[베타뉴스/ 중국 선전] 글로벌 통신장비업체 화웨이는 미국에서 백도어와 관련한 지속적인 규제를 받고 있다.

화웨이 사이버보안 관련 엔지니어는 어떤 생각을 가지고 있을까. 지난 18일(현지시간) 중국 둥관시 화웨이 '사이버 보안 투명성 센터' 직접 찾았다. 리화란 글로벌사이버보안책임(GSPO)소속 엔지니어는 "원칙적으로 화웨이는 백도어를 심을 수 없게 되어 있다. 또한 "다른 곳에서도 화웨이 제품에 백도어를 심지 못하도록 원천적으로 차단되어 있다"고 밝혔다.

화웨이 엔지니어의 설명을 들어보면 백도어나 악성코드를 심을 수 없도록 상당히 많은 테스트 과정을 거친다. 먼저 코드를 만드는 직원이 자신이 만든 코드를 바로 코드 창고에 넣을 수 없다. 코드 창고 안에는 모든 코드를 스캔할 수 있는 도구가 있는데 이 도구를 통해 코드에 취약성이 있는지, 백도어가 있는지, 악성코드가 있는지 등을 검사한다.

생산라인에서도 악성코드가 심어져 있는지 테스트한다. 제품이 출시되기 전 둥관의 글로벌 사이버 보안 투명성 센터의 3, 4층에서 또 다시 테스트를 거친다. 리화란 글로벌사이버보안책임(GSPO)소속 엔지니어에 따르면 “만약 누군가가 코드에 백도어를 심는다고 한다면 심은 직원은 결국 발견이 될 수밖에 없다”고 밝혔다.

코드 창고에서 스캔하고 3,4층의 독립된 실험실에서 테스트를 또 하기 때문에 중간에 발견될 수밖에 없다. 또한 작업 단계를 나눠 한 사람이 모든 라인을 전담하지 않도록, 한 명당 최소한의 라인만 전담할 수 있도록 라인을 구성했다. 제품이 고객에게 가면 고객이 제품을 운영하기 전에 스스로 완전성 테스트를 한 번 더 해 전달과정에서 악성코드가 심어져 있지 않는지 최종 점검을 할 수 있다. 화웨이 엔지니어는 “화웨이 제품은 영국의 HCSEC에서 오랫동안 테스트를 진행했다. 테스트 결과, 단 한 번도 악성코드나 백도어가 발견된 적 없었다”고 밝혔다.

만약 화웨이 직원이 악성 코드를 심었다면 기준에 따라 회사를 나가야 한다. 그렇지만 12년을 근무하면서 가이드라인은 어기고 악성 코드를 심은 직원은 단 한명도 없었다고 밝혔다.

종합적으로 화웨이는 사이버 보안을 위해 3단계의 제품 검증을 거친다. ▲화웨이 자체 테스트 ▲고객 테스트(고객 네트워크를 통한 테스트 포함) ▲제3기관을 통합 인증 테스트로 백도어와 같은 악성 코드가 심어질 수 없다는 구조를 가졌다는 것이 설명이다.

화웨이는 매우 적극적으로 검증 관련 조직과 협력하고 있으며, 제품 및 솔루션 관련해 다수의 인증서를 받기도 했다. 일례로 훙멍OS의 마이크로 커널은 국제공통평가기준(CC인증)에서 EAL5 인증을 받았다. 이 밖에도 화웨이는 유럽의 개인 정보 보호 인증을 포함해 현재까지 약 440개의 인증서를 받았다.

리화란 글로벌사이버보안책임(GSPO)소속 엔지니어는 노키아나 에릭슨 등 글로벌 통신장비기업과 비교해도, 화웨이가 가장 많은 인증을 받았을 것이라고 밝혔다. 덧붙여 “시스코와 같은 기업 네트워크와 비교하자면 인증은 더 적더라도 인증 등급은 더 높다”고 밝혔다.

리화란 엔지니어는 “예를 들어 훙멍OS가 EAL5등급을 받았고, 화웨이 기지국은 CCELA 4+등급을 받았다. CCELA 인증은 총 7개 등급으로, 1~4 등급은 상업용 공장이 획득할 수 있는 등급이다. 훙멍OS가 얻은 인증서는 업계 내에서 가장 높은 등급”이라고 밝혔다.

베타뉴스 신근호 기자 (danielbt@betanews.net)
Copyrights ⓒ BetaNews.net

• • 목록
  • 위로