화웨이가 최초로 받은 5G 보안인증 ‘NESAS’는 무엇
오랜 기간 보안 이슈에 시달려온 화웨이. 그만큼 화웨이는 전세계에 공급하는 통신장비, 특히 5G 이동통신망 보안 우려와 불신을 해소하기 위해 다양한 활동을 펼치고 있다. 그 가운데 하나가 공인된 평가인증기관에서 자사 제품에 대한 보안성 검증을 수행하는 것이다. 투명성과 개방성, 사실(Fact) 기반 기술 평가와 공통기준에 의한 검증을 내세우며 다양한 국제 표준 보안인증을 적극 취득해왔다.
그 결과, 화웨이는 현재 국제공통평가기준(CC)을 비롯해 FIPS, PCI, ISO27001, ISO 27028, CSA 인증 등 270개가 넘는 보안 인증서를 보유하고 있다.
5G 통신 장비 보안인증에도 발빠르게 나섰다. 지난해 6월 화웨이는 세계 최초로 자사 5G 기지국(gNodeB) 장비에 국제표준 보안인증인 공통평가기준(CC) 인증을 획득했다. 총 7개로 구분된 CC 평가보증등급(EAL)에서 통신 장비로 받을 수 있는 최고 수준인 EAL4+ 인증을 받았다. 2년에 걸쳐 소스코드 검증과 더불어 제품 개발 과정 설계·아키텍처·제품 평가를 거쳐 받은 인증이다. 화웨이는 4G 장비에 이은 5G 기지국 장비 CC 인증 획득으로 자사 장비는 물론, 장비가 설치된 5G 통신망의 보안성과 신뢰성을 공식 입증했다는 점을 부각했다. 인증서는 스페인 정보국 산하 인증기관인 CCN(Centro Criptologico National)이 발행했다.
CC 평가·인증을 추진하던 당시는 화웨이에 대한 미국 트럼프 정부의 강도 높은 제재와 압박이 이어지던 상황이었다. 미국 정부를 주축으로 일부 국가에서는 화웨이가 통신 장비에 백도어를 심어 중요 정보를 탈취할 수 있다는 우려도 지속적으로 제기했다.
CC인증은 IT 보안 기능과 보증 관련 국제평가기준 ISO15408으로, 미국, 유럽, 캐나다 등 국가마다 서로 다른 정보보호 시스템 평가기준을 연동하고 상호 인증하기 위해 통합 제정된 공통평가기준이다. 공통평가기준상호인정협정(CCRA)에 가입된 세계 30여개국에서 인증서 유효성을 인정받을 수 있는데, 한국도 가입국이다. 국내 많은 보안 솔루션과 IT 제품들이 CC 인증을 받고 있다.
화웨이는 세계이동통신사업자협회(GSMA)와 국제이동통신표준화협력기구(3GPP)가 공동 제정한 네트워크장비보안보증체계(NESAS, Network Equipment Security Assurance Scheme) 인증도 획득했다. 지난해 5월 화웨이는 5G 무선·코어 네트워크 장비에 NESAS 인증을 획득한 첫 통신장비 업체가 됐다.
NESAS 1.0이 처음 출시된 후 화웨이는 2020년 3월에 가장 먼저 5G 기지국과 롱텀에볼루션(LTE) 기지국에 대한 감사를 완료했다. 이를 시작으로 NESAS 보안보증사양(SCAS) 시험을 진행하고, 올해 4월 나온 NESAS 2.0 감사까지 마쳤다. 화웨이를 시작으로 ZTE, 에릭슨, 노키아가 NESAS 감사를 진행했고 올해에는 삼성전자도 평가를 통과했다. 에릭슨과 노키아, 삼성전자는 NESAS 인증 1단계를 마치고 2단계 인증을 진행하고 있는 것으로 보인다.
화웨이코리아 최고보안책임자(CSO)인 이준호 전무는 “화웨이는 작년에 5G와 LTE 기지국에 NESAS 감사를 완료했고, 5G와 LTE 기지국 SCAS 테스트를 마쳤다”라며 “올해 5월 들어 ZTE가 SCAS 테스트를 완료했다. 에릭슨과 노키아는 올해까지도 SCAS 테스트를 진행 중인 것으로 보이고, 올해 6월 들어 삼성전자가 NESAS 대열에 참여해 7월까지 NESAS 감사를 마쳤고, 앞으로 SCAS 시험도 통과할 것으로 예상된다”고 말했다.
