[디지털데일리 백지영기자] 최근 5G와 같은 광대역 이동통신 이용자가 증가하며 잠재적인 사이버 보안위협이 지속적으로 증가하고 있다. 과학기술정보통신부에 따르면, 2022년 8월 말 기준 국내 5G 누적 가입자수는 2571만명에 달한다. 특히 5G 시대로 진입하면서 네트워크 단위 면적당 접속 가능한 기기 수가 증가하며 동시다발적 공격과 서비스 장애에 대비해야 한다는 지적이다.

이같은 사이버 보안위험이 증가함에 따라 최근 이동통신산업의 새로운 보안기준으로 부각되고 있는 것이 바로 NESAS다. NESAS(Network Equipment Security Assurance Scheme)는 세계이동통신사업자협회(GSMA)와 국제이동통신표준화협력기구(3GPP)가 공동 제정한 네트워크 장비 보안보증 체계 인증이다.

21일 한국정보보호학회 산하 5G보안연구회와 EY 컨설팅 주최로 열린 ‘제1회 5G-어드밴스드 보안 비전 세미나’에서 김상우 EY컨설팅 파트너는 '5G 디지털 공급망 보안 NESAS'라는 주제발표를 통해 “최근 유럽연합(EU)과 독일, 중국 등 글로벌 각국에서 NESAS가 5G 보안 표준으로 채택되면서 이동통신산업의 새로운 보안 기준으로 자리매김하고 있다”고 설명했다.

국가마다 각기 다른 보안 표준을 요구하는 상황에서 국가별로 다르게 네트워크 장비를 설계할 경우, 복잡성과 비용이 증가하는데다 5G 활성화와 사이버보안, 사용자를 위한 통일된 이동통신 보안 표준 필요성이 대두된 것이 NESAS의 탄생 배경이다.

현재 NESAS 인증은 총 2단계로 이뤄져 있다. 1단계는 GSMA가 수행하는 제품 개발 및 수명주기프로세스 감사, 2단계는 3GPP의 장비 안전 테스트를 거쳐야 한다. 총38개 항목으로 1단계에서 21개, 2단계 17개로 구성됐다.

특히 IT업계에서 일반적인 CC 인증이 12~18개월의 긴 심사기간이 소요되는 반면 NESAS는 네트워크 최적화 표준이 이뤄져 일반적으로 6개월의 기간이 소요되는 것이 장점이다. 이에 따라 네트워크 공급업체와 통신사들이 인증심사를 권장하는 상황이라는 것이 김 파트너의 설명이다.

현재까지 화웨이, 삼성네트워크솔루션, 노키아, 에릭슨 등 대부분의 통신장비업체가 NESAS 인증을 받은 상황이다. 삼성전자는 글로벌 시장 진출, 에릭슨은 제품 프로세스 개선을 위해 NESAS 인증에 참여하고 있고, 화웨이는 NESAS 인증을 통해 사이버 보안과 개인정보보호를 보장한다고 강조하고 있다.

김 파트너는 “이처럼 기존 보안표준의 한계와 저마다의 다양한 이유로 글로벌 네트워크 장비 사업자가 NESAS 인증에 참여하고 있다”며 “장비기업 뿐 아니라 도이치텔레콤, 차이나유니콤 등 이동통신사도 5G 네트워크 공급망 보안관점에서 NESAS를 권고하고 있다”고 전했다.

그는 “NESAS와 같은 공동 책임 모델을 통해 네트워크 운영자(이통사)와 장비기업, 정부 및 규제기관 등을 아우르는 5G 디지털 공급망 보안 생태계를 아우를 수 있다”며 “EU와 중국, 아시아 등의 지역에선 장비공급업체가 NESAS 표준을 준수하도록 요구하고 있다”고 덧붙였다.

실제 유럽에선 NESAS를 EU사이버보안법에 적합하게 변경해 통합 5G 인증 표준 일부로 촉진하고 있으며, 독일은 연방정보보안청(BSI)에서 NESAS 기반 국가인증제도를 개발했다. 중국은 NESAS를 5G 보안평가 표준으로 승인하면서 중국 내 모든 5G 장비 공급업체는 NESAS 표준시스템을 준수해야 한다.

태국 역시 NESAS 표준을 준수할 것을 요구하는 국가 5G 보안지침을 발표했고, 말레이시아와 싱가포르는 NESAS를 도입했다. 인도네시아는 사이버암호청와 통신사업자 GSMA, 3GPP가 협력하는 5G 태스크포스팀이 출범했다.

다만 국내에는 아직 NESAS 도입에 대한 논의는 없는 상황이다. 국내 통신사들은 현재 네트워크 장비에 대한 인증이나 의무 및 권고사항이 없으며, 정부 및 규제기관은 IMT-2020, CC 등 각기 다른 분야의 표준을 사용 중이다.

김 파트너는 “우리 역시 이같은 공동책임모델을 회피할 필요는 없지 않나”며 “NESAS를 출밤점으로 국내 이동통신산업 생태계도 자체적인 공급망 보안 진단과 운영체계를 만들어 선순환되는 구조를 만들어 가야 할 것”이라고 강조했다.

그는 이어 “NESAS가 국내 표준으로 도입돼 네트워크 장비 공급자와 운영자 간 공급망 리스크를 최소화된다면 네이티브 시큐리티, 시큐리이 바이 디자인의 실질적인 방안이 될 것”이라고 덧붙였다.