“5세대(5G) 이동통신 보안 위협에 대비하기 위해 밸류체인 전 부문이 표준, 규제, 제품 개발에 참여하는 협력체계를 구축해야 한다”.
이준호 한국화웨이 최고보안책임자(CSO, 전무)는 “5G 보안의 완성은 보편적으로 인정할 수 있는 보안 신뢰 체계를 구축하는 데서 시작된다”며 이같이 역설했다.
이 전무는 △악성코드, 펌웨어 해킹, 디바이스 탬퍼링, IoT 봇넷 감염(디바이스 보안 위협) △디도스(DDoS) 공격과 무선 신호 채널에 대한 재밍 공격과 허위 기지국을 통한 사용자 위치 정보 탈취, 전송 정보의 변조(무선 액세스 보안 위협) △네트워크 슬라이싱 및 다중 엑세스 에지 컴퓨팅(MEC) 공격(코어망 보안 위협) △인터넷 서비스 사업자나 이동통신 사업자, 5G 수직산업 사업자 공격(외부연결 및 애플리케이션의 보안 위협)을 5G 보안 위협으로 예상했다.
그는 “이같은 보안 위협으로부터 5G 네트워크 사용자 트래픽과 서비스를 보호하기 위해 새로운 보안기술을 설계하고 솔루션을 개발, 구축, 운영해야 한다”며 “표준화 단계에서 국가간 네트워크와 시스템의 상호 연동을 위해 통신 프로토콜과 인터페이스를 안전하게 설계하고 장비 개발 제조사는 표준에서 요구하는 보안 기준에 맞는 장비를 개발해야 한다”고 제언했다.
이어 “통신 사업자는 장비 제조사의 통신장비와 서비스 애플리케이션이 보안 요구사항에 맞게 구현됐는지 공급망 제품을 검증해 안전한 네트워크, 서비스를 설계·구축해야 한다”며 “서비스 운영 단계에서는 고도화되고 지능화된 사이버공격에 대한 취약점을 제거하고 침해사고에 대한 복원력을 강화해야 한다”고 주문했다.
이 전무는 또 “유럽연합(EU)의 5G PPP에서 제시한 5G 보안 아키텍처에 따르면 장비개발, 구축 단계에서 네트워크 도메인을 비롯한 수평적 보안이 중요하다”며 “사용자 단말 장치(UE) 동일 플랫폼 상의 수직적으로 존재하는 HW 제조사 보안영역, USIM 보안, 애플리케이션 ID 보안, 슬라이스 서비스 보안 기능 또한 일관되게 유지해야 한다”고 설명했다.
이 전무는 “5G보안 위협을 통제 가능한 수준으로 유지하기 위해 장비 제조사, 통신사 등 밸류체인 참여자 각각의 역할을 수행해야 한다”며 “모두가 참여해 각자 책임과 통일된 표준을 정의하고 명확한 규제 조치를 제정할 때 모두가 인정할 수 있는 보안 신뢰 체계를 구축할 수 있다”고 역설했다.
화웨이의 보안 정책과 관련해선 “2010년부터 보안 표준과 고객, 정부가 요구하는 네트워크 보안 사항을 참고해 통합적 장비 개발 프로세스(IPD)에 네트워크 보안 조치를 추가했다”며 “설계 단계에서 최고 솔루션 중 하나인 '스트라이드' 위협 모델링 방법을 도입했고 공격 트리와 프라이버시 PIA 요소를 첨가해 화웨이만의 ASTRIDE 위협 모델링 설계 방법론을 만들었다”고 소개했다.
이어 “통신사의 핵심 정보 인프라에서 네트워크 유연성 관리를 위해 상무부 소속 국립표준기술연구소의 CSF 프레임워크를 참고해 '네트워크 유연성 구축 방법론'(IPDDR) 알고리즘을 활용, 네트워크 서비스에서의 핵심 리스크를 제어하고 있다”고 말했다.
이 전무는 “화웨이가 270개 이상 보안 인증서를 취득했다”며 “5G장비와 관련해 5월 통신 장비 제조사 최초로 CC(Common Criteria) EAL4+ 인증 획득했고 8월에는 5G 무선 기지국(5G RAN gNodeB), 5G 코어 네트워크 장비 등 화웨이의 네트워크 장비에 대해 세계이동통신사업자협회(GSMA)와 3GPP가 공동 제정한 네트워크 장비 보안 보증 체계 'NESAS(Network Equipment Security Assurance Scheme)'를 통과했다”고 설명했다.
최호기자 snoop@etnews.com
