국가보안기술연구소 관계자는 3일 “2016년 1월부터 네트워크 장비도 소스코드를 전부 제출받아 세밀히 검사하는 CC인증을 할 계획”이라면서 “대상은 국내에 들어와 있는 (시스코, 화웨이 등) 외국계 장비 뿐 아니라 (삼성전자(005930) 등) 국내 장비도 포함된다”고 말했다.
소스코드란 컴퓨터 프로그램에 대해 모든 것을 기록한 상세 설계도로, 이를 들여다보면 백도어 프로그램을 통한 기밀 유출 여부를 진단할 수 있다.
그는 또 “예산과 인력 등의 문제로 당장 네트워크 장비에까지 CC인증을 하긴 어렵다”면서 “일단 올해 10월부터 국내 공공 및 국가기관에서 네트워크 제품을 도입할 때 보안 적합성 검증을 할 예정”이라고 덧붙였다.
네트워크 장비에 대한 보안 적합성 검증은 소스코드를 받아서 하는 CC인증에 비해 수월하다. 국방부나 외교부에서 “이 장비를 써도 되는가?”라고 문의하면, 국정원이 해당 기관의 네트워크 상태 등을 보고 “안전하다”, “그렇지 않다” 정도로 판단해준다. 그러나 CC인증은 제품을 만든 회사로부터 소스코드를 받아 보안성 심사를 자세히 하게 된다.
하지만 LG유플러스(032640)의 화웨이 장비에 대해서는 당장 적용되지 않는다. LG유플은 2.6GHz 롱텀에볼루션(LTE) 서울·수도권 장비로 화웨이를 택했는데, 도청 논란이 일자 이상철 부회장의 지시에 따라 올해 3월 중 스페인의 인증기관인 EneccLab에 CC 인증을 의뢰하기로 했다. 6월 경 제품 테스트가 이뤄지고, 9월경 CC인증 여부가 결정된다.
|
그러나 국내에서 인증받지 않는 이상 소스코드를 확보할 수 없어 한계라는 지적도 있다.
또한 미국 하원은 화웨이 제품의 미국 내 진입에 반대하는 최종 보고서(Investigative Report on the U.S. National Security Issues Posed by Chinese Telecommunications Companies Huawei and ZTE)를 내면서 “민간기구를 통한 완제품 CC 평가는 안보위협을 해소하는 데 불충분하다”고밝힌 바 있다.
김용대 KAIST 교수(시스템 보안 전공)는 “화웨이 장비뿐 아니라, 몇 년 전 MS의 윈도NT 제품에서 ‘미국국가안보국(NSA)키’라고 적힌 비밀키가 발견됐고, 얼마 전 게임 앱 앵그리버드를 통해 NSA 등이 개인정보를 낚아챘다는 외신이 나오는 등 국내에 공급되는 네트워크 제품이나 소프트웨어 제품에 대한 보안인증의 필요성이 커지고 있다”고 말했다.
또 “해당 회사가 고장 시 원격수리를 위해 백도어를 만들었는지, 고의로 넣었는지 구분이 어려운 점이 있다”면서도 “우리나라도 이제부터라도 기술검증을 위해 노력해야 하며, 국내 통신망에 들어가는 인프라망은 국내 장비를 쓰는 게 좋다”고 밝혔다.
▶ 관련기사 ◀
☞ 국내진출 화웨이, 유럽과 상생에 34억 달러 투자..왜?
☞ 화웨이 "영국정부 화상장비 퇴출 보도는 오보"
☞ SKT-삼성 vs LG유플-화웨이, 3밴드 LTE-A '기싸움'..소비자는 혼란
☞ 화웨이 논란 계기로 미래부, '네트워크 보안연구반' 설치
☞ 화웨이, 사이버 보안 백서 한글판 발간
☞ [일문일답]LG유플이 화웨이 장비 선택한 이유는?
☞ 이상철 "화웨이 장비, 국제기관서 보안성 검증받겠다"