[데스크라인]안보와 보안성 평가

[데스크라인]안보와 보안성 평가

화웨이 네트워크 장비를 둘러싼 국내외 보안 논란이 끝이지 않고 있다. 미국, 호주, 뉴질랜드, 캐나다, 일본, 영국, 독일까지 서방 국가들이 연이어 국가 안보를 이유로 통신 기간산업에 화웨이 장비 도입 금지 검토에 들어갔다. '스파이' 논란 때문이다. 화웨이 등 중국 기업이 자사 제품을 이용, 각국 기밀을 빼돌린다는 의심을 사고 있는 것이다.

이들 국가는 어떻게 화웨이 장비 도입을 막고 있을까. 민간 기업의 화웨이 장비 도입을 법적으로 제재할 방법은 없다. 독일 정부는 지난해 11월 의회 질의에 “화웨이 장비 도입을 법적으로 제재할 방법이 없다”고 밝혔다. 미국, 일본 등은 정부기관에 중국 제품을 사실상 금지하는 내규를 마련했다.

각국은 대외적으로 차세대 5G 네트워크 장비 보안 요건을 강화, 화웨이 진입을 막고 있다. 시험, 평가란 방법으로 장비 보안 요건을 강화하고 있다. 국가 공공기관에 설치하는 네트워크 장비에 대해서는 고난도 시험과 평가로 검증에 나섰다. 우리나라 역시 공공기관에 들어가는 네트워크와 보안 제품을 시험하고 평가하는 절차가 있다. 보안성 검토 제도로 안전성이 확보된 제품만 주요 시설과 공공기관에 설치한다. 우리는 1995년에 정보보호제품 평가제도를 시작했다. 공공기관에 들어가는 제품에 대한 보안성 시험과 평가는 20년이 넘었다.

GettyImages
GettyImages

우리 보안성 시험 평가 능력은 화웨이 논란을 잠재울 수준인가. 안타깝게도 우리는 20년 넘도록 보안성 검토 제도를 운영했지만 고등급 시험 평가 기술 역량은 미흡한 편이다. 체크리스트 기반 통과와 탈락 방식으로 검사했으며, 주요 정보통신기반 시설에 들어가는 장비는 도입 때 보안성 검토 통과는 물론 수명이 다할 때까지 지속해서 모니터링이 돼야 한다.

선진국은 제품 보안 요구 사항 분석부터 설계, 구현, 운영, 유지보수에 이르는 시스템 생명 주기 단계 전반에 걸쳐 보안성·일관성·추적성을 검사한다. 특히 화웨이 장비처럼 세계적 논란이 되는 장비에 대해선 이런 과정이 필수다.

우리는 제품이 정부기관이나 주요 시설에 도입되는 단계에서도 고등급의 보안성 시험 평가를 할 수 있는 기반이 부족하다. 시스템 생명 주기의 단계별 추적 검사는 되지 않는다.

제도 시행은 오래됐지만 고등급 보안성 시험 평가 인력 양성과 기술 개발은 미흡하다. 공공기관에 제품을 넣는 최소 수준의 보안 시험 평가에 머물렀다. 제품이 도입될 때 보안성 검토를 통과하면 그만이다. 시험 평가 기반은 결국 숙련된 인력과 기술 확보가 필수다. 네트워크 장비뿐만 아니라 각종 무기 체계까지 네트워크와 연결된 기기는 늘어난다. 이런 기기 도입 시 우리가 보안성을 검증할 충분한 능력을 갖추고 있다면 불필요한 논란은 줄어들 것이다.

화웨이와 같은 논쟁은 더욱 빈번해질 것이다. 각국은 자체 네트워크 보호를 위해 공급망 보안을 더욱 강화할 수밖에 없다. 이런 논란이 있을 때마다 우리는 선진국 눈치를 보며 이러지도 저러지도 못하고 국력 탓만 하고 있을 것인가.

우리가 스스로 철저히 검증하고 추적할 능력을 길러야 한다. 보안성 시험 평가 능력은 국가 안보를 지키는 명확한 과학 방법이다. 누구의 눈치도 보지 않고 스스로 안보를 확보할 수 있는 역량이다.

김인순 SW융합산업부 데스크 insoon@etnews.com