상반기 최대 개인정보보호&정보보안 컨퍼런스 G-PRIVACY 2021이 4월 28일과 29일 양일간 온라인으로 보안실무자 1,700여 명이 참석한 가운데 성황리에 개최됐다.
이 자리에서 한국화웨이 이준호 CSO(전무)는 ‘안전한 5G 세상을 만들기 위한 노력과 글로벌 스텐다드’를 주제로 강연을 진행했다.
그는 강연을 통해, 대한민국은 5G 선도국가로 빠르게 5G폰과 IoT가 확산되고 있으며 이에 따른 보안위협 또한 증대되고 있는 상황이라며, 신뢰할 수 있는 5G 세상을 만들기 위한 국제적인 노력과 동향에 대해 살펴보는 시간을 가졌다.
이준호 CSO는 “5G의 가용성에 사회가 더욱 의존하게 될수록, 사이버 보안과 개인정보 유출에 대한 우려가 커지고 있으며, 범죄 조직, 전문 해커와 같은 집단이 네트워크와 시스템의 취약성을 이용하기 위해 애를 쓰다”며 “5G는 전력망과 운송 네트워크, 그리고 통신 인프라에까지 영향을 끼칠 것이기 때문에, 이를 바로잡는 것이 매우 중요하다”고 강조했다.
이러한 5G 보안위협과 개인정보유출에 대한 우려는 어떤 기준과 방법으로 줄일 수 있을까?
◇5G 보안 표준 준수를 위한 노력들…3GPP와 CC인증, NESAS
그는 그 대안으로 국제표준에 대해 설명했다. 우선 5G의 국제표준을 만드는 곳으로 ‘3GPP’라는 단체를 소개했다. 3G 표준 규격인 WCDMA도 이곳에서 정해졌다. 국제전기통신연합(ITU)는 3GPP에서 정한 표준을 기반으로 5G 표준을 최종 승인한다.
즉, 3GPP가 전 세계 통신 규격을 맞추고 있으며, 3GPP가 인정한 글로벌 통신 규격을 따르면 전 세계 어디서나 통신 서비스가 가능하다는 것이다. 3GPP의 일정표는 코로나로 인해 1년 여가 지연 되었지만, 2022년 6월 최종 완성을 목표로 릴리즈 17이 진행 되고 있다. 릴리즈 17의 핵심기능은 산업용 IoT를 위한 초저지연 성능(URLLC)을 고도화하는데 있다.
특히 3GPP의 5G 네트워크 보안 목표는 변하지 않았다. 바로 ‘네트워크와 데이터의 기밀성, 무결성, 가용성을 보장하는 것이다. 이것은 이전 4G 시대의 보안 목표와 같다.
또 CC인증은 전 세계적으로 많은 정부의 인정을 받는 국제 표준의 보안 인증 방법이다. 현재 31개국에서 CC인증서가 유효하다. 보증등급이 높을수록 더 안전하게 자산을 보호받을 수 있고, 내부 데이터 등 중요 자산에 대한 침해를 예방하여 경제적인 손실에 대비할 수 있다.
이준호 CSO는 “화웨이는 지난해 5월, 세계 최초로 5G 기지국 장비에 대한 CC 인증을 획득했다”며 “스페인 보안평가 기관 E&E(Epoche and Espri) 연구소로부터 하드웨어 뿐만 아니라 소스코드까지 철저히 검증 후 네트워크 장비로 취득할 수 있는 최고 레벨인CC EAL4+ 등급으로 최종 확정되어 스페인 정보국 산하 인증기관인 CCN(Centro Criptologico National)으로부터 인증서를 발급 받았다”고 설명했다.
이어 NESAS에 대한 설명도 이어졌다. 새로운 5G 표준은 네트워크의 보안과 강력한 통합 인증 절차, 고급 암호화 기술과 같은 향상된 기술을 제공하고 있다.
5G 표준의 개발을 리드하고 있는 3GPP와 GSMA는 현재 통신 장비 및 타사 테스트 연구소를 위한 추가 표준 기준을 개발하고 적합성을 인증하기 위해 노력하고 있다. 그 노력은 바로 NESAS(네트워크 장비 보안 보증 체계)라고 불린다.
NESAS는 GSMA와 3GPP가 함께 제정한 네트워크 장비 보안 보증 체계로 장비 업체가 공급하는 5G 네트워크 제품·솔루션이 글로벌 통신 업계에서 통용되는 보안 표준에 적합한지를 검증하는 보안 보증 체계다.
GSMA는 세계이동통신사업자협회를 말한다. 이동통신 사업자와 단말기 및 기기 제조사, 소프트웨어 기업, 장비 공급사, 인터넷 및 모바일 업체 등 750여 개의 이동통신 관련 사업자와 350여 개사의 모바일 관련 업체가 참여하고 있다.
그는 “NESAS 인증은 모바일 산업을 위해 설계 된 맞춤화된 권위 있는 표준으로써, 보안 보증의 요구 사항 및 보안 보증 방안을 제공한다. 또 전 세계적으로 통용되며 간편성, 저비용, 빠른 속도의 높은 효율성을 가지고 있으며, 진화하는 개방형 표준이라는 3가지 장점을 가지고 있다”며 “NESAS인증은 2019년 1.0 출시 후 EU를 위한 5G 인증 체계로서 제안되었으며, 2020년 3월에 화웨이는 5G 기지국 공정 감사를 거쳐 5월에 화웨이 핵심 네트워크에 대한 프로세스 감사를 완료했다. 5G와 LTE 기지국 장비제조 업체 최초로 NESAS 검증을 통과한 것”이라고 설명했다.
이어 그는 “CC인증과 NESAS 인증 외에도 화웨이는 5G보안을 위한 추가적인 노력들을 하고 있다. 바로 TSECT 계획이다”라며 “이 계획은 신뢰할 수 있는 고품질 제품과 솔루션을 개발을 보장해 파트너 사와의 신뢰를 구축하는 데에 힘쓰고 있다. 제품 출시 전에 취약점을 테스트 할 수 있는 독자적인 보안 연구소를 보유하고 있으며, 고객이 요청 할 때는 그 결과를 제공한다”고 덧붙였다.
또한 “화웨이 R&D는 IPD라 불리는 통합 장비 개발 프로세스를 통해 장비 개발을 하고 있다. 2010년부터 다양한 업계 보안 표준과 고객 및 정부가 요구하는 네트워크 보안 수준에 맞춰 통합적 장비 개발 프로세스를 구축했다”며 “보안 조치가 장비와 솔루션 개발과정에서 효과적으로 실행되도록 해, 제품의 견고함을 높이고 프라이버시 보호를 강화해 고객에게 더욱 안전한 장비와 솔루션을 제공하는 것을 목표로 한다”고 전했다.
보다 상세한 정보는 이준호 한국화웨이 CSO의 G-PRIVACY 2021 강연영상을 참고하면 된다.
★정보보안 대표 미디어 데일리시큐!★
