5G망 보안 괜찮나…전문기관 검증 ‘생략’한 장비 구축 드러나

미구엘 바농 이엔이(E&E) 대표. 공동취재단

글로벌 보안검증기관 ‘E&E’ 바농 대표
“삼성전자·노키아·에릭슨 등으로부터는
통신장비 보안 검증 의뢰받은 적 없다”
“화웨이 LTE 장비 검증해준 게 유일
5G 이통 기지국 장비도 화웨이만 의뢰”
“통신사 보안의식에 허점” 논란 예상
이동통신사 “공급업체가 우방국 기업”

미구엘 바농 이엔이(E&E) 대표. 공동취재단

미국 트럼프 정부가 중국 화웨이 5세대(5G) 이동통신 장비에 ‘백도어’(뒷문) 등 통신망 보안 위협 요인이 숨겨질 수 있으니 사용하지 말라고 공개적으로 요구하고 나서 논란이 일고 있는 가운데, 한국 통신망 장비 대부분이 공신력 있는 글로벌 전문기관의 보안 검증(CC 테스트)조차 거치지 않고 공급된 것으로 드러났다. 도·감청과 해킹이 난무하는 상황이니만큼 통신사 보안의식에 심각한 허점이 있다는 지적이 나온다.

보안 논란에 휩싸인 화웨이 5G 장비의 보안 검증 작업을 맡고 있는 ‘에포시&에스프리’(E&E)의 미구엘 바농 대표는 26일(현지시각) 스페인 바르셀로나 ‘엠더블유시(MWC) 2019’ 전시장에서 한국 기자들을 만나 “4개월여 전 스페인 정부기관으로부터 화웨이 5G 이동통신 기지국 장비에 대한 보안 검증을 의뢰받아 진행하고 있다. 빠르면 올 가을께 검증 결과를 스페인 정부기관에 전달할 수 있을 것 같다”고 밝혔다. 그는 “지금까지 통신장비를 대상으로는 하지 않았던 ‘레벌4’ 단계의 보안 검증을 하고 있다. 통과되면 통신장비 중에서는 가장 높은 단계의 보안 인증을 받게 되는 셈”이라고 덧붙였다.

이날 간담회는 한국 기자들의 요구로 이뤄졌다. 이엔이는 90년 역사를 가진 세계적인 정보통신 보안업체로 전세계 50여개 나라에 지사를 두고 총 4만4천여명의 직원이 근무하고 있는 데크라(DEKRA) 계열 보안 수준 평가기관이다. 한국을 포함해 미국·캐나다·일본·스페인 등 30여개 나라에 정부 공인 연구소를 두고 있으며, 각 정부기관 의뢰를 받아 무선 통신장비 보안을 검증한다. 장비의 투명성과 안전성을 잣대로 1~7단계 평가를 하며, 평가 방법과 기준은 국제 규격을 따른다. 이엔이의 검증을 바탕으로 발급된 보안 인증서는 한국·미국·일본·스페인 등 30여개 나라에서 유효하다.

미구엘 바농 이엔이(E&E) 대표가 26일(현지시각) 오후 스페인 바르셀로나 ‘MWC 2019’ 전시장서 한국 기자들과 간담회를 하고 있다. 공동취재단

바농 대표는 이날 “지금까지 이엔이의 보안 검증을 받은 통신장비는 화웨이 엘티이(LTE) 통신망 장비가 유일하고, 5G 장비 제조사 중에서도 화웨이가 유일하게 기지국 장비 보안 검증을 의뢰해 평가 작업이 진행 중”이라며 “삼성전자·에릭슨·노키아 등으로부터는 통신장비 보안 검증 의뢰를 받은 적이 없다”고 밝혔다. 그는 ‘이들 업체가 다른 전문기관에 의뢰했을 수도 있지 않느냐?’는 질문에 “최근 2주 이내에 신청한 게 아니라면 내가 모르지 않는다”고 말했다.

삼성전자·에릭슨·노키아 등이 이엔이 같은 글로벌 전문기관의 보안 검증을 받는 과정 없이 케이티(KT)·에스케이텔레콤(SKT)·엘지유플러스(LGU+) 등에 통신망 장비를 납품했다고 볼 수 있다. 이들 업체는 사물인터넷(IoT)·자율주행·원격진료 서비스 등의 기반 통신망에 사용돼 무엇보다 보안이 우선적으로 요구되는 5G 이동통신 장비에 대해서도 보안 검증을 의뢰하지 않았다. 현재 에스케이텔레콤과 케이티는 삼성전자·에릭슨·노키아만을, 엘지유플러스는 화웨이까지 5G 이동통신 장비 납품업체로 선정해 3월 상용화를 목표로 통신망을 구축하고 있다.

이엔이 같은 글로벌 전문기관의 보안 검증을 받지 않았다고 장비의 보안이 떨어진다거나 보안 위협 요인이 숨겨졌을 가능성이 있다고 단정할 수는 없다. 다만, 국가 기간통신망에 장착되는 장비가 전문기관의 보안 검증조차 받지 않은 상태로 납품되는 것은 보안상 바람직하지 못하다는 지적을 피하기 어렵다. 금융기관에 납품된 컴퓨터 소프트웨어에서 낙전 부분을 특정 계좌로 보내게 하는 알고리즘이 발견되고, 피시(PC)통신 서버(컴퓨터)에서 관리자 허가 없이 드나들 수 있는 ‘백도어’가 발견된 전례도 있다.

통신장비가 전문기관의 보안 검증을 받는 기본 절차도 없이 납품될 수 있었던 데는 통신사들의 보안의식 미비 등 책임이 크다. 한 통신보안 전문가는 “대통령이 비화기를 쓰는 것은 보안에 문제가 있어서라기보다 혹시 모를 상황에 대비하고, 본인과 주변의 통신보안 의식을 고취하기 위한 목적도 크다”며 “이런 점에서 장비를 납품받을 때 보안 인증서조차 요구하지 않는 통신사들의 행태는 비판받아 마땅하다”고 말했다.

통신사들은 이에 대해 “통신장비 보안 인증서 요구는 세계적으로 전례가 없고, 모두 우방국 업체라서 믿고 납품받은 측면도 있다”고 해명했다. 에스케이텔레콤 관계자는 “화웨이 5G 이동통신 장비에 대한 보안 논란이 불거지기 전에는 문제가 된 적이 없잖았냐”고 말했다.

유영민 과학기술정보통신부 장관은 ‘엠더블유시(MWC) 2019’ 전시장에서 기자들을 만나 “정부는 통신망 보안에 대해 통신사에 강력한 기준을 요구하고 있다. 통신사들이 그 기준을 충족하는 경우에만 통신장비 등을 납품받을 것으로 본다. 정부가 나서서 보안 인증을 해줄 수는 없다. 국가가 보증하는 꼴이 될 수 있기 때문이다”라고 말했다.

바르셀로나/김재섭 기자 jskim@hani.co.kr

◎ Weconomy 홈페이지 바로가기: http://www.hani.co.kr/arti/economy
◎ Weconomy 페이스북 바로가기: https://www.facebook.com/econohani