네트워크 / 보안

화웨이 장비를 허용한 영국 정부, "기업이 직면한 진짜 위험은"

Dan Swinhoe  | CSO 2020.02.14
미국 정부에는 유감스럽게도, 영국 정부는 1월 말 국내의 5G 배포 사업에 화웨이 장비 사용을 허용한다고 발표했다. 일부 서구 정보기관과 정치가들은 여전히 화웨이 기술을 사용하면 국가 안보에 위험이 초래될 수 있다고 주장하고 있지만, 이 결정은 영국의 5G 기술 및 네트워크 배치가 장기간 지연되는 것을 방지했다.

정치와 ‘미사어구’를 무시하면 5G가 영국 기업에 초래할 수 있는 진짜 위험은 무엇일까? 화웨이 때문에 이런 위험이 커질까?

 

ⓒ Getty Images 


조심스럽게 화웨이를 허용한 영국

화웨이는 ‘고위험 공급업체(high-risk vendor)’로 간주되고 있으며 제한된 범위에서만 활용될 수 있지만, 영국 정부는 이 공급업체와 관련된 위험이 받아들일 수 있으며 관리가 가능한 수준이라고 판단했다. 

NCSC는 화웨이를 허용하면서 화웨이 같은 고위험 공급업체의 기술을 영국 통신 네트워크에 사용할 때의 권고사항 또한 발표했다. 여기에는 핵심 네트워크 기능에 이런 고위험 공급업체의 기술을 사용하지 않는 것, 고위험 공급업체의 네트워크 장비를 35% 수준으로 제한하는 것, 국가 안보 및 보안에 중요한 장소에는 이 공급업체의 장비를 사용하지 않는 것, 핵심 국가 인프라나 정부 운영에 사용되는 네트워크에 배포하지 않는 것 등이 포함된다.

NCSC의 기술 책임자인 이안 레비 박사는 블로그 게시글에서 “우리는 통신업체들에게 종합적으로 위험을 관리할 수 있도록 제한된 방식으로 화웨이를 사용할 것을 요청했다. 우리는 화웨이를 믿은 적이 없다. 화웨이 사이버보안 평가 센터(HCSEC)나 감독위원회 보고서가 존재하는 이유는 우리가 화웨이를 다른 공급업체와 다르게 취급하기 때문이다”라고 설명했다.

레비는 NCSC가 화웨이를 고위험 공급업체로 간주하고 있지만, 유일한 고위험 공급업체는 아니라고 설명했다. 예를 들어, ZTE도 이런 공급업체 가운데 하나다. 또한 업계에 더 많은 선택권이 필요하다고 말했다. 레비는 “현재 영국에서 이용할 수 있는 5G 무선 엑세스 네트워크 구성요소를 대규모로 공급할 수 있는 공급업체는 노키아, 에릭슨, 화웨이 3개 업체에 불과하다. 이건 좋지 않다. 영국은 시장을 크게 다각화할 필요가 있다. 그래야 국가가 특정 공급업체에 지나치게 의존하는 것을 피할 수 있다”라고 강조했다.

NCSC에 따르면, 고위험 공급업체를 판단하는 요소들은 영국과 글로벌 시장에서의 규모, 공급업체 엔지니어링 관행에서의 투명성과 품질, 사이버보안 통제책, 과거의 관행, 회복력, 국가의 법령과 영향력 등 국가 및 지배구조 관련 고려사항 등이다. 

미국 정계는 영국의 이번 조치에 실망감을 표시하고, 향후 양국 관계에 영향이 있을 수 있다고 말했다. 미국과 호주는 국가 안보 및 보안에 대한 우려사항을 근거로 중국 기술 업체의 기술을 네트워크에 사용하는 것을 금지했다. 그러나 유럽은 조금 더 유연한 태도를 취하고 있다.

독일은 이미 5G 네트워크에 화웨이를 허용할 계획이라고 발표했고, EU위원회는 최근 고위험 공급업체를 안전하게 활용하는 방법에 대한 가이드 라인을 발표하고, 이런 공급업체에 대한 결정을 회원국에 일임하면서 암묵적으로 부합하는 경우 화웨이를 활용할 수 있도록 허락했다.


