뉴스
코인정보
라운지
커뮤니티
TPI 
매체소개
고객센터
8
디지털 경제의 기초가 되는 사이버 보안과 개인 정보 보호는 시간이 갈수록 더 많은 도전 과제에 직면하고 있다. 이러한 과제를 해결하고 사이버 보안 위협을 제거하면서 개인 정보 데이터를 보호하려면 이해관계자와의 협력이 필요하다.
글로벌 정보통신기술(ICT) 분야 선두 기업인 화웨이는 이러한 협력과 소통을 위해 지난 2021년 6월 '화웨이 사이버 보안 투명성 센터'(Huawei Cyber Security Transparency Center)를 구축했다. 정부, 고객 및 파트너, 산업 기관 등 화웨이의 이해관계자는 해당 플랫폼을 통해 화웨이와 협력하며 사이버 보안 과제와 대응 방법을 모색하고 있다.
또한 플랫폼에는 사이버 보안 및 개인 정보 보호에 대한 화웨이의 모범 사례도 투명하게 공유되고 있다. 화웨이는 일부 이해관계자의 우려와 관련해 독립적인 제3자 기관을 통한 보안 검증 서비스를 개방하고, 화웨이 제품 안전성에 대한 독립적인 테스트와 검증도 지원한다.
현재 화웨이는 네덜란드 브뤼셀, 중국 둥관 등 글로벌 투명성 센터, 독일, 영국, 캐나다, 아랍 에미리트, 이탈리아 등 현지 지역 센터를 비롯해 전 세계 7개 지역에 투명성 센터를 설립하고 있다.
◇ 화웨이 핵심 '엔드 투 엔드 사이버 보안 보장 시스템' 눈길
둥관시 캠퍼스인 Xi Cun에 위치한 글로벌 사이버 보안 투명성 센터는 면적 1만7000제곱미터(m2)의 최대 규모를 자랑한다. 글로벌 개발을 지원하는 서비스를 제공하는 이 곳은 전시장 및 고객 커뮤니케이션 공간, 검증 설비 구역, 고객 대상 독립적 검증 구역, 화웨이의 독립적인 사이버 보안 연구실로 나뉘어져 있다.
화웨이는 지난 30년간 전 세계 30억명 이상에게 서비스를 제공했으며, 170여개 국가와 지역에서 1500여개 이동통신 사업자 네트워크의 안정적인 운영을 지원했다. 또 전세계적으로 양호한 사이버 보안 기록을 유지하고 있으며, 이 같은 노력에 대해 고객들로부터 인정받고 있다.
지난 2011 년부터 화웨이는 사이버 보안과 개인 정보 보호를 기업의 중요한 개발 전략 중 하나로 간주했으며, 2018년에는 이사회로부터 최우선 강령으로 명시됐다. 화웨이는 사이버 보안 및 개인 정보 보호를 최우선 과제로 삼고, 이를 실현할 수 있도록 충분한 리소스를 제공하고 있다.
이러한 노력이 더해져 화웨이는 전략·거버넌스, 표준·프로세스, 법률 및 규정, 인력 관리, 연구개발(R&D), 검증, 공급망, 서비스 제공 및 보안 사고 대응 등 12가지 핵심 분야에 중점을 둔 '엔드 투 엔드 사이버 보안 보장 시스템'을 구축했다. 화웨이는 주요 비즈니스 프로세스에 사이버 보안 요구 사항과 활동을 포함시키고 독립적인 검증 시스템을 통해 효과적인 구현을 보장하는 임베디드 접근 방식을 채택했다.
임베디드 접근 방식이란 각 프로세스마다 역할과 책임을 위해 프로세스는 마다 제어 지점, 기술 검토 지점 및 의사 결정 지점을 갖고 있다. 이에 다양한 규범/지침 요구 사항, 도구/플랫폼을 통해 일을 올바르게 수행 할 수 있도록 돕는 방식을 말한다.
화웨이는 사이버 보안을 최고 우선 순위로 삼고 있으며, 기능이나 비용, 일정상의 이유로 사이버 보안에 대한 요구치를 낮추지 않았다. 화웨이의 연간 사이버 보안 R&D 투자액은 전체 R&D 투자액의 5%를 차지해 2020년 8억 달러(한화 약 1조661억원)를 넘어섰다. 화웨이는 향후 3~5년 동안 20억 달러(한화 약 2조 6658억원)를 투자해 소프트웨어 엔지니어링 역량에 변화를 가져오겠다는 방침이다.
