네트워크 / 모바일 / 미래기술 / 보안

글로벌 칼럼 | 사이버보안과 5G의 미래, "프라이버시 중심 설계"

William Chalk | CSO 2019.06.05
기존 세대의 연결성 기술과 차세대 연결성 기준을 구분하는 2가지 핵심 단어를 찾는다면 단연 ‘속도’와 ‘레이턴시(지연)’다. 5세대 무선(5G)은 현재 기술보다 속도가 약 100배 빠를 것으로 예상된다. 이는 명령이 실행되기까지의 지연을 크게 줄인다.
 
ⓒ Getty Images


전세계 통신 업체들이 이 기술을 개발, 발전시키기 위해 수백, 수천 억 달러를 투자하고 있다. 이를 효과적으로 구현하려면 네트워크에 완전히 새로운 방법으로 접근해야 한다. 이를 위해 새로운 무선 스펙트럼의 ‘물결’을 이용하게 될 것이다. 

예측과 전망에 따르면, 이 기술은 무선 로봇 수술의에서부터 자율주행 자동차, 극초음파 무기까지 새로운 저전력, 저지연 사물인터넷 장치의 시대를 예고한다. 과감한 예측이다. 그러나 여기에 연관된 것이 아주 크고 많다. 5G 경제는 4차산업혁명을 위한 길을 낼 것이기 때문이다.

엔지니어링만으로 차세대 모바일 브로드밴드를 구현할 수 없다. 아직 초창기이지만, 이 기술은 이미 국제적으로 소란스러운 위협과 충분한 증거없는 주장, 기소, 체포, 불안을 야기하고 있다. 항상 그렇듯이, 가장 새롭고 가장 파괴적인 기술을 둘러싼 열기 때문에 프라이버시(개인정보 보호)와 보안이 뒤로 밀릴 지 모른다는 우려의 목소리가 크다.

통신 업체와 정부는 아직까지는 서비스 보안에 선제적 조치를 취하기보다, 효율성과 FTOM(First to Market) 전략에 초점을 맞추고 있다. IoT가 클라우드 기술이 처음 등장했을 때를 돌아보자. 컴퓨팅 파워와 상호연결성을 서둘러 확장하려 시도할 때마다, 공격자가 악용할 수 있는 완전히 새로운 지형과 환경에 노출된다는 점을 역사가 반복적으로 알려주고 있다. 5G는 기업에 ‘신세계’를 선물한다. 그러나 위협 주체에게도 ‘신세계’인 것은 마찬가지다.


중국과 글로벌 네트워크의 ‘정치 역학’

정치적, 경제적 ‘판돈’을 감안했을 때, 국제 사회에서 힘을 놓고 겨루는 경쟁자들이 5G 개발과 배포에 관여하기 시작한 것은 놀랄 일이 아니다. 각국은 차세대 인프라 조달과 관련한 결정을 내릴 때, 오랜 지정학적 갈등 관계라는 도전과제에 직면하게 될 것이다.

중국 통신 업계의 거인인 화웨이가 이런 갈등 관계의 중심에 놓여 있다. 현재 글로벌 통신 인프라 시장의 선두 주자인 화웨이는 올해 초를 기준으로 약 30%의 글로벌 시장 점유율을 자랑했으며, 연간 매출 성장률이 39%에 달했다. 미국과 뉴질랜드, 호주 등 일부 국가에서 부분적으로 배척을 당했지만, 화웨이는 이미 전세계적으로 40건에 달하는 5G 인프라 조달 계약을 체결한 상태다. 2019년 5월까지 10만 개의 기지국을 납품할 예정인 것으로 알려져 있다.

중국은 시작부터 5G 기술과 이 기술의 배포와 관련된 시장을 지배하기 원한다는 점을 분명히 했다. 중국 정부는 화웨이와 화웨이 제품을 매개체로 5G 네트워크 전개 및 배포를 통제하고, 국제 표준을 장악하고, 5G 시스템 기반을 중국의 이익을 위해 활용할 만반의 태세를 갖추고 있다.