이동통신망에 특화된 보안인증…글로벌 표준 채택, 확산되나
CC는 IT보안 분야의 대표적인 인증으로 국내에 잘 알려져 있지만, NESAS는 생소한 보안인증이다. 이동통신 네트워크에 특화돼 만들어진 최신의 보안 평가·인증이기 때문이다.
최초 버전인 NESAS 1.0이 출시된 시점이 5G가 세계 최초로 상용화된 해인 2019년 10월로, NESAS 2.0은 올해 2월에 출시됐다.
NESAS 인증이 등장한 배경으로 이 전무는 “5G 보안에 대한 우려가 많아지면서 통신 장비 검증 방법을 찾게 됐다. GSMA와 3GPP는 네트워크 장비의 보안 평가하고 보안을 지키는 최적의 방법으로, 일관성 있고 엄격한 보안 기준이 확립돼야 하며 장비를 테스트할 수 있는 독립적이고 수준 높은 전문기관과 테스트랩이 필요하다고 봤다. 또 비용이 너무 많이 들면 제조사들이 인증에 참여하지 않을 수 있기 때문에 비용효율적 방법으로 진행할 수 있도록 NESAS를 만들었다. GSMA가 테스트 방법론을 만들고 3GPP가 테스트 사양을 만들어 탄생했다”고 설명했다.
NESAS를 공동 제정한 GSMA는 전세계 750개 넘는 이동통신사와 350여개 모바일 기기 제조사, 소프트웨어 기업들이 참여하고 있는 대표적인 산업 협회다. 3GPP는 다양한 이동(무선)통신 기술 표준화를 제정하는 기구로, 세계 각국의 표준화 기구들이 파트너로 참여하고 있다. 또 전세계 700여개 전자·통신 기업들이 회원사다.
NESAS 인증은 이동통신 네트워크 디바이스와 공급업체 프로세스에 대한 보안 평가와 감사 메커니즘이다. 통신 장비가 보안 요구사항을 충족하고 있는지, 개발 및 제품 수명주기 프로세스 기준에 따라 개발됐는지 검증하기 위해 프로세스 감사와 안전성 테스트를 수행한다.
이 전무에 따르면, NESAS 인증에는 크게 제품 개발 및 수명주기 프로세스 감사와 장비 안전 테스트가 있다. 통상 프로세스 감사는 NESAS, 장비 테스트는 SCAS라고 부르는데, 이 두 단계를 모두 통과해야 비로소 NESAS 인증이 완성됐다고 할 수 있다. 명확한 유효기간은 아직 없다. CC인증은 2년마다 갱신해야 하는 반면에 NESAS 인증은 새로운 프로세스가 바뀌거나 새로운 버전 또는 제품이 나올 때 재감사를 받는 것으로 정의돼 있을 뿐이다.
그는 “NESAS는 CC에 비해 이동통신 장비와 모바일 산업에 최적화된 인증이다. 비교적 프로세스가 간단해 시간이 적게 소요되며, 비용효율적으로 빠르게 획득할 수 있다”고 장점을 들면서 “평가기준의 경우 일반적인 범위는 CC 보호프로파일(PP)과 동일하다고 보면 된다. 여기에 추가로 4G와 5G 이동통신에 적합한 요구사항들을 정의하고 이를 반영해 보안 평가방법론을 만들어 인증을 진행하는 것”이라고 말했다.
NESAS는 현재 유럽 지역에서 5G 장비 보안 강화를 위한 표준으로 채택될 조짐이 나타나고 있다. 이 전무는 “유럽연합(EU)에서는 NESAS를 5G 장비의 보안위험을 감소시키기 위한 보안 표준으로 삼으려는 움직임이 있다”고 했다.
EU에서는 우려가 큰 5G 보안위협을 해소하기 위한 방안으로 ‘5G 툴박스(TOOLBOX)’를 지난해 1월부터 운영 중이다. 이는 네트워크 장비 제조사의 위험도를 툴박스에 따라 평가하고 고위험 사업자 장비 사용을 제한하도록 EU 집행위원회가 권고하는 평가툴이다.