(가능할 수도 있는) 화웨이 백도어와 취약점

5G에 화웨이 기술을 활용했을 때 주된 우려사항은 화웨이와 중국 공산당의 관계, 중국 정부가 국가나 정보기관의 핵심 인프라에 직접 액세스를 할 수 있도록 백도어를 설치하도록 강요하고 있는지 여부와 관련이 있다. 이에 대한 직접적인 증거는 거의 없지만, 여전히 가능성이 있는 문제로 간주되고 있다. 

그러나 화웨이의 엔지니어링 관행을 걱정해야 할 이유가 더 많다. 몇 년 동안 영국의 통신 인프라에 화웨이 장비, 장치를 사용했지만, NCSC는 시장 점유율과 중국 정부와의 관계, 중국의 규제 환경, 그리고 낮은 엔지니어링 품질 때문에 오래 전부터 화웨이를 고위험 공급업체로 분류했다. 영국 핵심 인프라에 화웨이를 사용했을 때의 위험을 파악해 경감하기 위해 만든 조직은 HCSEC 감독 위원회는 앞서 화웨이의 엔지니어링 프로세스와 소프트웨어 개발 방법에 상당한 기술적 문제가 있다는 점을 발견했다.

HCSEC가 파악한 ‘소프트웨어 엔지니어링과 사이버보안 적합성의 중대하면서도 시스템적인 결함은 구성 관리와 관련된 문제들, 곧 지원이 중단될 구형 운영체제의 사용 문제, 소프트웨어 구성요소의 생애주기 관리의 문제들, 수 많은 소프트웨어 취약점 등이다. 그러나 HCSEC는 화웨이가 적극적으로 문제를 해결하고 있으며, 현재 준비된 것들이 화웨이를 영국 통신 부문에 참여시켰을 때의 위험을 파악해 경감할 최선의 방법이라는 점을 인정했다. 

독일 연방정부 보안실(Federal Office for Information Security, BSI)의 책임자인 아르네 쉔봄은 BSI는 중국 정부가 백도어 설치를 강요하고 있다는 증거를 발견하지 못했으며, 따라서 독일 네트워크에 화웨이 참여를 금지시키는 것이 정당화되지 않는다고 설명했다.

포지티브 테크놀로지스의 통신분야 사이버보안 전문가인 지미 존스는 “보안 기관들이 파악한 주된 문제는 테스트된 장치와 비교했을 때 배포된 장치의 일관성(품질)이 미흡하는 것이다. 화웨이가 사업자의 환경에 기술을 배치할 때 현장 지원에 사용하는 로컬 소프트웨어 솔루션과 관련된 문제다. 여러 공급업체들로 구성된 성숙한 네트워크에서 복잡성 문제를 초래하는 경향이 있기 때문이다. 소규모의 기존 솔루션은 영향을 적게 받는다. 정치적으로 화웨이를 중국 정부와 완전히 분리해 생각하기 힘들다. 따라서 진짜 문제는 정량화가 불가능한 신뢰 문제다. 화웨이 5G 기술 사용에 대한 개별 CIOS의 결정은 기업의 포지셔닝, 배포 상황, 핵심 비즈니스에 초래될 수 있는 위험에 바탕을 둬야 한다. 또는 개인 의견이나 견해가 개입될 수도 있다”라고 설명했다.


5G는 새로운 기술인가, 동일 이름의 위험 모델인가

5G는 데이터 이동 규모와 속도 측면에서 혜택을 제공한다. 그러나 다른 신기술들처럼 보안에 있어 알려지지 않은 부분이 여전히 많다. 대규모로 전개되기 전이지만, 이미 5G 표준과 프로토콜에서 취약점들이 발견되었다. 상당수는 이전 세대 기술에서 그대로 넘어온 취약점들이다. 

EU가 5G 관련 위험을 평가한 결과에 따르면, 이런 취약점 가운데 상당수는 5G 네트워크에만 국한되는 것이 아니지만, 5G 인프라에 대한 의존도가 높아지고 기술의 복잡성이 증가하면서 취약점의 수와 심각성이 증가할 확률이 있다.

