화웨이 “韓 정부 원하는 보안수준 맞추겠다”

화웨이가 한국이 요구하는 수준의 보안을 반드시 갖추겠다고 밝혔다.

존 서포크 화웨이 글로벌사이버보안책임(GSPO)은 30일 화상 인터뷰를 통해 “한국 정부가 보안 검증을 요구한다면 당연히 따를 것”이라며 “다른 나라의 정부에서 요구하는 사항도 다 맞춰왔다”고 말했다.

이어, “한국에서 5G 이동통신이 상용화됐을 때 모든 장비가 화웨이로 이뤄지지는 않을 것”이라며 “네트워크를 강화하고 보호하기 위해 정부 차원에서 모든 장비업체들이 따라야 하는 요구사항이 정해질텐데, 모든 장비업체가 이를 지키면 전체적인 보안이 강화될 것이다”라고 덧붙였다.

내년 3월 5G 상용화를 앞두고 이동통신 3사의 통신장비 선정이 코앞으로 다가온 가운데, 그동안 화웨이에 제기됐던 보안에 대한 부정적 여론을 불식시키기 위해 적극적으로 해명에 나선 것이다.

특히, 화웨이는 업계 최고 수준의 보안을 갖추기 위해 노력하고 있다는 점을 강조했다.

■ “한국 우려 잘 알고 있다”

존 서포크 사장은 완벽한 보안은 있을 수 없다는 점을 전제했다. 기술의 발전과 진화에 따라 새로운 위협은 등장할 수 밖에 없다는 이유에서다. 때문에 보안을 강화하기 위한 노력을 끊임없이 기울이고 있다고 설명했다.

그는 보안이 항상 완벽할 수 없다는 대표적인 사례로 마이크로소프트(MS)를 들었다.

서포크 사장은 “MS는 15년이 넘도록 매달 취약성 관련 발표를 해왔다”며 “이는 기술이 나빠서가 아니라 기술이 날이 갈수록 더욱 복잡해지다보니 더욱 우수한 보안과 기술을 제공하기 위해 매달 발표를 하는 것”이라고 말했다.

이어, “세상이 변화하고 있기 때문에 개선되고 있다고 보이는 것도 3~5년 후에는 충분한 개선점이 못될 수 있다”며 “그 어떤 장비업체도 취약성이 전혀 없다고 말할 수 없다”고 덧붙였다.

때문에 각국 정부와 고객사가 요청하는 사안에 응하고, 새로운 기술을 도입할 때 생길 수 있는 위협에 대해서는 이해관계자와 함께 문제 해결에 나설 수밖에 없다는 것이다.

서포크 사장은 “각국의 정부와 기업들이 보안 우려를 제기하면 우리는 상황에 맞게 조치를 취할 수 있다”며 “중요한 점은 화웨이의 보안 취약성을 언급하지만 실제 정보를 유출한 적도 없고 화웨이만의 이슈는 없었다”고 말했다.

그는 또 “개인적으로 한국 정부나 이통사와 논의한 적은 없지만 한국을 위한 이상적인 모델에 대해 논의할 의향이 있다”고 강조했다.

■ “네트워크 상 데이터 접근 권한도 없다”

아울러, 보안 취약성으로 인한 정보 유출 가능성과 화웨이가 납품 통신장비를 통해 데이터를 들여다 볼 수 없다는 점도 분명히 했다. 백도어나 킬스위치와 같은 문제제기를 꾸준히 받고 있지만 투명하게 공개할 수 있다는 것이다.

서포크 사장은 “최근 들어 중국 정부가 화웨이 장비를 이용해 각종 데이터를 수집하는 것 아니냐는 질문을 많이 받는데, 중국 정부라고 해도 화웨이에게 정보를 빼오라고 강제할 법적 근거는 없다”며 “법적 근거를 떠나 이 같은 요구를 받게 된다면 화웨이가 어떻게 대응할 것인지 고객들이 문의하는 것은 맞다고 생각한다”고 말했다.

이어, “실제 네트워크에서 화웨이가 공급하는 부품은 30% 수준에 지나지 않고, 모든 제품 개발을 중국에서 하는 것이 아니라 60%는 다른 나라에서 개발되는데 중국 정부가 강제할 수 잇는 것이 아니다”ㅏ며 “이런 질문은 심각하게 받아들이기 때문에 무조건 믿으라고 하지 않고 회사의 정책, 프로세스, 개발 등 모든 것을 공개하고 있으니 검증을 원한다면 직접 테스트하길 제안하고 있다”고 덧붙였다.

중국 정부와 별개로 네트워크 상에서 오가는 데이터에 접근할 수 없다는 점도 분명히 했다.

그는 “화웨이는 하드웨어와 박스, 소프트웨어를 제공하는 장비업체일 뿐이다”라며 “화웨이가 네트워크에 대한 모든 접근성을 가지고 있을 것이라는 잘못된 가정을 하는데 이는 사실이 아니다”고 밝혔다.

이어, “전문가들은 알 수 있을 텐데 일반 고객이나 각국의 공무원들은 보안 전문가가 아니기 때문에 오해를 할 소지가 있다고 생각한다”며 “단연히 우려가 제기될 수 있겠지만 화웨이는 네트워크 데이터 접근성이 없고, 다른 방법으로 할 수 있지 않느냐는 질문을 할 수 있는데 이 역시 가능하지 않다”고 설명했다.

장비를 공급하는 장비업체로서 도덕적인 책무를 강조하기도 했다.

서포크 사장은 “화웨이가 장비를 공급하면 이통사가 실제 운영을 맡게 된다”며 “한국 이통사와 파트너십을 맺고 장비를 제공하더라도 사이버 보안 책임은 운영을 맡은 이통사에 있지만, 화웨이는 이통사들이 안전한 환경에서 안전하게 운용토록 하는 도덕적 책무를 갖고 있다”고 말했다.