[아이뉴스24 김문기 기자] "당연히 한국 정부에서 보안 검증을 요구한다면 따를 의향이 있다. 한국뿐만 아니라 각 정부에서 가이드라인이나 표준 및 검증을 요구한다면 그간 따라왔었고, 앞으로도 언제든지 열려 있다."
존 서포크 화웨이 글로벌 사이버보안&프라이버시 총괄책임 사장은 30일 서울 중구 한국화웨이에서 열린 화상인터뷰 자리에서 이같이 말했다.
존 서포크 사장은 영국 울버햄프턴대학교에서 MBA 학위를 취득했다. 정보통신기술 분야에서 30여년 이상의 경력을 보유했다. 화웨이는 현재 8년간 근무 중이다. 화웨이에서는 엔드투엔드 글로벌 사이버 보안 및 개인정보보호 시스템의 개선과 구현을 총괄하고 있다.
◆ 한국 정부가 원한다면 언제든지 보안 검증 참여하겠다
존 서포크 사장은 한국 정부가 보안 검증 및 테스트를 요구한다면 언제든지 이를 따를 의향이 있음을 분명히 했다. 그는 "한국 정부나 이통사 등과 대화를 나눌 시간은 없었지만, 시간을 들여 한국에 어떤 모델이 가장 좋은지에 대해 언제든지 대화에 나설 수 있다"고 자신했다.
실제 정부와의 검증 사례로 영국을 들 수 있다. 화웨이는 영국 정부와 지난 2010년부터 기술 협력을 계속했다. 대표적으로 영국 화웨이 사이버보안평가센터(HCSEC)를 들 수 있다.
다만, 최근 HCSEC는 연례보고서를 통해 화웨이 장비 보안과 관련해 추가적인 작업이 필요하다며, 제한적인 보장만 할 수 있다는 입장을 낸 바 있다.
이에 대해 존 서포크 사장은 오히려 상당히 긍정적인 신호라고 해석했다. 빠르게 발전하는 기술 변화에 따라 보안에 대한 문제도 시시각각 변하고 있어, 이에 따라 발 빠른 대응이 가능하다는 것.
존 서포크 사장은 "사실 보고서와 관련해서 비공개 별첨으로 대중에게 공개하지 않도록 할 수도 있었지만 우리는 문제점이 발견되면 기본적으로 투명하게 이를 공개해야 한다는 기조를 갖고 있다"라며, "현재 직면한 보안 위협과 문제에 대해 충분히 빠르게 대응할 수 있도록 해주는데 감사하며, 향후에도 노력할 것"이라고 설명했다.
이어 "각 정부의 요구대로 검증 과정을 거치지만 영국 정부의 경우 가장 엄격한 잣대를 갖고 있다고 말할 수 있다. 요구사항도 많고 하나만 어긋나도 곧바로 지적한다"라며, "다른 고객이나 정부의 경우 영국과 비슷하게 협력 기간을 가졌는데 보안에 접근하는 시선은 조금씩 다르다. 다양한 곳에서 더 많은 참여가 이뤄진다면 보안 수준은 더 높아질 수 있다"고 덧붙였다.
미국과 유럽 등 끊임없이 제기되고 있는 화웨이 보안 우려와 관련해서도 말을 이어갔다.
존 서포크 사장은 "미국에서 보안 우려를 제기했을 때 간단하게 "화웨이 보안 문제가 있고 우려된다고 하는데, 우리가 어떤 조치를 취해야 안정성을 보장받을 수 있을까"라고 물었고, 그에 대한 대답은 없었다"라며, "우리 보안의 문제가 있다고 한다면, 어떤 점이 구체적으로 문제가 있다는 것을 지적했으면 한다"고 강조했다.
이어, "누가 우리에게 신뢰가 없다고 뭉뜽그려 얘기한다면 우리가 취할 수 있는 조치가 없고, 이것은 다른 벤더도 마찬가지다"라며, "신뢰가 안가고 믿기 어렵다면, 구체적으로 어떤 부분에 문제가 있는지 말해준다면, 구체적으로 이를 따를 수 있다"고 설명했다.
