“화웨이, 한번도 보안 결함 없었다”

<바르셀로나(스페인)=박수형 기자> 스페인의 정보보안 평가 기관 E&E(Epoche and Espri)가 화웨이의 네트워크 장비에서 지난 9년 동안 보안 결함이 발견되지 않았다고 밝혔다.

또 화웨이를 제외한 무선 기지국 장비 회사가 LTE 장비부터 5G 장비를 모두 아울러 단 한차례도 CC 인증 테스트를 진행한 적이 없는 것으로 나타났다.

즉, 이동통신 기지국 장비 중에 CC 인증서를 받은 회사는 화웨이 뿐이라는 뜻이다.

■ CC 인증의 공신력은 어떻게 만들어지나

E&E는 정보보호제품 공통평가기준으로 ISO 15408 기준을 만족할 때 부여하는 ‘CC(Common Criteria) 인증’을 평가하는 기관이다. 이 연구소는 국제적인 정보보안 평가 회사인 데크라(DEKRA) 소속의 자회사다.

CC 인증은 인증을 희망하는 기업이 테스트 의뢰를 요구하면 민간 연구소가 보안 평가를 진행하고, 테스트 레벨에 따른 조건을 만족할 경우 연구소가 제출한 보고서 결과에 따라 해당 정부가 인증서를 발급하는 프로세스를 따른다.

정치적인 통상 분쟁과 함께 보안 우려 논란에 휩싸인 화웨이는 스페인 정부로부터 CC 인증을 받아왔다. 5G 무선 기지국 장비의 CC 인증은 지난해에 테스트를 시작, 연내에 최종 결과가 도출될 예정이다.

테스트 결과 문제가 화웨이 5G 장비에 문제가 없으면 스페인 국가보안기구 소속의 국립암호학센터에서 인증서를 발급하게 된다. 스페인 국가보안기구는 그동안 총리실 직속 산하에서 국방부 산하로 이전했다.

CC 인증을 획득하게 되면 해당 국가에서만 인정받는 것이 아니라 한국과 미국을 포함한 30개 국가에서 CC 인증서가 유효하다. CC 인증을 유효하게 여기는 정부 간 협약에 따른 것이다.

즉, CC 인증서를 인정하기로 30개 국가 안에서는 어느 한 나라에서 CC 인증을 획득하더라도 다른 나라에서 테스트 결과를 인정한다는 뜻이다.

예컨대 현재 테스트가 진행 중인 화웨이 5G 무선 장비는 총 7단계 중에 4단계(EAL4) 수준에 해당하는 평가를 받고 있다. E&E의 평가 결과에 따라 스페인 정부가 EAL4 CC인증서를 부여하면 한국과 미국에서는 EAL2 CC 인증을 인정하게 된다.

아울러 CC 인증은 단 한번의 통과로 인증서가 유효하게 적용되는 것이 아니라 무선 기지국의 경우 격년 단위로 재점검을 받아야 한다.

■ “화웨이, 매년 보안 점검받는 유일한 장비 회사”

MWC19가 열린 스페인 바르셀로나 현지에서 화웨이 장비의 보안 테스트를 진행중인 E&E의 미구엘 바농 대표는 국내 취재진과 인터뷰를 통해 “화웨이 장비의 모든 인터페이스와 내부 설계, 안전성과 보안, 기본 기능 테스트를 진행하고 있다”면서 “가장 중요하게 여기는 부분은 해당 장비에 취약성이 존재하는지 검증하는 점”이라고 말했다.

이어, “만약 보안 검증 평가 중간 단계에서 보안 기준에 미달하는 부분이 발견 되면 중간 리포트를 해당 벤더와 정부에 송부한다”며 “화웨이 5G 장비는 아직 테스트가 진행중인데 아직 보안 기준에 미달하는 점이 발견되지 않았다”고 덧붙였다.

화웨이 장비를 점검하면서 보안 기준을 충족하지 못한 경우는 없었다는 점이 주목된다.

미구엘 바농 대표는 “화웨이 장비의 보안 평가를 진행한 지난 9년 동안 보안 기준 미달로 중간 리포르틑 보낸 적은 단 한번도 없다”며 “화웨이 장비의 정보보안 품질은 나날이 향상되고 있고, (인증서를 발급하는 주최인) 정부 쪽에서는 2년마다 한번씩 인증서를 다시 리뷰하고 갱신해야 하는데 이 점에서도 기준에 미달한 적이 없다”고 밝혔다.

그는 또 “LTE 장비부터 시작해 5G 장비 모두 화웨이만 유일하게 인증을 의뢰한 벤더”라면서 “앞으로 수개월 내로 인증서 발급이 나올 수 있는(CC 인증 테스트를 진행중인) 유일한 벤더고, (CC인증은 2년마다 갱신해야 하지만) 화웨이는 회사 정책적으로 매년 인증서를 갱신하고 있다”고 덧붙였다.