결론없는 화웨이의 보안 이슈

미국과 중국의 무역전쟁은 과거에도 있었지만 트럼프 대통령이 취임하면서 폭발적으로 강도가 세졌습니다. 상호 관세의 인상, 전략 물자의 수출 금지 조치 등 중국 바로 옆에 위치한 우리나라도 이 문제로부터 자유로울 수 없지요. 이 무역전쟁의 결과로 가장 많이 두들겨 맞는 기업이 화웨이입니다. 미국이 표면적으로 화웨이를 공격하고 있는 것은 보안 이슈 때문이라고 합니다. 그럼 여기서 궁금증... 과연 화웨이 장비를 쓰면 보안 문제가 생길까요? 오늘은 이 부분에 대해 얘기해보려 합니다.

 

국내에 LTE가 도입되었던 시점이 2011년입니다. 제가 사업을 하겠다고 화웨이를 그만두던 해이기도 했구요. 당시에 국내 LTE 시스템 공급사들은 삼성전자, LG에릭슨, 노키아였습니다. 그러다가 화웨이가 LGU+ 진입에 성공합니다. 현재 LGU+의 서울 경기권은 화웨이 망으로 구성되어 있습니다. 이로써 LGU+는 4개의 Vendor 즉 삼성전자, 화웨이, LG에릭슨, 노키아로부터 시스템을 공급받고 있습니다. SK텔레콤과 KT는 삼성전자, LG에릭슨, 노키아만 사용합니다. 5G도 마찬가지 입니다. 5G가 LTE의 연장선상에 있다보니 네트워크 벤더에 크게 변화가 없었습니다. 그렇다면 화웨이 장비를 쓰는 LGU+의 가입자들은 보안 이슈에 노출되어 있는 걸까요?

 

사실 미국이 통신 분야에서 중국 때리기를 한 첫 번째 희생양은 ZTE였습니다. ZTE는 이동통신 네트워크를 개발하는 중국 기업이고 공산당이 소유한 국영기업입니다. 화웨이를 국영기업으로 착각하시는 분들이 계신데 화웨이의 런정페이 회장이 군인 출신이라는 점을 뺀다면 중국 공산당과 소유관계가 얽혀 있지는 않습니다. ZTE는 미국 상무부의 퀄컴 수출 금지 조치로 큰 타격을 입었습니다. 물론 이후 미국이 이 제한 조치를 풀어주기는 했지만 스마트폰의 핵심 부품인 퀄컴 칩을 구입하지 못하게 되면서 한때 회사가 망한다는 소문까지 돌았었지요. 화웨이는 이런 문제에 대해서 ZTE에 비하면 선제적으로 대응한 기업입니다. 퀄컴과 같은 역할을 하는 시스템 반도체 개발 회사인 하이실리콘을 자회사로 두고 있으니까 말이죠. 하이실리콘은 LTE와 심지어 5G 모뎀칩도 개발한 바 있으며 이 제품들은 화웨이 스마트폰에 적용되어 있습니다. 즉 실력으로만 놓고 본다면 ZTE 보다는 화웨이가 한 수 위인 셈입니다.

 

화웨이는 중국인들의 자존심입니다. 우리나라로 치면 삼성전자쯤 되겠죠. 이 화웨이가 LTE부터 두각을 나타내기 시작하면서 급기야 5G에서는 전세계 특허 1위 기업으로 등극합니다. 5G는 4차 산업혁명에서 데이터의 이동을 책임지는 중요한 인프라입니다. 이 중요 인프라를 구축하는데 미국의 적국인 중국, 그것도 중국인들이 사랑하는 중국의 대표적인 회사, 화웨이 제품을 쓰는 것은 자존심 상하는 일이었을 겁니다. 과거 모토롤라, 루슨트와 같은 미국 기업들이 있었지만 모두 몰락하고 이제는 한국, 유럽, 중국의 시스템을 쓸 수 밖에 없는 상황이 트럼프 대통령에게는 더 약오르는 일이었겠지요.

