“이젠 국가안보 관점에서 통신망 인프라 보안대책 필요”
- 통신망·보안 정책 통합 접근, 통신장비 보안성평가 검토해야
[디지털데일리 이유지기자] 국가의 중요 인프라인 통신망 보안을 강화할 보다 근본적인 대책이 필요하다는 지적이 나왔다.
국가 안보 차원에서 지금까지 따로 추진돼온 통신망 정책과 보안 정책을 결합해 통합적으로 접근해야 한다는 것이다. 이와 함께 우선 시행가능한 현실적인 대응방안으로는 통신장비를 대상으로 보안성 시험검증을 시행해야 한다는데 전문가들의 의견이 모아지는 분위기다.
현재 국가기관에서 정보보호(보안) 제품 도입시 의무화돼 있는 국제공통평가기준(CC), 보안적합성 검증 등의 신뢰성 시험평가·인증을 통신·네트워크 장비에 확대 적용하는 방안이다.
8일 서울 강남구 신사동 리버사이드호텔에서 ‘통신망장비, 국가 안보에 문제없나?’를 주제로 열린 전문가 패널토의에 참석한 손기욱 국가보안기술연구소 사이버본부장은 “화웨이 라우터에 원격세션 탈취나 백도어를 설치해 정보유출이 가능하다는 보안분석과 시스코 장비 운영체제(IOS)의 보안취약점이 발표되고 있는 등 통신망 장비를 통해 심각한 보안위협을 초래할 수 있다”고 지적했다.
이어 손 본부장은 “기관이나 기업에선 장비 도입시 취약점이 제거됐는지 확인하는 것이 중요한데, 평가인증 방안이 정립된다면 장비 위협을 크게 줄일 수 있을 것”이라고 제시했다.
그는 “국가기관 인프라에는 강화된 평가인증 및 보안적합성 검증을 적용해 통신망 장비 도입시에 위험성을 미리 제거할 필요가 있다”며, “미국도 라우터, 스위치 등 네트워크 장비 122종에 CC인증을 수행하고 있다”고 덧붙였다.
이날 좌장을 맡은 임종인 고려대 정보보호대학원장도 “보안분야에서 활용해온 CC인증이나 보안적합성 검증제, 중소기업 지원이 가능한 소프트웨어산업진흥법을 활용하면 합리적 수준으로 국가기간망을 지키는 보호방안이 될 수 있다”고 말했다.
다만 정보보안 제품 평가업무를 담당하는 한국인터넷진흥원(KISA)의 임재명 공공정보보호단장은 “CC에는 정의된 네트워크 장비 평가기준이 현재 없고, 평가보증등급(EAL) 2~4를 받으려면 두세 달, 3000만~5000만원의 시간과 비용이 걸려 중소기업의 경우엔 부담이 될 수 있다. 또 네트워크 보안장비를 우회하는 AET(Advanced Evasion Technique) 신종 공격 방법 도 등장한 상태여서, 여러 관점에서 고민이 필요하다”며 고려해야 할 점을 짚었다.
장비의 평가·검증 외에도 네트워크의 가용성과 보안성을 높이기 위해서는 생존성 강화기술 연구개발과 이를 평가할 수 있는 테스트베드의 필요성도 제기됐다.
손 본부장은 “네트워크가 다운되지 않고 정보유출도 일어나지 않게 하려면 장비 제조과정에서 몰래 심을 수 있는 백도어를 탐지할 기술을 비롯해 통신망 장비 안전성 분석 기술, 보안위협 감내기술 등이 필요하다”며, “전자정부를 비롯해 국가적으로 스마트폰을 이용한 여러 IT사업을 벌이고 있지만 위협을 사전에 검증할 충분한 테스트베드에 대한 고민도 없는 실정”이라고 말했다.
통신망 인프라 보안을 위해서는 국산 장비 산업육성과 경쟁력 강화가 중요하다는 점도 강조됐다.
정수환 숭실대 교수는 “CC인증 확대와 같이 통신 장비의 보안시험이나 보안관리 기준을 강화하는 노력은 반드시 진행돼야 한다. 더불어 만일 외산 장비로 인한 인프라 위험성이 발생할 경우에 사전대비할 구조가 필요하다”며, “보안성을 강화한 국산 통신장비 개발을 유도해야 한다. 이는 국산 장비산업을 육성하는 길도 될 것”이라고 의견을 밝혔다.
