[RSA 2020]브루스 슈나이어 "화웨이 이슈, 진짜 문제는 미션 알 수 없다는 것"

브루스 슈나이어 하버드대 교수가 26일(현지시간) 미국 샌프란시스코 모스콘 센터에서 열린 RSA 2020에서 화웨이 이슈에 대해 의견을 밝히고 있다. 오다인 기자
브루스 슈나이어 하버드대 교수가 26일(현지시간) 미국 샌프란시스코 모스콘 센터에서 열린 RSA 2020에서 화웨이 이슈에 대해 의견을 밝히고 있다. 오다인 기자

“위험한 건 도청이 아닙니다. 도청은 (미국 정부가) 파악할 수 있습니다. 은밀한 명령에 의해 언젠가 무엇이 켜지고 다른 장비가 작동하지 않는 것, 이것이 우리가 (화웨이 이슈를 놓고) 우려하는 바입니다.”

브루스 슈나이어 하버드대 교수는 2017년 드러난 아프리카 연합(AU) 도청 사건을 예로 들며 이 같이 말했다. 중국 정부는 2012년부터 5년간 50개국으로 구성된 에티오피아 소재 아프리카 연합(AU) 건물에 도청 장치를 심어 정보를 빼돌렸다. 슈나이어 교수는 “5세대(5G) 이동통신 라우터가 중국으로 정보를 보내면 우리는 결국 알게 된다”면서 “이보다 어떤 장비가 향후 무엇을 할지 사전 탐지하는 것이 극단적으로 어렵다”고 설명했다.

26일(현지시간) 미국 샌프란시스코 모스콘 센터에서 열린 RSA 2020에서는 화웨이와 공급망 보안에 관한 토론이 펼쳐졌다. 화웨이 장비 도입에 관한 미국 내 핵심 관계자와 보안 전문가가 나서 의견을 나눴다. 슈나이어 교수를 비롯해 케이티 애링톤 미국 국방부 획득 부문 정보보호최고책임자(CISO), 도널드 퍼디 미국 화웨이 최고보안책임자(CSO), 케스린 왈드론 아르(R) 스트리트 인스티튜트 펠로우가 패널로 참석했다. 공급망과 생태계 복잡성, 백도어에 관한 미신과 현실, 무역 분쟁과 사회기반시설 리스크, 시험과 인증 역할에 관해 토론했다.

화웨이 측 입장을 대변한 퍼디 CSO는 “세계 모든 장비가 무력화됐을 때 미국이 대응할 능력이 있는지 묻고 싶다”면서 “최소 5개국이 하드웨어(HW)와 소프트웨어(SW)에 특정 기능을 숨길 수 있는 실정에서 미국이 더 안전한 나라가 되도록 도와달라”고 말했다. 5개국이 어디냐는 질문에 대해서는 답하지 않았다.

애링톤 CISO는 “미국은 내외부로 이미 많은 리스크에 직면해 있는 상태”라면서 “더 큰 위험을 초래할 리스크가 있다면 차치하는 것이 맞다”고 강조했다. 미국 정부는 조사·분석 결과에 따라 화웨이를 배제해야 한다고 판단 했다. 왜 배제해야 하는지 위험을 알면서도 굳이 화웨이 장비를 도입할 필요가 없다는 설명이다. 이어 “백도어 자체는 문제가 아니다”면서 “(어떤 기업이 제품을 통해) 다른 나라를 통제하려는 사실이 미국에 위험 요소가 된다면 배제해야 한다”고 덧붙였다.

미국 국가안보국(NSA)이 RSA 제품에 백도어를 심는 대가로 1000만달러(약 120억원)를 지불한 사건도 언급됐다. 이 사건은 에드워드 스노든 NSA 전직 직원 폭로 이후인 2013년 12월 세상에 알려졌다. 왈드론 펠로우는 “사법당국이 아동착취 방지 같은 좋은 목적으로 백도어를 요구했다 하더라도 공급망 측면에서 보면 정권이 바뀌었을 때 어떻게 악용될지 모르는 것이 문제”라고 말했다.

슈나이어 교수도 동의했다. 그는 “하나의 인터넷과 하나의 세계에선 답도 하나여야 한다”면서 “보안이 중요한 세상을 만들자고 외치는 나라가 되려면 그 나라부터 그런 시스템을 만들어야 한다”고 했다. 도청은 미국만 할 수 있고 다른 나라는 안 된다는 모순된 입장을 바꾸라는 것이다. 모든 국가가 도청을 하든, 어떤 국가도 할 수 없든 하나의 입장을 고수하라고 미국 정부에 촉구했다.

샌프란시스코(미국)=

오다인기자 ohdain@etnews.com