또한 ICT 인프라 및 스마트 단말기 공급업체로서 제공 중인 5G, 클라우드, 버티컬 산업, 사이버보안 관제센터(Hisec), 지능형 자동차 솔루션 등 ICT 인프라 솔루션과 스마트 단말기의 안전성과 신뢰성을 보장한다는게 화웨이 측 설명이다.
◇ 철저한 검증·관리·정보보호 등 통한 보안 기술 혁신
화웨이는 사전에 이뤄지는 철저한 검증, 관리, 정보보호, 보안 등을 통해 보안 기술에 대한 지속적인 혁신을 이어가고 있다.
화웨이의 취약성 관리는 각국 규제 기관의 취약성 관리 규정 및 업계 모범 사례를 준수하고 통합하며 내부 취약성 관리 메커니즘에 내재돼 있다. 이에 각 국가의 취약성 관리 규정 및 업계 모범 사례를 기반으로 취약성 관리 활동을 위해 피해 감소 및 위험 완화, ▲취약성 감소 및 완화 ▲사전 예방적 관리 ▲지속적인 개선 ▲개방형 협업 등 5가지 핵심 원칙을 구체화 및 공식화했다.
리화란 화웨이 글로벌사이버보안책임(GSPO) 엔지니어는 "화웨이는 핵심 원칙을 더 잘 전달하고 이행하기 위해 기업 수준의 취약성 관리 센터, ICT, 컨슈머 비즈니스 그룹, 디지털 에너지, 화웨이 클라우드, 자동차 사업부, 상하이 하이실리콘 등의 산업 수준 취약성 관리 모듈, 조달, R&D, 판매 및 서비스 임원 수준 취약성 관리 모듈을 포함한 3계층 E2E 취약성 관리 조직을 구축했다."라며 "해당 조직은 각 산업의 E2E 라이프사이클 취약성 관리를 함께 담당한다"고 전했다.
화웨이는 개인 정보 보호 노력을 지원하는 조직과 전문가를 보유하고 있으며, 올해 9월까지 국제프라이버시전문가협회(IAPP) 인증 전문가를 확보하는 등 전 세계 ICT 기업에서 선두를 차지하고 있다. 이에 더해 현지 운영 및 법률 준수 요구 사항을 충족하기 위해 현지 법률 및 규정에 대한 인사이트를 통해서 정책 및 프로세스를 조정한다.
또한 국경 간 데이터 전송 측면에서 기업 간 거래(B2B), 개인 간 거래(B2C), 직원 등 다양한 국경 간 시나리오를 분류하고, DTA 계약 체결 등을 통해 전송 과정에서 데이터 보호를 보장하고 있다. 실제로 화웨이는 IT 시스템을 통해 데이터 주체의 요구사항(DSR)을 기록하고 서비스기술수준협약(SLA)를 충족하고 있으며, 지난해 한 해 동안 총 80회 이상의 데이터 유출 훈련을 실시해 사업 조직의 대응 및 처리 역량을 지속적으로 향상시켰다.
하지만 이러한 화웨이의 노력에도 미국 현지에선 백도어 관련해 화웨이를 규제하고 있는 실정이다.
이러한 미국 규제에 리화란 화웨이 GSPO 엔지니어는 "미국의 화웨이 백도어 관련 보도를 미디어에서 많이 접했지만 원칙적으로 화웨이는 백도어를 심을 수 없게 되어 있다. 또 다른 곳에서 화웨이 제품에 백도어를 심지 못하도록 원천적으로 막고 있다."라며 "개발에 대한 디테일한 부분을 소개하자면, 예를 들어 코드를 만드는 직원이 자신이 만든 코드를 바로 코드 창고에 넣을 수 없고 중간에 코드를 검사하는 프로세스가 한 단계 있다. 코드 창고 안에는 코드를 스캔할 수 있는 도구가 있는데 이 도구를 통해 코드에 취약성이 있는지, 백도어가 있는지, 악성코드가 있는지 등을 검사한다. 악성코드가 심어져 있는지 생산라인에서도 한 번 더 테스트를 한다"고 설명했다.
이어 "그리고 제품이 출시되기 전에 여기(둥관의 글로벌 사이버 보안 투명성 센터) 3, 4층에서 또 다시 테스트를 거친다. 만약 누군가가 코드에 백도어를 심는다고 한다면 심은 직원은 결국 발견이 될 수밖에 없다. 코드 창고에서 스캔하고 3,4층의 독립된 실험실에서 테스트를 또 하기 때문에 중간에 발견되는 것이다."라며 "모든 단계를 나눠서, 한 사람이 모든 라인을 전담하지 않도록, 한 명당 최소한의 라인만 전담할 수 있도록 라인을 구성했다. 그리고 제품이 고객에게 가면 고객이 제품을 운영하기 전에 스스로 완전성 테스트를 한 번 더 함으로서 전달과정에서 악성코드가 심어져 있지 않는지 최종 점검을 할 수 있다"고 말했다.