존스는 “극소수의 사업자만 독립형 5G 네트워크를 전개할 것이다. 이 경우에도, 여러 세대를 혼합해 사용하면서 상호작용 측면에서 복잡성이 추가될 것이다. 많은 5G 네트워크는 기존 4G 네트워크의 핵심 기술을 활용하 결과로 애초 상당한 보안 취약점들을 갖고 있었다. 5G가 대중화된 이후에도 3G 및 4G와 관련된 보안 위협이 오랜 기간 지속될 것이다. 그리고 이것이 향후 3~5년 동안은 기술 전개, 배포에 큰 영향을 줄 것이다”라고 설명했다.

익스플로잇 공격을 예로 들면, 크로스-프로토콜 공격(cross-protocol attack)을 통해 가입자의 IMSI(International Mobile Subscriber Identity)와 이런 연결과 관련된 고유 ID 번호를 파악할 수 있다. 또한, 3G 네트워크의 취약점을 이용하거나, 4G 요소를 통해 사업자 네트워크 구성에 대한 정보를 획득할 수 있다.

존스는 증강 현실과 드론, 무인 자동차, 로봇 등 5G의 사용례 상당수는 레이턴시(지연 시간)에 아주 민감하기 때문에 네트워크 작업이 엣지로 이동한다고 덧붙였다. 즉, 아주 안전한 데이터센터에 위치하는 대신, 인력과 보안 통제책이 더 적은 셀 타워 기지국 같은 소규모 엣지 시설에서 처리, 관리되는 정보가 늘어난다는 의미다.

또한, 새로운 문제들도 나타날 것이다. 5G아메리카스(5GAmericas )의 보고서에 따르면, 효율성을 높이기 위해 분리된 엔드 투 엔드 네트워크를 만드는 5G 네트워크 슬라이싱은 잘못 구성했을 때 악용될 위험이 존재한다. 또한, IoT 장치에 심어진 악성코드가 슬라이스들을 이동하면서, 네트워크가 적합하게 분리되어 있지 않을 때 다른 엔드포인트를 감염시킬 위험도 있다. 여기에 더해, 특정 슬라이스에 가용한 자원을 고갈시키는 서비스 거부(DoS) 공격이 발생할 수도 있다.

노드VPN의 디지털 프라이버시 전문가인 다니엘 마커슨은 “5G 기술은 가상화된 코어를 갖게 된다. 이는 전용 하드웨어가 아닌 소프트웨어가 음성이나 데이터를 라우팅, 올바른 대상에 도달하도록 만들게 된다는 의미다. 소프트웨어 아키텍처의 경우, 공격자들이 진입할 수 있는 지점이 훨씬 더 많다. 또 속도가 더 빠르기 때문에 해커들이 더 빨리 데이터를 처리 및 다운로드할 수 있다”라고 지적했다.

기업과 기관이 염두에 둬야 할 또 다른 핵심 고려사항은 5G가 구현될 장치가 아주 많다는 것이다. 트렌드 마이크로의 수석 보안 전략가인 바라트 미스트리에 따르면, 이런 장치들을 안전하게 만들고, 인증하고, 패치를 적용하고, 모니터링해야 하지만 기업의 위협 모델은 크게 변하지 않을 것이다. 

미스트리는 “기업 네트워크는 검사 및 통제 같은 사이버 위생을 적용할 수 있는 중앙 스위칭 및 라우팅 인프라로 장치를 연결시키는 ‘허브 앤 스포크(hub-and-spoke)’ 디자인이 주로 채택된다. 그런데 5G의 경우, 네트워크가 중앙화된 하드웨어 스위칭에서 분산된 소프트웨어 디지털 라우팅으로 변하게 될 것이다. 5G 소프트웨어 정의 네트워크는 작업이 전체 네트워크 바깥쪽의 여러 디지털 라우터로 옮기면서, 검사 및 통제가 힘들어질 수 있다”라고 지적했다.

보안 운영 팀은 이 문제를 해결하기 위해, (방화벽이나 침입 방지 체계 없이 네트워크에 연결되는 경우가 많을) 원격 5G 장치의 악성 활동 감지 및 보호 방법, 장치에서 데이터를 되찾고 감염된 장치를 봉쇄하거나 분리하는 방법을 생각해야 한다.