정치적인 영향력만 걸려있는 것이 아니다. 사이버보안 전문가, 정치인, 독립 조사 기관들은 화웨이가 중국 첩보 활동의 ‘도관’ 역할을 하고 있다고 주장한다. 중국이 화웨이와 ZTE 같은 업체를 첩보망의 '연장선'으로 이용하고 있고, 단순히 수익이 아닌 중국이라는 국가에 더 득이 되도록 범죄 행위를 하고 있다고 주장하며, 이에 대한 우려가 높아진 상태다. 중국이 글로벌 시장에서 5G 경쟁에서 승리하는 것은 경제적으로만 필요한 일이 아니다. 지정학적 전략 측면에서 국가 아젠다를 전파하고, 정치적 기반을 확대하는 데 필요한 일이다.

영국 HCSEC(Huawei Cyber Security Evaluation Centre)가 발표한 최신 보고서는 화웨이의 ‘추악한 단면’을 묘사하고 있다. 중국 정보, 첩보기관의 연계보다는, 소프트웨어 엔지니어링과 사이버 보안 역량 측면에서 중대한 ‘시스템’ 수준의 결함을 강력히 지적하고 있다.

이 보고서는 정보, 첩보 기관 연결된 문제와는 상관없이, 화웨이가 구축한 5G 네트워크 자체에 대해 크게 걱정하는 사람들에게 깊은 불안을 초래하고 있다. 고통스러운 진실은 네트워크의 저수준에 위치한 서비스 공급업체는 모두 강력한 특권을 향유한다는 것이다. 자신이 원할 경우, 네트워크를 통과하는 데이터를 가지고 익스플로잇, 조사, 기타 다른 방법으로 ‘간섭’할 수 있다. 소프트웨어 기반의 복잡한 5G 네트워크에는 (중국 정부에 국한되지 않고)누구나 사용자의 프라이버시와 보안을 침해할 수 있는 취약점과 약점이 존재한다. 이는 즉각적인 위험이며, 동시에 막을 수 있는 위험이다.


기존 및 새로운 보안의 도전과제

근본적으로 5G는 앞선 세대 기술에 초래될 수 있었던 동일한 위험에 취약하다. 인증, 접근성, 데이터 보안, 기밀성이 여기에 해당된다. 몇몇 5G 프로토콜 사양은 3G 및 4G 네트워크의 후계자다. 이런 앞선 세대 기술의 취약점 또한 물려받게 될 것이라는 의미다. 예를 들어, 네트워크 다운그레이드 공격은 유사하게 중대한 위험을 초래할 수 있다. 최초 연결 단계에서 인증이 미흡한 경우, 공격자가 대상 네트워크를 4G나 3G로 다운그레이드, 기존 취약점을 익스플로잇 할 수 있게 되는 것이다.

이렇게 물려받는 위험만 존재하는 것이 아니다. 완전히 새로운 보안 도전과제가 생긴다. 규제 당국은 특정 국가의 국내 아젠다에 이익이 될 수 있는 고의적인 취약점을 방지하는 것에 더해, 일관되고 통일된 방식으로 ‘보안 중심 설계(security-by-design)'를 구현하고, 이를 적용하는 데 초점을 맞춰야 한다.

이런 새로운 위험 가운데 가장 급박한 위험은 보안에 대규모로 영향이 초래되는 문제다. 가까운 장래에 인증이 요구되는 장치의 수가 우리가 지금 알고 있는 것보다 훨씬 더 많이 기하급수적으로 증가할 것이다. 이런 장치에는 아주 긴 수명이 요구된다. 따라서 저전력 보안이 요구된다. 자동차와 미터기(계량기), 센서 같은 경우, 물리적 접근을 막을 도구가 탑재되어 있어야 한다. 물리적으로 ID나 보안 모듈을 대규모로 교체하는 것은 불가능하거나, 아주 실용적이지 못하기 때문이다.

이런 애플리케이션과 네트워크는 다양성이 크다. 따라서 보안 솔루션은 5G 사용 례를 충족해야 할 것이다. 5G는 장치에만 ‘이질성’이 존재하는 것이 아니다. 5G 기능에 기초적인 것으로 간주되는 CUPS(Control and User Plane Separation, 제어 및 사용자 영역 분리)나 네트워크 슬라이싱 같은 분리 기능 자체도 새로운 도전 과제를 초래한다. 예를 들어, 보안 수준을 다르게 해 효과적으로 네트워크 슬라이스를 분리해야 한다.