특히 "화웨이 제품은 영국의 HCSEC에서 오랫동안 테스트를 진행했으며, 테스트 결과 단 한 번도 악성코드나 백도어가 발견된 적 없었다"고 강조했다.
이러한 화웨이 노력은 결국 보안 기술에 대한 혁신으로 이어졌다.
화웨이는 최고의 기술과 인재가 집중된 곳에 기반을 두고, 전 세계적으로 수십개 국가에 연구소를 운영하고 있다. 네트워크 보안 및 개인 정보 보호 분야에서도 인재가 집중된 곳에 보안 역량 센터를 설립하고 있으며, 현재 중국 이외의 지역에 4개의 역량 센터를 보유하고 있다.
핀란드의 엔드포인트 보안 기술 팀은 신뢰 실행 환경(Trusted Execution Environment, TEE), 차세대 운영체재(Next Generation Operating System, NGOS), 모바일 결제 보안(키 관리)와 같은 엔드포인트 기술에 초점을 맞추고 있다. 북미 지역에는 기밀 컴퓨팅 및 디지털 워터마킹과 같은 데이터 보안 및 개인 정보 보호에 중점을 둔 보안 팀이 있다.
독일에서는 신뢰할 수 있는 동적 지표, 소프트웨어 정의 네트워크(SDN)를 위한 종단 인터페이스 보안, 가상화 보안, 개인 정보 보호 사양, 빅데이터 개인 정보 보호, 보안 인증 CPP(Certified Protection Professional), 보안 테스트 기술 등 보안 기술, 표준 및 테스트에 대해 연구하고 있다. 또 싱가포르에 본사를 둔 화웨이의 신흥 기술 연구팀인 Schelde 연구소는 5G 보안, 지문 인증, 홍채 식별(망막 식별), 격자 기반 암호화(Lattice-based cryptography), 기타 미래 사이버 보안 공격 및 방어 기술을 연구한다.
◇ 검증·신뢰에 의한 표준 및 생태계 구성에 앞장
화웨이는 170개국 비즈니스를 운영하며 1500개 이상의 고객 네트워크에 기술 지원을 제공하고, 하루에 1600개 이상의 서비스를 제공한다. 화웨이는 각 고객의 요구 사항을 충족하기 위해 전 세계에 총 10개의 기술지원센터(TAC)를 운영하며 현지화 된 서비스를 제공하고 있다.
화웨이는 엔지니어링 튜닝 및 테스트, 기존 네트워크 문제 포지셔닝, 네트워크 구성 수정 등 다양한 운영 시나리오에 따른 관리를 위해 엔드투엔드 및 클라우드 기반 접근 방식을 채택하고 있으며, 화웨이는 네트워크 보안을 위한 제어 조치를 IT 운영 플랫폼에 내재해 제어 조치가 실행되고 우회되지 않도록 보장한다.
이에 클라우드 및 플랫폼은 비즈니스 프로세스 및 규정 관리를 준수하고 있다. 관리 범위에는 운영자가 자격 요건을 충족하는지, 운영 솔루션이 품질 요구 사항을 충족하는지, 기술 검토가 충분한지, 네트워크에 대한 액세스 운영 내용이 고객의 승인 범위 내에 있는지 등의 여부가 포함된다.
또한 화웨이는 고객, 정부 및 기타 주요 외부 이해관계자의 우려사항, 화웨이 제품의 안전성, 백도어 여부, 직원의 신뢰도, 화웨이 서비스의 안전성, 고객 네트워크에 대한 무단 액세스 여부, 규정 준수 도구 사용 여부, 고객 데이터 보호의 적절성 및 데이터의 중국 재전송 여부 등과 같은 사항에 대한 독립적인 검증을 제공한다.
이와 같은 요구사항이 반영될 수 있게 ▲화웨이 내부 독립적인 검증 시스템 ▲고객 검증 ▲표준 인증, 외부 감사 등과 같은 외부 제3자 검증 등 3단계 독립 검증 시스템을 구축했다.
화웨이는 이러한 검증과 신뢰를 바탕으로 다양한 표준 단체의 보안 팀에서 10 개 이상의 의장 또는 부의장직을 수행하며 보안 표준 구축 및 생태계 구축 지속적으로 기여하고 있다.
