"백도어 0건"…화웨이의 자신감 이유는

화웨이 둥관(Dongguan)시 리우 베이 포 춘(Xi Liu Bei Po Cun) 캠퍼스 내 위치한 화웨이 '사이버 보안 투명성 센터' 입구.ⓒ데일리안 남궁경 기자

유럽연합 네트워크 정보보호원(ENISA·애니사)는 지난 10년간 가장 큰 성장세를 보인 사이버 공격 중 하나로 '랜섬웨어'를 꼽았다. 이들은 랜섬웨어의 성장세를 "재앙적"이라 표현했다. 애니사는 오는 2025년까지 랜섬웨어로 인한 기업 피해액이 약 10조 달러(약 1경 3285조원)에 달할 것으로 전망했다.

대규모 트래픽을 불러 서비스를 마비시키는 디도스(DDoS)공격도 여전히 골칫거리다. 사이버 보안·애플리케이션 제공 솔루션 업체 라드웨어(Radware)에 따르면, 러시아-우크라이나 전쟁으로 촉발된 사이버 전쟁으로 2022년 상반기 악성 디도스 공격 건수가 전년 대비 200% 급증했다. 해당 기간 발생한 디도스 사고 건수는 2021년 연간 총 건수에 비해 60% 증가했다.

해커들의 사이버 공격 횟수가 늘어나면서 긴장하는 업체가 있다. 바로 글로벌 통신장비업체 화웨이다. 전세계 170여개국, 1500여개 통신사업자에 네트워크를 지원하는 만큼, 한번의 보안 사고가 고객사 신뢰 하락으로 이어질 수 있기 때문이다.

지난 18일(현지시간) 중국 둥관시 화웨이 '사이버 보안 투명성 센터'에서 만난 리화란 글로벌사이버보안책임(GSPO)소속 엔지니어는 "네트워크 안보와 관련해 공격은 점점 더 늘어나고 있고 그 피해도 심각해지고 있다"면서 "화웨이는 네트워크 보안이 정말 중요하고 현재 네트워크 환경이 안전하지 않다는 것을 직접 경험하고 있다"고 말했다.

실제 이날 오전 11시 40분까지 화웨이가 외부로부터 받은 사이버 공격 건수는 3만1780건에 달했다. 하루에만 수십만건의 사이버 공격이 이뤄진다는 것을 알 수 있었다. 리화란 엔지니어는 "30년간 30억명에게 화웨이 관련 서비스를하면서 안전한 네트워크를 지속적으로 실현시켰고 그 결과 악성 해킹 사건이 발생하지 않았다"면서 "이것은 회사가 엄격하게 관리하고 직원들이 열심히 노력한 결과"라고 자평했다.

화웨이가 이처럼 사이버 보안에 자신감을 보인 이유는 총 12개 핵심 분야에 초점을 둔 '엔드 투 엔드 사이버 보안 보장 시스템'과 '최고경영자(CEO) 직속의 보안 조직' 때문이다. 특히 모든 제품과 솔루션에 3단계 독립 검증 시스템을 도입해 혹시 모를 사고를 방지하고 있다.

리화란 엔지니어는 "고객, 정부 및 기타 주요 외부 이해관계자의 우려사항, 화웨이 제품의 안전성, 백도어 여부, 직원의 신뢰도, 화웨이 서비스의 안전성, 고객 네트워크에 대한 무단 액세스 여부, 규정 준수 도구 사용 여부, 고객 데이터 보호의 적절성 및 데이터의 중국 재전송 여부 등과 같은 요구사항이 화웨이의 제품, 솔루션 및 비즈니스 프로세스에서 구현된다"라고 설명했다.

그에 따르면, 1단계는 화웨이 내부 R&D로부터 독립 조직인 '사이버보안연구소(ICSL)'에서 이뤄진다. 이곳에서 자체 보안 테스트를 한 뒤 글로벌사이버보안책임자(GSPO)가 검증을 한다. 만약 일정 요건을 충족하지 못할 경우 GSPO가 출시를 거부할 수 있다. 2단계는 고객사가 직접 검증을 할 수 있다. 자신들이 보유한 테스트 방법과 도구를 이용해 자체 검증을 하는 것이다.

3단계는 표준 인증, 외부 감사 등과 같은 외부 제3자 검증으로 진행된다. 이러한 3자 인증을 통해 화웨이 제품이 보유한 인증서는 440여개에 달한다. 화웨이에 따르면, 이 회사가 보유한 보안 인증서는 업계 최고 수준이다.

리화란 엔지니어는 "보안 인증서는 노키아나 에릭슨 등 글로벌 통신장비기업과 비교해 더 많을 것"이라며 "시스코와 같은 기업 네트워크와 비교하면 인증서 숫자는 적지만 인증 등급은 화웨이가 더 높다"고 했다. 실제 훙멍OS는 EAL5등급을, 화웨이 기지국은 CCELA 4+등급을 받았다. CCELA 인증은 총 7개 등급으로, 1~4 등급은 상업용 공장이 획득할 수 있는 등급이다. 훙멍OS가 얻은 인증서는 업계 내에서 가장 높은 등급으로, 시스코는 통상 2~3등급을 받는다.

"백도어 설치 구조적 불가능…심은 직원도 0명"

이날 리화란 엔지니어는 일각에서 제기된 ‘백도어(보안해제 악성코드)’ 논란에 대해 "구조적으로 불가능하다"는 입장을 밝혔다. 앞서 미국은 화웨이가 전세계 통신망에 백도어를 심어 기밀 정보를 빼낸다고 판단해 5G 반도체 칩 수출 금지 등 제재를 가하고 있다.

리화란 엔지니어는 "원칙적으로 화웨이는 백도어를 심을 수 없다"면서 "또 다른 곳에서 화웨이 제품에 백도어를 심지 못하도록 원천적으로 막고 있다"고 강조했다.

그에 따르면 화웨이 코드 개발 역시 3자의 검증이 이뤄진다. 한 직원이 자신의 코드를 코드창고에 넣을 수 없고 또 다른 직원이 코드를 검사한 뒤에 코드 창고로 넣을 수 있다. 코드 창고 안에는 코드를 스캔할 수 있는 도구로 ▲코드의 취약성 여부 ▲백도어 여부 ▲악성코드 여부를 검사한다.

악성코드가 심어져 있는지는 생산라인에서도 한 번 더 테스트를 거친다. 그리고 제품이 출시되기 전에 둥관 글로벌 사이버 보안 투명성 센터 3·4층에서 테스트를 거치게 된다. 이러한 과정을 거친 코드는 고객사에서 자체 검증이 또 이뤄진다.

리화란 엔지니어는 "만약 누군가가 코드에 백도어를 심는다고 한다면 심은 직원은 결국 발견이 될 수밖에 없다"면서 "우리는 모든 단계를 나눠서, 한 사람이 모든 라인을 전담하지 않도록, 한 명당 최소한의 라인만 전담할 수 있도록 라인을 구성했다"고 했다. 이어 "화웨이 제품은 영국 기관인 HCSEC에서 오랫동안 테스트를 진행했다"면서 "테스트 결과, 단 한 번도 악성코드나 백도어가 발견된 적 없었다"고 부연했다.