가상 환경의 보안 프로토콜, 해싱, 암호화 같은 핵심 보호 체계 구현에는 시간과 컴퓨팅 비용이라는 ‘대가’가 요구된다. 관련된 비용과 보호 체계 사이에 적절한 균형점을 찾아야 한다. 특히 저전력 애플리케이션, 지연에 민감한 애플리케이션에 아주 중요한 문제다. ‘프리컴퓨테이션(Precomputaition)’으로 시간을 절약할 수 있는지 확인하기 위해 면밀히 프로토콜을 조사해야 한다.

5G 기반 IoT는 그 규모가 엄청날 것이다. 수백, 수천 만의 장치가 동시에 장시간, 장기간 운영된다. 이는 인가 및 미인가 스펙트럼 모두에 ‘혼잡’을 초래할 가능성이 크다. 플라스틱 쓰레기가 가득한 강을 떠올리면 된다. 이 문제를 피하려면, 주요 무선 대역에서 운영되는 중복된 IoT 장치를 원격으로 끄는 기능, 수단을 내장시키는 것을 고려해야 한다. 원격으로 이런 장치를 끄는 기능을 내장할 경우, 침해당하는 일이 없도록 주의깊게 기능을 설계해야 한다.


초연결성과 사용자 프라이버시

모바일 네트워크 업체와 서비스는 크게 다각화되어 있고, 이로 인해 데이터의 ‘출처’ 또한 다각화된다. 프라이버시와 관련, 이런 힘이 통합되어 소수 기업의 손에 쥐어지는 것이 소비자에게 경종을 울려야 한다. 누가 사용자 콘텐츠와 IP 주소, 개인 식별자, 위치 기록 같은 메타데이터에 액세스할지 여부가 아직 결정되지 않았다.

기술적으로 5G가 기밀성을 촉진하는 방향으로 발전하는 것이 이상적이다. 필요하고 요구되는 정보에만 액세스하는 것이다. 이를 위해 ‘멀티 컨텍스트’ 보안이라는 개념이 적용될 가능성이 있다. ‘미들박스’를 이용해 통제된 상황에서 데이터에 액세스를 하는, 쌍방 간 엔드 투 엔드 암호화를 넘어서는 개념이다. 프라이버시와 관련된 대부분의 논쟁처럼 여기에도 본질적인 ‘갈등’이 존재한다. 

스마트 시티 같은 5G 애플리케이션의 가치 가운데 상당 부분이 ‘빅데이터’ 생성과 활용에 기반을 두고 있다는 것에서 초래되는 갈등이다. 그러나 이렇게 데이터를 많이 축적하면 공격이 성공에 프라이버시가 침해될 가능성도 커진다. 이는 공격 주체에 동기를 부여하고, 필요한 자원을 제공하게 될 것이다.

5G가 약속한 놀라운 속도를 실현시킨다는 점에서 새로운 전자기 스펙트럼 대역을 개방하는 것은 큰 의미를 갖는다. 미국 통신 업체 대부분이 넒은 데이터 스트림을 더 효과적으로 전송하기 위해, 더 넓은 대역으로 서비스를 옮길 준비를 하고 있다. ‘밀리미터 파’로 불리는 이 고주파 대역은 얼마 전까지 모바일 네트워킹에 사용할 수 없었던 대역이었다. 그러나 안테나 기술이 향상되면서 사용할 수 있게 되었다. 이 ‘밀리미터 파’는 까다롭고 취약하다. 약 1,000피트(300m)라는 짧은 거리만 커버된다. 또 건물과 나무, 사람의 신체, 심지어 날씨로 인해 쉽게 방해를 받는다.

이런 물리적인 제약을 없애기 위해, 거리와 도시 블록, 건물 내부에 5G 중계기를 설치해야 한다. 1,300만 개의 전송탑에 중계기를 설치, 미국 인구의 약 절반에 5G 서비스를 전달할 수 있다. 이런 설치에 4,000억 달러가 소요될 것으로 추정되고 있다.

100~200m 간격으로 위치한 수많은 안테나와 센서, 통화 중계기에 설치된 시스템은 과거에는 상상할 수 없었던 규모의 '감시망’을 제공할 것이다. 대형 통신업체들은 이미 광고주와 데이터 브로커에게 사용자 위치 데이터를 판매하고 있다. 또 정부 당국의 경우에도 시위자, 혐의자, 언론인 감시에 유사한 정보를 사용하고 있다.

