서포크 글로벌보안책임 "통신 데이터 접근 권한 없어…운영사 책임"
"백도어·킬스위치 본적 없어…매년 외부 평가자 통해 보안 검증"
존 서포크 화웨이 글로벌사이버보안책임(GSPO) |
(서울=연합뉴스) 고현실 기자 = 중국 통신장비제조업체 화웨이는 5G 장비 보안 우려와 관련해 한국 정부의 요구 사항이 있다면 따를 의사가 있다고 밝혔다.
화웨이 보안을 총괄하는 존 서포크(John Suffolk) 글로벌사이버보안책임(GSPO)은 30일 국내 취재진과 화상 인터뷰에서 "한국 정부가 보안과 관련된 요구를 한다면 따를 의향이 있다"며 "한국 정부가 요구하는 인증이 있다면 당연히 인증을 취득할 것"이라고 말했다.
다만 "정부가 보안 가이드라인이나 표준을 정해서 모든 장비공급사(벤더)에 따르도록 요구해야 전체 보안이 강화될 수 있다"며 화웨이를 집중적으로 겨냥한 보안 검증에 대해서는 우려를 드러냈다.
도청과 정보유출을 가능하게 하는 백도어(backdoor) 존재 여부에 대해서는 "백도어나 킬스위치(차단장치)는 한 번도 본 적이 없다"며 "보안 취약점이 없다고 말할 수는 없지만, 취약점을 이용해 정보를 빼간 사례는 현재까지 없다"고 강조했다.
이날 인터뷰는 중국 광둥(廣東)성 선전(深천<土+川>) 본사를 화상으로 연결하는 방식으로 이뤄졌다.
화웨이의 글로벌 보안 총괄이 국내 취재진과 인터뷰를 하는 것은 이번이 처음이다. 화웨이가 국내에서 불거진 보안 이슈를 그만큼 심각하게 여기고 있다는 점을 보여주는 대목이다.
화웨이는 내년 3월 5G 상용화를 앞두고 국내 이통사의 5G 장비업체로 유력하게 거론되고 있지만, 장비 내부의 백도어를 통해 중국 정부로 정보가 유출될 수 있다는 우려가 꾸준히 불거지면서 여론의 비판에 직면한 상황이다.
여기에 한국 정부가 보안 문제를 철저히 들여다보겠다는 입장을 밝히면서 위기감이 더욱 커졌다는 게 업계의 관측이다.
존 서포크 보안책임은 국내외에서 보안 문제가 제기되는 배경에 의구심을 드러내며 "보안의 책임은 궁극적으로 운영사에 있으며, 우리는 데이터에 접근할 권한이 없다"고 선을 그었다.
그는 화웨이 보안 정책의 핵심으로 개방성과 투명성을 꼽으며 "보안 우려를 심각하게 받아들이기에 무조건 우리 말을 믿으라고 하지 않는다. 대신 직접 와서 보고 검증하라고 한다"고 자신감을 드러냈다.
다음은 서포크 글로벌사이버보안책임과의 일문일답.
-- 한국에서 화웨이 5G 장비 보안에 대한 우려가 있다. 대응책이 있나.
▲ 화웨이는 업계에서 만든 표준을 따라갈 수밖에 없는 상황이다. 우리는 장비공급사일 뿐이다. 제품을 설계하고 판매하지 실제로 운용하지 않는다. 사이버 보안의 책임을 지는 것은 오퍼레이터(이통사 등 운영사)다. 기술 자체가 아니라 기술을 활용하는 부분에서 보안 문제가 제기될 수 있기 때문이다. 우리는 이통사들이 안전한 환경에서 제품을 쓸 수 있도록 지원할 도덕적 책무가 있다.
-- 미국과 유럽이 왜 화웨이 장비의 보안을 우려한다고 보나.
▲ 미국이나 유럽에서 제기한 우려들이 진짜 기술이나 보안과 관련한 우려인지 궁금하다. 화웨이가 빠르게 성장하는 기업이라는 점도 말씀드리고 싶다. 미국 쪽에서 보안 우려를 제기할 때 모든 것을 다 보여주고, 뭘 더 해야 하는지 물으니 구체적인 대답을 못 했다. 문제 제기 자체는 긍정적으로 본다. 개선 조치를 할 수 있기 때문이다. 우리는 모든 요구 사항에 따를 준비가 돼 있다. 하지만 막연하게 믿음이 안 간다는 우려에 대해서는 우리를 포함한 모든 벤더가 어떻게 해야 할지 모를 것이다.
