국과 중국 간 기술 냉전을 초래한 화웨이 5G 통신장비의 ‘백도어’ 설치 유무는 장비를 사용하는 기업 혹은 국가가 확인할 수 없다는 주장이 제기돼 논란이 예상된다.
익명을 요구한 복수의 네트워크 전문가들은 지난 16일 기자와 만나 “화웨이 장비의 백도어 유무는 화웨이가 소프트웨어의 소스코드를 제공해야만 확인이 가능하다”면서 “하지만 어떤 글로벌 통신장비 회사도 개발기술을 담은 소스코드를 제공할 수는 없다”고 밝혔다.
이에 따라 과학기술정보통신부가 화웨이 백도어 문제를 검증하겠다며 지난해 10월부터 8개월 동안 ‘5G보안 기술자문협의회’를 구성·운영해 온 것은 ‘국민 기만행위’에 지나지 않는다는 지적도 제기된다.
‘백도어’란 사용자 인증 등 정상적인 절차를 거치지 않고 응용 프로그램이나 시스템에 접근할 수 있도록 시스템 보안이 제거된 비밀 통로로서 통상 서비스 유지·보수의 편의를 위해 개발자가 만들어 사용한다.
지난달 27일 일부 언론은 “정부가 보안 전문가들과 함께 5G 통신장비에 대해 8개월간의 점검을 마친 결과 화웨이 장비에 보안상 특별한 결함은 없는 것으로 사실상 결론이 났다”고 보도했다.
5G보안 기술자문협의회는 5G 네트워크에 대한 국민들의 보안 우려를 해소하자는 취지로 정부가 주도해 산·학·연 보안전문가, SK텔레콤, KT, LG유플러스 등 이동통신 3사, 한국인터넷진흥원, 과기정통부 등 20명 내외로 구성됐다.
궁극적인 목적은 화웨이 장비의 백도어 유무 검증이었고, 대다수 국민들은 이 문제를 해결하기 위해 정부가 협의회를 구성한 것으로 알고 있었다. 하지만 협의회에서는 8개월 동안 화웨이를 포함해 삼성전자, 노키아, 에릭슨 등 통신사들이 사용하는 모든 5G 장비의 보안 기능을 점검했다.
협의회 참석자, "기술 표준에 맞는지 여부만 점검...보안문제 드러나기 어려워"
협의회에 참석한 정부 측 한 관계자는 “다른 통신장비 업체에는 없고 화웨이에서만 발견된 보안상 결함은 없었다”며 “반대로 화웨이 장비에는 문제가 없지만 다른 업체 장비에서 발견된 보안상 결함은 있었다”고 밝혔다.
기술적인 점검을 맡은 학계측 관계자는 “통신사와 통신장비 업체에 보안요소 점검 항목을 요청해 이를 기술 표준에 맞는지 점검하는 방식이어서 그 이상으로 장비 하나하나를 다 뜯어보는 것은 쉽지 않다”며 “장비 자체에 보안 문제가 있으려면 실질적으로 누군가 공격을 가해야 하기 때문에 사전에 보안 문제가 드러나기는 어렵다”고 말했다.
협의회에 참석한 관계자들의 표현을 보면, 점검할 대상에게 자신들이 점검 받을 항목을 요청해서 기술 표준에 맞는지 확인하는 수준의 보안 점검을 했다는 얘기다. 즉 원래 목적이었던 통신장비의 백도어 유무를 검증하는 활동은 무엇을 했는지 전혀 알 수가 없다.
이옥연 교수 컨퍼런스서, "백도어 제조사외 확인 불가능, CC인증으로 검출 안돼"
해커 출신 보안 전문가 "백도어 찾기보다 백도어 이용 공격 포착 기술 개발 필요"
이와 관련, 지난 13일 군사안보지원사령부가 주최한 ‘2019 국방보안 콘퍼런스’가 열렸다. 이 자리에서 이옥연 국민대 정보보안암호수학과 교수는 “4G, 5G 모두 핵심 네트워크 장비의 백도어 (설치) 문제는 제조사 외는 확인이 불가능하다”며 “정상적인 보안 기능 시험 성격이 강한 CC(국제공통평가 기준) 인증으로는 백도어 검출이 불가능하다”고 주장했다.
따라서 통신사에서 백도어 검출이 불가할 것으로 예상되며, 국가의 핵심통신망에 대한 합법적 잠입도 가능한 것으로 봐야 한다고 분석했다. 이 교수는 “미국이 우려하는 것도 이런 부분일 것이라고 추정한다”고 말했다.
개발과정에서 만든 백도어가 삭제되지 않고 남아 있으면 인증되지 않은 사용자에 의해 시스템 기능이 무단으로 사용되는 등 컴퓨터 범죄에 악용될 수 있다. 또 개발자나 제조사가 다른 의도로 백도어를 만들 가능성도 얼마든지 존재한다.
한 해커 출신 보안 전문가는 “최초 장비 공급 시에는 백도어를 설치하지 않았다가 소프트웨어 업데이트 과정에서 백도어를 집어넣을 수도 있다 “면서 “백도어를 찾으려는 노력보다 백도어를 이용한 공격이 시작될 때 포착하는 기술 개발이 필요하다 “고 강조했다.
대부분 전문가들, " 백도어 검증이 제조사외 불가능한 것은 상식의 영역"
정부, 중국 의식해 협의회 결과 발표없이 정리하며 시장에 맡기는 분위기
대다수 보안 전문가와 네트워크 전문가들은 통신장비의 백도어 설치 여부는 개발자나 제조사외에는 확인이 거의 불가능하다는 사실을 알고 있다. 하지만 정부가 주관한 협의회에서는 그런 전문가들을 모아 8개월 동안 점검한 결과 보안상 결함이 발견되지 않았다며 면죄부를 줬다.
그러면서 5G보안 기술자문협의회는 이 같은 결론에 대해 공식적인 발표를 하지 않고 내부 보고로 조용히 끝내는 분위기다. 정부가 어떤 방향을 정하기보다는 통신 시장의 해석에 모든 것을 맡기겠다는 뜻으로 읽힌다.
결국 문제의 핵심은 “화웨이 통신장비의 백도어 설치 유무를 검증할 수 있느냐 없느냐”였는데, 백도어에 대한 언급은 사라지고 보안상 결함이 드러나지 않았다는 식으로 구렁이 담 넘어 가듯이 슬그머니 정리하는 모양새다. 이런 정부를 국민들이 얼마나 신뢰할 수 있을지 미지수이다.
댓글 (0)
- 띄어 쓰기를 포함하여 250자 이내로 써주세요.
- 건전한 토론문화를 위해, 타인에게 불쾌감을 주는 욕설/비방/허위/명예훼손/도배 등의 댓글은 표시가 제한됩니다.
0
/250
