[뉴투분석] 화웨이 5G 장비, 국제 보안 인증 받았어도 ‘백도어’ 우려 여전하다

김한경 안보전문기자 입력 : 2020.06.09 16:10 |   수정 : 2020.06.09 17:45

화웨이 장비 사용하는 LG유플러스, 백도어 방지보다 백도어 이용한 공격 포착이 과제

  • 카카오스토리
  • 네이버밴드
  • 페이스북
  • 트위터
  • 구글플러스
  • 프린터
  • 이메일
  • 스크랩
  • 글자크게
  • 글자작게

[뉴스투데이=김한경 안보전문기자] 중국 통신장비 업체인 ‘화웨이’가 최근 5G 기지국 장비의 국제 보안 인증을 획득하면서 미국이 제재하는 근거였던 ‘백도어’에 대한 우려가 흔들리는 것 아니냐는 얘기가 나온다.

 

하지만 다수의 보안 전문가들은 ‘백도어’ 설치 유무를 확인하는 것은 장비의 보안성을 평가하는 보안 인증과는 무관하며, 장비를 사용하는 기업 혹은 국가가 백도어를 찾아내기는 거의 불가능에 가깝다고 주장했다.

 

HW.png
지난 1월 21일 스위스에서 열린 다보스 포럼에서 발언하는 런정페이 화웨이 회장. [사진제공=연합뉴스]
 

‘백도어’란 사용자 인증 등 정상적인 절차를 거치지 않고 응용 프로그램이나 시스템에 접근할 수 있도록 시스템 보안이 제거된 비밀 통로로서 통상 서비스 유지·보수의 편의를 위해 개발자가 만들어 사용한다.

 

실제로 일부 언론들은 화웨이의 보안 인증 획득으로 백도어 문제가 해결된 것처럼 인식해 미국이 화웨이를 제재할 명분을 잃은 것인 양 보도하고 있다. 즉 가성비 좋은 제품이 최고 등급의 보안 인증까지 받았으니 사용에 문제가 없다는 식이다.

 

화웨이는 지난 7일 5G 기지국 장비(gNodeB)가 세계 최초로 스페인 정보국 산하 인증기관인 CCN으로부터 ‘CC(Common Criteria) 평가보증등급(EAL) 4+’ 인증을 받았다고 밝혔다. 화웨이가 5G 기지국 구축에 현재 사용 중인 이 장비는 국내에선 LG유플러스가 쓰고 있다. 

 

CC 인증은 정보기술의 보안 기능에 대한 국제 평가기준으로 통한다. EAL은 총 1∼7등급으로 구분되며 등급이 높을수록 보안의 안전성 검증도 까다롭다. EAL4+ 등급은 네트워크 장비로 취득할 수 있는 최고 등급이라고 한다.

 

국내에서 CC 인증 업무를 담당하는 국가보안기술연구소 산하의 IT보안인증사무국에 따르면, CC 인증의 목적은 ‘정보보호제품에 구현된 보안기능이 평가 신청한 평가보증등급에 부합하는지 검증함으로써 사용자가 자신의 보안 요구를 충족하는 제품을 선택하는데 도움을 주기 위한 제도’로 설명하고 있다.

 

즉 보안성을 평가하는 국제적 기준의 틀 내에서 대상 장비의 보안 수준을 평가하는 것이지 백도어를 찾아내는 수단이 아니다. 화웨이는 “2년 동안 소스코드 검증과 제품개발 과정의 설계, 엄격한 테스트를 거쳐 CC 인증이 발급됐다”면서 화웨이의 5G 무선 접속망이 신뢰할 수 있는 보안을 제공한다는 사실이 공식적으로 입증됐다고 평가했다.

 

이런 분위기 속에 일부 통신업계 관계자들은 “5G 상용화가 시작되는데, 가성비가 뛰어난 화웨이 장비를 배제하기가 쉽지 않다”면서 “우려되던 보안에 대해 인증을 받은 만큼 화웨이 장비 선택에 부담을 덜게 될 것”이라고 전망했다. 즉 백도어 문제를 보안 인증과 혼동하면서 보안 인증을 받으면 문제가 해결되는 양 착각하고 있는 것이다.

 

이와 관련, 지난해 6월 군사안보지원사령부가 주최한 ‘국방보안 콘퍼런스’에서 이옥연 국민대 정보보안암호수학과 교수는 “4G, 5G 모두 핵심 네트워크 장비의 백도어 설치는 제조사 외에 확인이 불가능하다”며 “정상적인 보안 기능 시험 성격이 강한 CC 인증으로는 백도어 검출이 불가능하다”고 주장했다.

 

국가보안기술연구소장을 역임한 손영동 한양대 교수도 “정상적인 상태로 CC 인증을 받고 실제 장비도 납품한 다음 소프트웨어 업데이트 과정에서 백도어 설치가 얼마든지 가능하며, 일상의 검수 수준으로는 찾아내기 힘든 극소형 하드웨어 칩을 끼워 넣어 유사시 활성화시키는 방식(치핑, Chipping)도 있다”고 말했다. 

 

따라서 개발자나 제조사가 다른 의도로 백도어를 만들 가능성은 얼마든지 존재한다. 손 교수는 “화웨이 장비에 대한 의혹은 기술적 문제라기보다 ‘신뢰’의 문제이며, 미국이 우려하는 것도 이런 부분일 것”이라고 덧붙였다. 한 해커 출신 보안 전문가는 “백도어를 찾으려는 노력보다는 백도어를 이용한 공격이 시작될 때 포착하는 기술 개발이 더욱 중요하다”고 강조했다.

 

이와 같이 통신장비의 백도어 설치 여부는 개발자나 제조사외에는 확인이 거의 불가능하다는 사실을 보안 전문가들은 알고 있다. 그리고 모든 통신장비 회사들의 제품에서 백도어 설치 문제가 발생할 수 있다. 하지만 유독 화웨이가 집중적으로 제재의 대상이 되는 이유는 무엇일까?

 

그것은 런정페이 화웨이 회장이 중국 인민해방군 출신인데다, 그동안 화웨이 장비에 백도어가 숨겨져 있다고 의심을 살만한 정황들이 여러 나라에서 나타났기 때문이다. 화웨이가 더 이상 주목을 받지 않고 순수한 통신장비 업체로 대우받으려면 이러한 의혹을 극복하고 앞으로 어떻게 달라질지 설명해야 한다.

 

BEST 뉴스

비밀번호 :
메일보내기닫기
기사제목
[뉴투분석] 화웨이 5G 장비, 국제 보안 인증 받았어도 ‘백도어’ 우려 여전하다
보내는 분 이메일
받는 분 이메일

주요기업 채용정보