-- 백도어를 통해 정보를 빼내는 것이 가능하다는 우려가 있다.
▲ 백도어나 킬스위치, 중국 정부의 영향력 등과 관련한 문제는 내가 화웨이에 입사한 2010년 이후 계속 있었다. 설령 백도어나 킬스위치가 있다 하더라도 화웨이가 공급하는 부품은 네트워크 장비의 30%밖에 되지 않는다. 게다가 화웨이의 모든 제품을 중국에서 생산하는 것도 아니다. 화웨이 연구개발(R&D)센터의 60%는 전 세계에 퍼져 있다. 중국 정부가 전 세계에 퍼진 R&D센터에 영향을 미칠 수는 없다. 하지만 이런 우려를 심각하게 받아들이기에 무조건 우리 말을 믿으라고 하지 않는다. 대신 직접 와서 보라고 얘기한다. 우리 정책, 프로세스, 개발 방식 등을 직접 보고, 테스트하라고 제안한다. 우리는 모든 것을 개방하고 있다.
-- 한국 정부나 이통사가 특별히 요구하는 인증이나 보안 검증에 응할 의사가 있나?
▲ 한국 정부가 보안 관련된 요구를 한다면 당연히 따를 의향이 있다. 한국 정부가 네트워크를 보호하기 위해 가이드라인이나 표준을 정해서 모든 벤더에 따르도록 요구할 것으로 생각한다. 이를 모든 벤더가 다 같이 지켜야 전체 보안이 강화될 수 있다. 한국 정부가 요구하는 인증이 있다면 당연히 인증을 취득할 것이다. 한국 정부나 이통사와 한국에 적합한 모델이 뭔지 이야기할 의향이 있다. 중국 본사 평가센터를 활용해 한국에 최적의 방식으로 공급하는 방안을 고민할 것이다.
-- 영국 정부가 최근 장비 보안 문제를 지적했다.
▲ 영국 정부는 2010년부터 화웨이 사이버안보평가센터(HCSEC)를 통해 매년 우리 제품을 검증해왔다. 영국 정부에서 문제를 찾아낸 점에 대해 감사하게 생각한다. 우리는 고객이 원하는 바에 따라 모든 것을 할 수 있다. 우리는 문제가 있다면 공개하는 투명한 기업이다. 보안 우려와 관련해 두 개의 박스를 생각해보라. 하나는 계속 검사하고 검증하는 박스이고 하나는 아무런 검사나 검증을 하지 않는 박스다. 우리는 전자다. 도둑은 보안이 허술한 집으로 쳐들어갈 수밖에 없다.
-- 화웨이 장비의 보안 수준은.
▲ 알려진 백도어나 킬스위치는 한 번도 본 적이 없다. 경쟁사와 비교했을 때 화웨이가 훨씬 잘하고 있다. 매년 외부 평가자를 불러서 감사를 받게 하고 개선점을 찾는다. 취약점이 없다고 말할 수 없지만, 취약점을 이용해 정보를 유출한 사례는 현재까지 없다.
-- 중국 정부가 정보 제공을 요구할 경우 거절할 의사가 있나.
▲ 중국 정부가 화웨이에 어떤 정보를 빼 오라고 요구할 법적 근거는 없다. 실제로 해커가 정보를 빼갈 확률도 낮다. 운영사마다 다른 장비 설정(configuration)을 파악해야 하고, 각국의 정보 인증을 통과해야 네트워크 해킹이 가능하다. 이론적으로 가능하지만, 실제 성공 가능성은 거의 제로에 가깝다. 그리고 우리는 공급사이기에 네트워크 데이터에 대한 접근 권한이 없다. 화웨이가 모든 네트워크 정보에 접근할 수 있다는 것은 사실이 아니다. 다만 오퍼레이터가 정보를 오픈할 경우에는 볼 수 있다.
okko@yna.co.kr
<저작권자(c) 연합뉴스, 무단 전재-재배포 금지>
이 기사의 카테고리는 언론사의 분류를 따릅니다.
기사가 속한 카테고리는 언론사가 분류합니다.
언론사는 한 기사를 두 개 이상의 카테고리로 분류할 수 있습니다.
언론사는 한 기사를 두 개 이상의 카테고리로 분류할 수 있습니다.