 

이동통신에서 보안 문제는 여러 지점에서 나타날 수 있습니다. 예를 들어 시스템만 놓고 보더라도 기지국, 교환기, 전송망, 그외 각종 서버들이 있고 단말기에도 스마트폰, IoT 기기 등이 있습니다. 무선상의 보안 문제는 기지국과 단말기(스마트폰과 IoT 기기)에서만 발생하는 문제이며 그 외 문제들은 대부분 유선 기반 보안 이슈들입니다. 유선 기반의 보안 이슈라는 것은 쉽게 생각하면 컴퓨터를 이용하면서 발생하는 모든 문제들이 동일하게 발생할 수 있다는 뜻입니다. 참고로 컴퓨터 사용시 무선상 보안 이슈는 와이파이에서 주로 발생합니다. 미국이 화웨이를 지목한 것은 바로 시스템에 숨겨져 있을지 모르는 백도어입니다. 개발자들이 소스코드에 백도어를 설치하고 이를 통해 필요한 정보를 자유롭게 빼갈 수 있다는 것이죠. 화웨이는 백도어가 없다는 것을 입증하기 위해 CC 인증을 받았지만 이것으로 화웨이의 보안 이슈를 잠재우기에는 역부족이었습니다.

 

 

미국은 파이브아이즈(영어를 사용하는 미국, 영국, 캐나다, 호주, 뉴질랜드)에 군사 동맹을 강조하며 화웨이 제품을 쓰지 말라는 무언의 압력을 넣었고 결국 영국은 5G 네트워크 구축에 화웨이를 배제하기로 결정했습니다. 미군이 주둔하는 독일에도 화웨이를 사용하지 말라는 요청을 하였지만 화웨이를 배제할 경우 5G 구축 비용이 증가하여 투자 비용이 많이 든다는 이유로 거절하였습니다. 한국과 일본에도 비슷한 요청이 있었겠죠? 그래서 일본은 정부용 네트워크에 화웨이 제품을 사용하지 않겠다는 방침을 정한바 있습니다. 우리나라는 아직 아무런 입장이 없는 상황입니다.

 

백도어는 있을까요? 솔직히 이건 저도 잘 모르겠습니다. 그럴 가능성이 없다고 말씀드리기 어렵습니다. CC 인증을 받았다고 하더라도 마음을 먹는다면 얼마든지 감출수도 있을테니 말입니다. 게다가 시스템이라는 것은 주기적으로 업데이트를 해야 하는데 CC 인증을 받았다고 하더라도 업데이트 과정에서 악성 프로그램이 추가로 설치될 가능성을 배제할 수는 없습니다. 과거 중국산 CCTV가 해킹되어 문제가 된 일이 있었고 심지어는 다리미에도 해킹 칩이 설치된 정황이 보고된 바 있습니다. 그 뿐만이 아닙니다. 여러분이 사용하시는 스마트폰의 충전기 잭에 해킹 칩이 설치되어 충전 중에 스마트폰의 정보가 빠져나가는 사건도 있었습니다. 이만큼 해킹이 고도화되고 있다는 뜻입니다.

 

그렇다면 이런 제품들보다 중요 정보에 접근하기 훨씬 쉬운 기지국에 그런게 없으리라는 보장이 있을까요? 한가지 다행인 것은 LGU+에 화웨이가 납품한 것은 기지국이며 교환기는 모두 삼성전자 제품이라는 점입니다. 즉 화웨이의 보안 이슈가 발생하는 것은 기지국 단에서 발생하는 것이지 교환단에서 발생하는 것은 아닙니다. 물론 기지국의 해킹 프로그램이 전송망을 타고 교환기에 전파될 가능성도 없지는 않지만 상대적으로 보안 위협이 낮다는 점을 말씀드리고 싶습니다. 앞에서 설명한대로 이동통신 네트워크를 기지국, 전송망, 교환기, 서버로 나눠서 본다면 교환기는 국내 이동통신사 모두 삼성전자 제품만을 쓰고 있으니 보안 우려가 적을 겁니다. 그런데 우리가 주목해야 할 지점은 바로 전송망과 단말기입니다. 국내 전송망 장비의 대부분이 ZTE나 화웨이 제품입니다. 간혹 국내 중소업체들의 브랜드가 붙어서 납품된 것이니 국산이라고 생각하시는 분들이 계실거 같은데, 사실은 알맹이는 ZTE와 화웨이 제품이고 브랜드만 국산인 제품들이 태반입니다. 즉 보안 이슈를 논의하기 위해서는 기지국 뿐만 아니라 전송망 그리고 서버도 함께 봐야 한다는 뜻입니다.(서버 시장에서의 화웨이 시장점유율도 높습니다.) 기지국과 교환기가 국산이라고 하더라도 전송망이 중국산이면 보안 이슈에 대한 우려가 있을 수 있다는 점입니다.