VPN이나 다른 컨슈머 보안 소프트웨어를 사용하지 않을 경우, 5G는 정부와 기업으로 하여금 사람들의 과거 위치, 현재 목적지, 지금 하고 있는 일을 정확히 파악할 수 있도록 도움을 줄 것이다. 여기에 계속 발전하고 있는 얼굴 인식 기술, 인공지능, 갈수록 증가하는 데이터의 양과 품질, 추적 기능이 결합될 경우 프라이버시가 ‘과거의 유물’이 될 수도 있다.


방어 중심의 설계의 시대가 온다

화웨이는 국제적인 데이터 탈취, 사이버 첩보, 국내를 대상으로 한 감시 감독과 관련된 ‘역사’가 많은 중국 정보와 불가분의 관계로 보인다. 이런 불가분의 관계를 갖고 있는 회사를 글로벌 디지털 인프라에서 몰아내는 것이 타당해 보인다. 그러나 화웨이 하드웨어를 금지한다고 네트워크를 보호할 수 있는 것은 아니다. 이런 장비, 장치가 없는 경우에도, 핵심 시스템은 여전히 중국에서 만들어진 소프트웨어를 사용할 것이며, 다른 대안 또한 악의적인 의도를 가진 악당이 원격으로 재프로그래밍을 할 수 있다.

하드웨어 및 소프트웨어 공급망은 글로벌 공급망이다. 가장 평판이 높은 기술 업체조차도 중국에서 조달한 구성 부품이나 요소를 사용한다. 더 나아가, 5G 인프라는 기존 4G 장비를 토대로 구현될 예정이다. 국가가 막대한 비용을 쏟아 부어 기존에 화웨이가 만든 장치를 모두 파괴하지 않는 한, 미래의 모바일 인프라에서 중국의 영향력을 완전히 없애는 것은 불가능하다.

현재 정부의 5G 계획에서 프라이버시와 보안 문제는 ‘중심’이 아니다. 국제 표준과 관련된 최근 협상에서, 미국은 5G 사양에 사이버 방어 기능을 포함시키는 요구 사항을 없앴다. 트럼프 행정부는 5G 경쟁에서 승리하는 데 큰 관심을 갖고 있다. 이에 가장 효과적으로 안전하게 5G를 구현하는 것에 초점을 맞추는 대신, 화웨이, 더 나아가 중국의 발전을 방해하는 시도에 더 큰 관심을 갖고 있는 것으로 보인다.

궁극적으로 기존 시스템을 기반으로는 5G 같이 방대한 글로벌 네트워크를 대상으로 한 프라이버시와 보안을 적절히 구현할 수 없다. 5G 기술의 도전 과제, 유즈 케이스의 다양성과 깊이를 감안했을 때, 아주 초기부터 시스템에 안전책을 구현해야만 한다. 개발자는 초기 단계에 포함시킬 수 있는 보안 기준을 결정해 적용해야 하며, 최종 사용자의 프라이버시와 기업의 보안을 모두 보장할 수 있는 ‘멀티 컨텍스트’ 보안 프로토콜을 찾는 데 초점을 맞춰야 한다. 민감한 기능을 가상화된 환경으로 분리시키는 제품을 위한 건강한 시장을 조성해야 한다.

5G가 배포되기 시작하면서, 개인과 기업으로부터 새로운 데이터를 수집해 활용하려는 경제적 압력 또한 계속 커질 전망이다. 윤리적으로 기술 자체에 프라이버시와 보안을 구현하는 것이 반드시 필요하다. 그러나 아직은 이를 반드시 필요한 것으로 여기고 있지 않다.

이와 관련된 위험은 중국에 국한되지 않는다. 장기적으로 더욱 중요한 것은 민주주의에 반드시 필요한 것과 관련이 있다. 정부나 기업이 소비자의 활동에 상시 무제한 액세스하는 문제를 말하는 것이다. 이를 통해 정보를 갖게 될 경우, 생각과 행동을 규제 및 제약하려는 욕구가 생기게 된다. 해가 없어 보이는 기술이라도, 권위주의와 규제적 충동이 커질 경우 자유와 권리의 가치에 예상 못한 도전을 초래할 수 있다. editor@itworld.co.kr 

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.