“네트워크 제품 기술·보안성 표준 만들고 정책 뒷받침 돼야”

[보안뉴스 김태형] 국가기간망에 설치되는 통신 네트워크 장비의 보안 취약성에 대비하기 위해서는 강화된 정보보호 평가기준을 적용하고 관련 보안전문인력을 육성해야 한다는 주장이 제기됐다.

최근 중국 화웨이 통신장비가 국가 안보에 악영향을 미칠 수 있다는 미국 의회의 문제제기로 촉발된 통신장비 보안이슈로 인해 진행된 ‘통신망장비, 국가 안보에 문제 없나?’라는 주제의 토론에서 이러한 방안이 논의된 것.  

이날 좌장을 맡은 임종인 고려대학교 교수는 “최근 미국과 캐나다 등에서 통신망 장비의 정치적 보안위협과 안보 문제를 제기한 바 있다. 이와 관련 우리나라도 외산 통신장비를 많이 도입해 운영하고 있는 상황에서 제기될 수 있는 보안문제를 짚어보고 대책을 마련하는 자리가 될 것”이라고 말했다.

또한, 그는 “통신망 장비의 보안 취약점을 해결할 수 있는 방안에 대한 전문가적인 시각에서의 논의가 이루어질 것”이라고 덧붙였다.

이날 패널로 참석한 이순석 한국전자통신연구원 박사는 “국가안보로 이어질 수 있는 인터넷 보안에 대해 아직 많은 사람들이 인식하지 못하는 것 같다”며, “과거 전화 중심의 네트워크에서는 도청의 루트가 별로 없었지만, 인터넷이 대중화된 이후 구조적인 문제로 보안문제가 발생했다”고 말했다.

덧붙여 그는 “이제는 통신과 보안을 별개로 생각해서는 안되고 새로운 패러다임에 맞추어 변화해야 한다. 가장 중요한 문제는 공공기관에서 사이버위협에 대해 몇 초 안에 대응한다는 구체적인 목표가 없다는 것”이라면서 “먼저 명확한 목표를 가지고 인터넷의 구조적인 보안문제를 논의한 다음에 국가안보의 시각에서 문제에 접근할 필요가 있다”고 강조했다.

이어서 손기욱 국가보안기술연구소 사이버본부장은 “네트워크 자체가 국가 안보와 얼마나 직결되느냐가 중요하다. 국가안보 이슈는 사이버 공간에서 먼저 발생될 수 있다. 이러한 상황에서는 네트워크 장비에 대한 국가안보 차원에서의 검증이 필요하고 이를 위한 관련 보안산업 및 전문인력 육성이 절실하다”고 말했다.

또한, 그는 “올해 화웨이 라우터에 대한 보안분석 관련 눈문에서 버퍼오버플로우 취약점으로 인해 관리자 권한의 획득, 정보 유출, 네트워크 교란 등이 가능한 것으로 알려졌다. 또한, 라우터를 통한 정보유출, 무선공유기 해킹 등의 관련 취약점 발표로 인해 심각한 보안위협이 초래될 수 있음이 드러났다”고 설명했다.

즉, 기간 통신장비부터 말단 통신장비까지 보안 취약점이 연이어 발표됐고 특정 구간의 보안 취약점으로 인해 심각한 보안위협이 발생할 우려가 있다는 것. 이러한 상황에서 외산 장비와 기술에만 의존할 경우 통제가 쉽지 않기 때문에 국가기간망에 도입되는 통신 네트워크 장비에 대해서는 훨씬 강화된 보안성 검증이 필요하다는 얘기다.

정수환 숭실대학교 교수는 “공공기관의 네트워크 장비에 대해 좀 더 강화된 정보보호 기준을 적용해야 하고 국내 기술 및 장비 활용방안도 제도적으로 모색할 필요가 있다”고 말했다.

특히, 정 교수는 “외산 장비보다 국산 장비가 보안이 더 잘 되어 있다는 부분은 검증되지 않았기 때문에 국산 제품의 보안성 평가를 더욱 투명하게 하고 기능을 강화시켜 관련 산업을 육성해야 한다”고 강조했다.

임재명 KISA 공공정보보호단 단장은 “국가정보호기본법에 의해 정보보호 시스템 또는 네트워크 보안관련 제도를 명시하고 있다. 이는 행안부 장관과 관련 기관장이 협의해 정보보호 시스템 성능과 신뢰도관련 기준을 정해 고시하도록 하고 있다”면서 “현재는 정보보호 26개 제품그룹 중 384개 제품에 대해 지난 10년간 평가를 진행하고 있다. 특히, 신뢰도 평가 부분은 CC인증 평가를 통해 수행하고 있지만 성능 측면은 이와 관련된 기준이 아직 없다. 그리고 정보보호 제품과 네트워크 제품에는 차이가 있어 별도의 평가기준이 마련되어야 한다”고 설명했다.

이어서 조학수 윈스테크넷 연구소장은 “네트워크 장비는 근본적으로 보안문제가 나올 수 밖에 없다. 중요한 문제는 이를 어떻게 관리하고 보안통제하느냐이다. 네트워크 보안장비에 대해서는 보안적합성 검증제도와 CC인증, 암호화 모듈 검증 제도 등을 통해 평가하고 있지만 네트워크 장비인 스위치·라우터에 대해서는 검증이나 평가할 수 있는 기준이 없다”며, “이제는 이러한 네트워크 장비도 믿고 사용할 수 있는 검증 평가 제도가 마련되어야 하며, 안전성을 보장할 수 있는 지속적인 유지관리체계가 마련되어야 한다”고 강조했다.

이처럼 전문가들의 토론을 통해 네트워크 장비의 보안성을 비롯한 산업적, 정책적, 기술적 문제에 대한 다양한 의견이 제시됐다. 아직 외국에서도 이러한 네트워크 장비의 성능 평가 기준이 명확하지 않기 때문에 우리나라가 먼저 산·학·연 협력을 통해 기술을 개발하고 표준을 선도해야 한다는 필요성이 제기됐다.

또한, 정책 보고서를 만들어 정부 주도의 네트워크 산업 및 기술 육성정책을 이끌어내야 한다는 목소리도 있었다. 이렇듯 국가가 주도적으로 이끌어주지 않는다면 관련 산업이나 기업이 성장하는 데에 많은 어려움이 있다는 지적이다.

이를 통해 우리나라 네트워크 관련 기술이 한층 발전하고, 관련 산업이 육성될 수 있는 여건이 조성된다면 제품 검증 강화와 보안성 문제를 해결할 수 있는 능력은 자연스럽게 키워질 수 있을 것으로 보인다.  

[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>