화웨이 투명성 센터 최초 공개…‘백도어 논란’엔 “탑재 불가능한 구조”
[디지털데일리 강소현 기자] “테스트 결과 단 한 번도 악성코드나 백도어가 발견된 적 없었습니다.”
18일(현지시각) 리 화란(Li Hwalan) 화웨이 사이버 보안 투명성 센터(Huawei Cyber Security Transparency Center·이하 ‘투명성 센터’) GSPO 소속 엔지니어는 기자들과 만나 자사 제품을 둘러싼 이른바 ‘백도어 논란’에 대해 “영국 화웨이 사이버 보안 평가 센터(HCSEC)에서 화웨이 제품에 대해 오랫동안 테스트를 진행했다”라며 이 같이 밝혔다.
사이버 보안 및 애플리케이션 제공 솔루션 업체 라드웨어(Radware)가 최근 발표한 ‘2022년 상반기 글로벌 위협 분석 보고서’에 따르면 이 기간 악성 디도스(DDoS) 공격 건수는 러시아-우크라이나 전쟁으로 촉발된 사이버 전쟁에 의해 전년보다 200% 급증했다.
또 2022년 상반기 디도스 사고 건수는 2021년 한해 동안 발생한 건수보다 60% 증가하는 등 앞으로도 이 같은 보안 위협은 계속 커질 것이라고 보고서는 예측했다.
화란 엔지니어는 “화웨이도 IT 기업으로서 네트워크 공격에 시달리고 있다”라며 “여기 플랫폼을 통해 확인할 수 있듯이 오늘 받은 공격만 총 3만1784건”이라고 밝혔다.
이런 추세에 따라 화웨이는 전세계 7개 지역에 글로벌 투명성 센터(네덜란드 브뤼셀·중국 둥관)와 현지 지역 센터(독일·영국·캐나다·아랍 에미리트·이탈리아)를 두고, 사이버 보안 과제와 대응 방법을 모색하고 있다.
이 중에서도 이날 기자가 방문한 화웨이 둥관 캠퍼스 ‘Xi Cun’ 내 투명성 센터는 면적 1만7000㎡의 규모를 자랑한다. 2021년 6월 개소 이후 국내 언론엔 처음 공개된 것이다.
센터는 ▲전시장 및 고객 커뮤니케이션 공간, 검증 설비 구역(1층) ▲고객 대상 독립적 검증 구역(2층) ▲화웨이의 독립적인 사이버 보안 연구실(3,4층)으로 구성됐다.
센터 1층에선 특히 화웨이 주요 비즈니스 프로세스에 내재된 사이버 보안 보장 시스템에 대해 소개하고 있다. 미국에서 ‘백도어 논란’을 이유로 화웨이의 제품을 규제하고 있는데, 제품 생산 및 전달과정에서 백도어를 탑재할 수 없는 구조임을 거듭 강조햇다.
이 엔지니어에 따르면 화웨이는 12가지 핵심 분야(▲전략/거버넌스 ▲표준/프로세스 ▲법률 및 규정 ▲인력 관리 ▲연구개발(R&D) ▲검증 ▲공급망 ▲서비스 제공 및 보안 사고 대응 등)에 중점을 두고 ‘엔드 투 엔드 사이버 보안 보장 시스템’을 구축하고 있다.
모든 프로세서에서 각 임직원의 역할과 책임을 정해놨다. 각 임직원이 무엇을 해야 하고 무엇을 하지 말아야 하는 지에 대한 ‘베이스 라인’을 설정해, 상품에 대한 보안성 검증이 수차례 이뤄질 수 있도록 시스템을 설계했다는 설명이다.
제품에 대한 독립적인 검증 시스템을 둬 이중 보안 체게를 구축한 점도 눈에 띄었다. 자사 제품에 대해 화웨이는 ▲화웨이 자체 테스트 ▲고객 테스트(고객 네트워크를 통한 테스트 포함) ▲제3기관을 통합 인증 테스트 등 총 3단계의 검증을 거치고 있다는 설명이다.
검증은 사이버 보안 및 사용자 개인정보 보호 책임자(Global Cyber Security and User Privacy Protection Officer·GSPO)에 의해 이뤄진다.
GSPO는 제품 보안 요건을 충족하지 못할 경우 제품 출시에 대한 거부권을 행사할 권리를 가지고 있다. 독립 사이버 보안 연구소(Independent Cyber Security Lab·ICSL)가 제품의 보안 품질 확인을 통해 GSPO의 거부권 행사를 지원하는 방식이다.
화란 엔지니어는 “화웨이는 한 사람이 모든 라인을 전담하지 않도록 모든 단계를 나눠서 한 명당 최소한의 라인만 전담할 수 있도록 라인을 구성했다”라며 “고객이 제품을 사용하기 전 스스로 안전성 테스트를 한 번 더함으로써 전달 과정에서 악성코드가 심어졌는지 최종 점검을 할 수 있다”고 밝혔다.
그 결과 화웨이는 제3의 독립 기관으로부터 사이버 보안 및 사용자 개인 정보 보호에 대해 총 440개 이상의 인증서를 획득했다고도 이 엔지니어는 덧붙였다. 이는 시스코 등 네트워크 기업과 비교했을 때는 적은 수치지만, 인증 등급은 화웨이가 더 높다는 설명이다.
화란 엔지니어는 “홍멍OS(Harmony OS)는 EAL5등급을 받았다”라며 “이는 업계 내에서 가장 높은 등급으로, 시스코는 통상 2~3등급을 받는다”고 귀띔했다.
향후 화웨이는 앞으로 3~5년 동안 20억 달러를 투자해 소프트웨어 엔지니어링 역량에 획기적인 변화를 가져오겠다는 계획이다. 화웨이는 지금까지 전체 R&D 투자액의 5%를 사이버 보안 R&D 예산으로 사용해왔다.
한편 투명성 센터가 위치한 화웨이 둥관 캠퍼스는 2019년 완공됐다. 이곳에선 선전 본사의 R&D 인력 약 3만명이 근무 중이다. 전체 면적의 40%가 연구소 관련 부지로 쓰이고 있으며, 그 외 60%는 직원들이 업무를 하면서 휴식을 취할 수 있는 공간으로 사용되고 있는 것으로 알려졌다.
MBK, '국가핵심기술 기업' 해외매각 우려 여전히 쟁점… 고려아연 M&A, 정부 역할 필요↑
2024-12-22 19:52:35스트레스 완충자본 규제 유예… 한시름 놓은 은행권, 기업금융 고삐죌까
2024-12-22 14:06:20심각한 노인빈곤율…"면세자에 대한 환급형 세액공제 도입해야"
2024-12-22 12:38:24올해 정보보호 투자액 2조원 돌파…공시 의무화 효과 '톡톡'
2024-12-22 12:00:00