[단독]국정원, '16년부터 네트워크 장비도 보안인증

국정원 IT보안인증사무국에서 국내외 네트워크 장비 대상 추진
LG유플 화웨이 장비는 스페인 인증기관서 추진
국내 보안인증 아니어서 한계라는 지적도
  • 등록 2014-02-04 오전 2:00:00

    수정 2014-02-04 오전 2:00:00

[이데일리 김현아 기자] 전직 미국 중앙정보국(CIA) 요원 에드워드 스노든의 폭로와 중국 업체 화웨이 장비의 도청논란으로 국내 통신망에 장착되는 네트워크 장비에 대한 보안 우려가 큰 가운데, 정부가 네트워크 장비에 대해서도 국제공통평가기준(CC)에 따른 보안 인증을 하기로 했다.

지금까지 CC인증은 국가정보원 IT보안인증사무국에서 웹방화벽이나 침입방지시스템 같은 보안 제품을 대상으로만 제한적으로 해 왔다. 하지만 2016년 1월부터는 기지국 장비 등 네트워크 제품도 CC인증 대상이 된다.

국가보안기술연구소 관계자는 3일 “2016년 1월부터 네트워크 장비도 소스코드를 전부 제출받아 세밀히 검사하는 CC인증을 할 계획”이라면서 “대상은 국내에 들어와 있는 (시스코, 화웨이 등) 외국계 장비 뿐 아니라 (삼성전자(005930) 등) 국내 장비도 포함된다”고 말했다.

소스코드란 컴퓨터 프로그램에 대해 모든 것을 기록한 상세 설계도로, 이를 들여다보면 백도어 프로그램을 통한 기밀 유출 여부를 진단할 수 있다.

그는 또 “예산과 인력 등의 문제로 당장 네트워크 장비에까지 CC인증을 하긴 어렵다”면서 “일단 올해 10월부터 국내 공공 및 국가기관에서 네트워크 제품을 도입할 때 보안 적합성 검증을 할 예정”이라고 덧붙였다.

네트워크 장비에 대한 보안 적합성 검증은 소스코드를 받아서 하는 CC인증에 비해 수월하다. 국방부나 외교부에서 “이 장비를 써도 되는가?”라고 문의하면, 국정원이 해당 기관의 네트워크 상태 등을 보고 “안전하다”, “그렇지 않다” 정도로 판단해준다. 그러나 CC인증은 제품을 만든 회사로부터 소스코드를 받아 보안성 심사를 자세히 하게 된다.

LG유플 화웨이 장비는 스페인 인증기관서 추진

하지만 LG유플러스(032640)의 화웨이 장비에 대해서는 당장 적용되지 않는다. LG유플은 2.6GHz 롱텀에볼루션(LTE) 서울·수도권 장비로 화웨이를 택했는데, 도청 논란이 일자 이상철 부회장의 지시에 따라 올해 3월 중 스페인의 인증기관인 EneccLab에 CC 인증을 의뢰하기로 했다. 6월 경 제품 테스트가 이뤄지고, 9월경 CC인증 여부가 결정된다.

LG유플러스 측은 “국내 공급 장비에 대해 국제적인 보안안정성 평가기준(CC)에 따라 보안인증이 이뤄지니 기밀유출 우려를 없앨 수 있다”는 입장이다.

미국 하원이 발간한 ‘화웨이 관련 국가안보 조사보고서 ’ 표지. 미국은 ‘20009년부터 통신장비를 이용한 중국의 사이버 안보 위협에 주목해 왔고, ’2012년 10월 하원 정보위원회에서 관련 안보 이슈를 포괄적으로 검토한 보고서를 내놨다. 조사내용에는 중국정부 관련성, 중국정부 영향력, 중국 정부의 특혜 제공 여부, 화웨이 본사의 미국법인 영향력, IPR 등 미국 법률 준수 여부 등도 포함됐다.
국내 보안 인증 아니어서 한계 지적도

그러나 국내에서 인증받지 않는 이상 소스코드를 확보할 수 없어 한계라는 지적도 있다.

또한 미국 하원은 화웨이 제품의 미국 내 진입에 반대하는 최종 보고서(Investigative Report on the U.S. National Security Issues Posed by Chinese Telecommunications Companies Huawei and ZTE)를 내면서 “민간기구를 통한 완제품 CC 평가는 안보위협을 해소하는 데 불충분하다”고밝힌 바 있다.

김용대 KAIST 교수(시스템 보안 전공)는 “화웨이 장비뿐 아니라, 몇 년 전 MS의 윈도NT 제품에서 ‘미국국가안보국(NSA)키’라고 적힌 비밀키가 발견됐고, 얼마 전 게임 앱 앵그리버드를 통해 NSA 등이 개인정보를 낚아챘다는 외신이 나오는 등 국내에 공급되는 네트워크 제품이나 소프트웨어 제품에 대한 보안인증의 필요성이 커지고 있다”고 말했다.

또 “해당 회사가 고장 시 원격수리를 위해 백도어를 만들었는지, 고의로 넣었는지 구분이 어려운 점이 있다”면서도 “우리나라도 이제부터라도 기술검증을 위해 노력해야 하며, 국내 통신망에 들어가는 인프라망은 국내 장비를 쓰는 게 좋다”고 밝혔다.

▶ 관련기사 ◀
☞ 국내진출 화웨이, 유럽과 상생에 34억 달러 투자..왜?
☞ 화웨이 "영국정부 화상장비 퇴출 보도는 오보"
☞ SKT-삼성 vs LG유플-화웨이, 3밴드 LTE-A '기싸움'..소비자는 혼란
☞ 화웨이 논란 계기로 미래부, '네트워크 보안연구반' 설치
☞ 화웨이, 사이버 보안 백서 한글판 발간
☞ [일문일답]LG유플이 화웨이 장비 선택한 이유는?
☞ 이상철 "화웨이 장비, 국제기관서 보안성 검증받겠다"


이데일리
추천 뉴스by Taboola

당신을 위한
맞춤 뉴스by Dable

소셜 댓글

많이 본 뉴스

바이오 투자 길라잡이 팜이데일리

왼쪽 오른쪽

스무살의 설레임 스냅타임

왼쪽 오른쪽

재미에 지식을 더하다 영상+

왼쪽 오른쪽

두근두근 핫포토

왼쪽 오른쪽

04517 서울시 중구 통일로 92 케이지타워 18F, 19F 이데일리

대표전화 02-3772-0114 I 이메일 webmaster@edaily.co.krI 사업자번호 107-81-75795

등록번호 서울 아 00090 I 등록일자 2005.10.25 I 회장 곽재선 I 발행·편집인 이익원 I 청소년보호책임자 고규대

ⓒ 이데일리. All rights reserved