화웨이는 필요하다면 직접 검증을 진행할 수 있는 시스템도 갖췄다고 강조했다. 존 서포크 사장은 "우리의 말을 믿으라고 하기보다는 물리적으로 센터에 직접 찾아오기를 희망한다. 우리 정책과 프로세스, 개발 관련 접근방식을 직접 보고, 필요하다면 하드웨어나 소프트웨어를 테스트해도 되고, 제3자와 함께 와도 무방하다"라며, "테스트팀과 보안 전문가들을 대동해 화웨이 개발자들과 만족할때까지 테스트를 계속해도 된다"고 자신했다. 한국의 경우 중국 심천에 위치한 화웨이 본사에서도 테스트를 할 수 있다고 말했다.
◆ 중국 정부의 정보탈취 요청? 네트워크 해킹 기술적으로 어렵다
화웨이가 네트워크 기술상 강력한 보안 체계를 갖췄다 하더라도, 일각에서 제기하는 우려는 기술과 빗겨난 정치사회적 이슈와도 관련돼 있다. 끊임없이 화웨이 보안 우려를 제기하는 이유이기도 하다.
삼성전자는 국내 제조사로, 에릭슨과 노키아는 각각 스웨던, 핀란드 업체로 중립국에 속해 있지만, 화웨이의 경우 중국업체이기에 중국 정부로부터의 정보 탈취 요청 여부를 거부할 수 있는지에 따른 리스크가 상시 제기돼 왔다.
존 서포크 사장은 중국 정부가 정보 탈취를 요청할 수도 없을뿐만 아니라 기술적으로도 어려운 일이라고 손사래를 쳤다.
존 서포크 사장은 "실제로 화웨이가 장비를 이용해서 중국 정부에 정보를 넘겨줄 수 있는가에 대한 질문을 많이 받고 있다"라며, "하지만 중국 정부 측에서 정보를 빼올 수 있는 법적인 근거가 없다"고 말했다.
이어, "법적 근거를 제외하고서라도, 기술 측면에서 이론적으로는 가능할 수도 있지만 실제로는 어려운 일"이라고 선을 그었다.
존 서포크 사장은 실제 예를 들어 이를 설명했다. 어떠한 악의적인 방식으로 정보를 유출하고자 할 때 우선적으로 화웨이 장비가 전체 네크워크 시스템 측면에서 약 30% 정도의 비중을 갖추고 있기에 구조상 불가능하다고 설명했다. 그럼에도 불구하고 장비에서 피해가 발생했다라더라도, 운영주체(이통사)가 화웨이가 아닌 각기 다른 장비(70%)로 네트워크 시스템을 구축했기에 막힐 수 있다는 것.
만약 화웨이 장비에 피해를 입히고 이통사의 네트워크 시스템까지 파악했다 하더라도 운영주체가 각기 다른 인증방식을 갖추고 있기 때문에 이마저도 난관에 부딪치게 된다고 지적했다.
일각에서 제기되는 정보 탈취 관련 오해와 관련해서도 해명했다. 존 서포크 사장은 "화웨이가 장비공급업체라는 점을 잊으면 안된다"라며, "화웨이가 네크워크에 있는 데이터에 접근할 수 있다고 하지만 이는 사실이 아니다. 이통사가 제한적으로 필요에 의해 접근을 허용했을 때 가능한 일이지, 일반적으로 데이터에 접근할 수가 없다"고 잘라 말했다.
이어 "고객이나 정부 입장에서는 이 기술에서의 보안 전문가가 아닐 수도 있기 때문에 이통사나 벤더들이 어떤 식으로 네트워크를 운영하는지에 대해 오해를 할 수 있고, 당연히 보안 우려도 제기할 수 있는게 당연하다"라며, "만약 화웨이가 네트워크의 데이터 접근성이 없는데도 불구하고 접근할 수 있다고 지적한다면, 구체적으로 어떤 경로를 통해서 접근이 가능한지에 대해 말해준다면 충분히 그에 대해 조치하겠다고 말할 수 있다"고 자신했다.
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기