툴박스는 유럽의 통신 관련 이해당사자들이 통신망 보안을 위해 협업으로 도출한 결과물로, 5G 사이버보안 가이드라인으로 활용된다. 툴박스에서 제안하는 보안 대책은 전략 대책(8개 항목)과 기술 대책(11개 항목), 추가적인 보조 대책(10개 항목)과 이러한 보안 대책에 수행을 위한 방법론을 제시하고 있다.
이 전무는 “유럽에는 사이버보안법(CSA)이 있다. 사이버보안 인증 시스템을 수립하고 모든 회원국들이 인증서를 발급받도록 요구한다. 5G 툴박스는 EU의 네트워크 보안위험 완화를 위한 조치로, 5G 네트워크에 대한 EU 인증을 요구한다. 그러다보니 방법론이 필요하게 되는데, NESAS에 CCS(Cybersecurity Certification Scheme)를 붙여 ‘NESAS-CCS’를 만들어 5G 네트워크 보안 인증의 후보 방안으로 추진하고 있다. 이는 잘 알려진 BSI가 추진 중”이라고 제시했다.
아울러 “EU에는 NIS CG(Network and Information Systems Cooperation Group)가 있다. NIS CG 5G 서브그룹(Sub-Group)은 우리나라 국가정보원같은 EU 회원국의 규제당국으로 구성돼 있는데, GSMA와 3GPP와 협력하라고 권장하고 있다. 이는 앞으로 NESAS를 5G 보안의 표준으로 삼고자 하는 의도가 있다고 볼 수 있다”면서 “EU는 2021년 2월에 5G 보안인증체계 구축을 요청했고, 한국인터넷진흥원(KISA)같은 ENISA가 후보 방안을 준비하기 위해 5G 애드혹(ad-hoc) 워킹그룹(WG)을 만들었다. 이들은 5G 보안인증 후보로 NESAS를 제안하고 있다고 전해지고 있고, 이를 NESAS-CCS라고 부르는 것으로 여길 수 있다”고 덧붙였다.
그는 “NESAS 생태계에는 통신사, 장비 공급사, 감사·테스트 기관과 정부기관까지 다 참여하고 있다. 10대 주요 이동통신사들이 참여하고 있어, 네트워크 장비를 살 때 NESAS 인증이 있어야 한다고 규정하고 있다. 공급업체는 올해 삼성까지 포함해 모든 주요 5G 공급업체가 NESAS 인증에 참여하게 됐다”며 NESAS가 5G 시대 이동통신 보안인증 글로벌 표준이 될 수 있는 조건이 갖춰지고 있다는 점을 시사했다.
하지만 이를 위해서는 “인증 과정에 섞여있는 자체평가를 없애고 완벽하게 제3자 평가만 진행토록 해야 한다. 궁극적으로 더 높은 보안인증 수준을 확보하기 위해서는 우리나라 보안적합성 검증처럼 국가사이버보안 인증 레벨이 돼야 한다. GSMA도 현재 수준에서 더욱 개선, 발전시키겠다고 얘기하고 있다”고 지적하기도 했다.
화웨이는 NESAS 인증 확산이 이뤄지도록 표준 제정 등에 기여하는 한편, 글로벌 통신 산업 생태계 구성원들과 공동으로 사이버보안 강화를 위한 협력 활동도 진행하고 있다. 그 일환으로 지난 6월에는 통신사와 오픈소스 기술 기업, 표준화기구와 협·단체 등과 협력할 수 있는 개방형 사이버보안·개인정보보호 투명성 센터를 개소하기도 했다.
자체적으로 보안성을 강화하기 위한 투자와 노력도 진행 중이다. 화웨이에 따르면, 매년 매출의 10% 이상을 투자하는 연구개발(R&D) 금액 대비 5%를 사이버보안에 편성하고 있다. 또 2300명 이상의 보안 전담인력을 보유하고 있고, 진출한 국가들에 CSO를 운영하고 있다. 영국 정보기관(M16) 출신인 존 서포크(John Suffolk)가 수장으로 있는 글로벌 CSO 조직은 독립적으로 운영되며, 제품 출시 전 보안 문제가 판단될 경우 CSO 조직 수장이 신제품 출시를 막을 수 있는 노고(NO-GO) 권한을 행사할 수 있는 제도를 시행 중이다. 작년에는 15개의 제품에 대해 이 권리가 실시됐다.
글. 바이라인네트워크
<이유지 기자>yjlee@byline.network