기업의 5G 보안 접근 방법

대규모 배포를 기준으로 삼을 경우 5G는 아직 초기 단계의 기술이지만, 최종 사용자 기업들은 이미 5G가 초래할 보안 도전과제 가운데 일부를 걱정하고 있다. AT&T가 보안 분야 종사자 700명을 조사한 결과에 따르면, 5G가 기업 네트워크에 아주 큰 영향을 줄 것이며, 따라서 새로운 보안 스택이나 완전히 새로운 프로세스가 요구될 것이라고 답변한 조직의 비율이 40%가 넘는다. 

주된 우려사항들은 연결성 확대로 인한 공격 표면 확대, 네트워크에 연결될 장치의 수(이런 장치에 대한 정책 및 인증), 아직 알려지지 않은 5G 기술의 취약점 등이다.


아직은 가장 안전한 연결 기술인 5G

포지티브의 존스는 “5G는 기업이 이용할 수 있는 가장 안전한 외부 연결 기술이다. 통신 분야는 이전 세대 기술의 보안 문제를 인식하고, 5G에서 '보안 내재화(Security by Design)'를 시도했다"라고 말했다.

존스는 "CISO는 서비스 공급업자가 지속적으로 보안을 챙기는지, 통신업체가 실사 의무를 이행하는지 확인해야 한다"고 말했다. 또 고유 환경을 파악해야 한다고 강조했다. 존스는 “진부한 방식은 더 이상 적용되지 않는다. 통신업체와의 관계도 훨씬 더 선행적인 관계가 되어야 한다. 매년 한 번 정도 연락해 요금, 시스템 업그레이드에 대해 이야기를 나누는 방식은 더 이상 효과가 없을 것이다”라고 말했다.

5G가 배포되면, 5G 공급업체와 기업의 관계는 다른 양상이 되어야 할 것이다. 네트워크와 모든 구성요소를 적합하게 보호하기 위해 더 많이 협력해야 한다.

트렌드 마이크로의 미스트리는 “전통적인 네트워크 경계가 사라질 것이다. 5G 연결 장치는 인터넷을 통해 퍼블릭 애플리케이션 및 서비스는 물론, 기업 애플리케이션 및 서비스와도 통신을 하기 때문이다. 이런 장치들을 보호하려면 기업과 5G 서비스 공급업체가 서로 협력해야 한다. 개념적으로는 클라우드 서비스의 책임 공유 모델과 유사한 형태이다”라고 말했다.

또한 “5G 인프라에서 가장 중요한 요소는 관리 및 네트워크 오케스트레이션이다. 5G에서 중요한 기능을 담당하고 있는 모든 당사자가 구성과 관리를 책임져야 한다. CISO는 ISP가 모범 사례를 바탕으로 적합하게 인프라를 구성하기 위해 사용한 방법, 악의적인 내부자의 행위나 잘못된 구성 문제를 신속하게 파악해 경감하기 위해 사용하는 방법들을 파악해야 한다”라고 조언했다.

여기에 더해, 5G 환경에서는 공급망 관리가 훨씬 더 중요해질 것이다. 기업은 아웃소싱이 보편화된다는 점도 인식해야 한다. 다시 말해, 네트워크 공급업체가 5G 서비스를 공급하는 경우에도, 인프라를 구현한 공급업체(고위험 업체 포함)가 서비스를 직접 운용할 수도 있다는 점을 인식해야 한다.

존스는 기업들이 5G를 통해 전달되고, 소비되는 애플리케이션에 대해서도 고려할 필요가 있다고 말했다. 존스는 “5G는 API 액세스를 촉진하기 위해 추가시킨 추가 요소들에 대한 서드파티의 접근성을 확대한다. 즉, 서드파티가 운영자의 인프라와 직접 통신 및 배포할 수 있게 된다. 이런 서비스를 사용하고 있다면, 서비스를 전달하는 방법, 서비스를 전달하는 주체를 파악해야 한다. 통신업체를 믿을 수 있는 경우가 많지만, 이들의 통제 수준이 낮아질 수 있기 때문에 공급망을 완벽하게 파악해야 한다”라고 설명했다. editor@itworld.co.kr 

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.