통신장비 산업계 대표로 토의에 참가한 우경일 삼지전자 전무는 “우리나라 네트워크와 인터넷을 보호하기 위해서는 일단 보안, 네트워크 장비산업이 살아남아야 가능하다”며, “1990년대 말 200여곳에서 이제 10곳 정도 남은 국내 네트워크 장비업체는 현재 절대절명의 위기에 빠져 있다. 계속 매출이 줄어들고 있고, 살아남기 어려운 상황이다. 국가 차원에서 적극적인 전략을 검토해주길 바란다”고 강조했다.
이 자리에 함께한 이종현 한국전자통신연구원(ETRI) 부장은 “통신망 인프라 보호를 위해서는 시간이 걸리더라도 우리 기술로 네트워크를 관리하는 것이 중요하다”며, “이를 위해 국내 기업을 보호할 수 있는 정책과 네트워크 장비 R&D를 위한 기술로드맵을 비롯한 종합대책이 마련돼야 한다”고 목소리를 높였다.
앞서 제시된 CC인증 등 평가인증이 국산 장비의 신뢰성과 경쟁력을 높이는데 기여할 방안이 된다는 점도 거론됐다.
조학수 윈스테크넷 연구소장은 “벤처기업이 개발한 제품을 기업이나 기관이 믿고 쓰기에는 쉽지 않다”고 전제하고 “CC는 국가기관이 인증하고 필요한 보안수준을 충족하지 않으면 인증서 효력을 정지할 정도로 보안성을 강제하기 때문에 국산 보안장비 제조업체의 경쟁력과 신뢰도를 높이는 계기가 됐다”고 평가했다.
단편적인 방안보다는 국가안보 차원에서 보다 종합적인 통신망 인프라 보안을 위한 전략이 필요해야 한다는 지적도 이어졌다.
이순석 ETRI 부장은 “라우터같은 통신장비에 CC인증을 적용한다고 인프라 보호가 가능해지는 것은 아니다. 합법을 가장해 우회할 방안도 많다”면서 “이보다는 국가안보 차원에서 사이버공간에 대한 보호 목표를 설정하고, 그에 따른 체계적인 하향식(top-down) 대책이 정해지면서 장비규격까지 수립될 수 있도록 논의해야 한다”고 피력했다.
이와 관련해 손 본부장은 미국 국방부가 디지털전장 주도권 확보와 사이버전력 증강을 위해 2017년까지 1조8000억달러의 예산으로 추진하는 ‘플랜X’ 계획을 소개하면서 “우리나라도 이같은 국가 주도 프로젝트가 필요하다. 학계와 연구계, 산업계가 함께 국가 안보를 위해 새로운 개념으로 설계하는데 참여할 기회가 될 것”이라고 강조했다.
정 교수도 “현재는 통신과 보안을 따로 떨어뜨려 고민하고 있는데, 통신과 보안이 결합된 망 인프라 계획을 고민할 필요가 있다”고 보탰다.
한편, 이번 패널토의는 최근 중국 통신장비의 보안위협 이슈가 해외에서 잇달아 제기되고 미국·호주 등 몇몇 국가는 자국에서 해당장비 사용 견제조치에 나선 가운데, 국내에서도 통신망 장비 보안 문제를 논의해 대응방안을 수립해야 한다는 목소리가 높아지면서 한국네트워크산업협회(KANI)가 마련했다.
<이유지 기자> yjlee@ddaily.co.kr
북한동향 자료 첨부하고 "의견 주세요"…교묘하게 속이는 공격 수법
2024-11-10 08:26:00[기로, 삼성] ① 삼성 혁신 DNA 어디로…의사결정 책임 누가?
2024-11-10 07:00:00“모르는데 어떻게 써”…현대판 ‘AI 계몽운동’이 필요해
2024-11-09 15:03:24[스마트엔터프라이즈] AI 시대 ‘데이터센터’ 국가적 과제로…활용전략에 주목
2024-11-09 11:04:17