 

그보다 더 큰 문제는 단말기입니다. 단말기는 기지국이나 교환기보다 그 갯수가 훨씬 많아서 관리 포인트가 많습니다. 가격이 싸다고 중국산 스마트폰을 싸다고 이용하시는 분들이 있으신데 만약 이동통신 시스템의 보안 이슈가 걱정되신다면 보안 이슈는 단말기에서 발생할 확률이 훨씬 높다고 보셔야 합니다. 뭐 한국에는 중국 스마트폰이 별로 없으니까 걱정없다고 생각하시는 분들이 계실수도 있겠지만 이게 IoT 단말기로 가면 문제가 심각해집니다. 앞서 전송망 장비와 마찬가지로 제품은 중국산이고 브랜드만 국산인 문제가 IoT 모듈에서도 그대로 발생하고 있기 때문입니다.

 

중국 HW 제조업체들이 부상하면서 국내와 미국, 유럽, 일본의 HW 기업들이 많이 몰락했습니다. 과거 스마트폰 상위 10위 기업은 모두 한국, 유럽, 일본, 미국 기업들 차지였습니다. 지금은 어떤가요? 삼성전자와 애플을 제외하면 모두 중국회사입니다. LG전자가 간신히 9위 정도하고 있지만 이게 언제까지 갈지도 모르겠습니다. IoT 모듈 시장도 똑같습니다. 과거에는 Telit이나 Sierra, Gemalto(Thales에 합병됨), Ublox 같은 유럽계 기업들이 강세를 보였었는데 지금은 Quectel, Sunsea, Fibocom, Gosuncn, Neoway 등 중국 회사가 Top10에 랭크되어 있습니다. 특히 Quectel의 경우 2019년 기준 매출액 1위를 기록할 만큼 성장했습니다. 아직 중국 회사들이 국내 통신사 인증을 패스할 실력이 안되다 보니 이들 중국 회사들은 로컬 파트너들을 끼고 사업을 하고 있고 우리나라에도 이미 진출해 있습니다. 뭐 일반 용도로 사용하는거야 가격이 싸니까 그러려니 하더라도 국가기간망에 이런 제품이 들어가는 것은 분명히 문제가 있습니다.

 

화웨이 보안 이슈에 대해서는 결론을 짓기가 어렵지만 국가안보 측면에서는 위협이 될 수 있다는 것이 제 결론입니다. 저는 사실 백도어보다 더 무서운게 있습니다. 유사시에 시스템이나 단말기가 FOTA 등을 통해서 원격에서 사용할 수 없도록 조작될 수 있다는 점입니다. 절대로 그런 일이 있어서는 안되지만 만약 전쟁이 일어났는데 스마트폰이 동작하지 않는다면 또는 기간망이 동작하지 않는다면 어떻게 될까요? 그렇게 본다면 트럼프 대통령의 우려가 맹목적인 중국 때리기가 아닐 수도 있겠다는 생각이 듭니다. 보안 이슈는 폭넓은 관점에서 살펴봐야 합니다. 시스템만 보안을 강조하고 단말기는 신경쓰지 않는다면 보안 이슈는 계속 터질 것입니다. 단순히 가격이 싸다고 국가 기간망에 중국 제품을 무차별적으로 도입하고 있는 것은 국내 중소기업의 보호 측면이 아니라 국가 안보 측면에서도 함께 검토되어야 합니다. 사실 화웨이의 보안 이슈가 걱정된다면 삼성전자를 제외하고 LG에릭슨이나 노키아도 함께 들여다봐야 하겠죠. 그러나 LG에릭슨은 스웨덴, 노키아는 핀란드 기업이니 그런 문제가 없는 겁니다. 즉 우리의 적이 누구인가? 또는 지금은 적이 아니지만 유사시 적으로 돌변할 수 있는 것은 누구인가를 살펴보는 것이 화웨이 보안 이슈의 본질입니다.