화웨이 "전 제품 보안, 3단계 독립 검증 거친다"
화웨이가 모든 제품과 솔루션에 3단계 독립 검증 시스템을 구축했다고 밝혔다. 외부의 우려, 제품 안전성, 백도어 여부, 직원 신뢰도, 각국의 정보보호 규제 등을 고려해 각계의 요구 조건을 맞추기 위한 체계를 갖췄다는 설명이다. 화웨이는 지난 18일 광둥성 둥관시 시 리우 포춘 캠퍼스에 마련된 '글로벌 사이버 보안 투명성 센터'를 국내 언론에 처음 공개한 자리에서 회사의 이 같은 보안 방침을 소개했다. 둥관 캠퍼스 투명성 센터는 지난 2021년 6월에 문을 열었다. 벨기에 브뤼셀에 이은 두 번째 투명성 센터로 영국, 독일, 캐나다, UAE, 이탈리아 등 지역 센터를 비롯해 총 7개의 센터가 운영되고 있다. 이 가운데 둥관 센터는 1만7천 제곱미터의 최대 규모 센터로 1층에는 전시장과 검증 설비 구역, 2층에는 고객 대상 독립적 검증 구역, 3층과 4층에는 독립적인 사이버 보안 연구실로 구성됐다. 화웨이가 밝힌 3단계 검증 시스템 가운데 첫 번째는 사내 내부 독립적인 검증 체계다. 연구개발(R&D)와 독립적인 ICSL을 운영하면서 제품 출시 전에 보안 테스트를 수행하고, 요구 사항을 충족하지 않을 경우 회사 글로벌사이버보안책임자(GSPO)가 제품 출시를 거부할 수 있다. 지난해 연매출 29% 수준인 270억 달러(약 36조원)를 R&D에 투자한 회사다. 이 가운데 5% 비중은 보안 투자에 집중돼 있다. 막대한 투자를 하며 제품과 솔루션을 만드면서 투자와 무관한 연구소에서 사내 독립적인 테스트를 거치게 한다는 뜻이다. 1단계 사내 별도 연구소의 검증 이후에는 검증을 회사 밖의 몫으로 돌린다. 고객사가 투명성센터에서 직접 보안 검증을 할 수 있도록 했고, 마지막 3단계에서는 표준 인증과 외부 감사 등의 3자 검증을 거친다. 이 같은 3자 인증으로 440개 이상의 인증서를 획득했다. 이를테면 화웨이의 5G 제품인 gNodcB는 3자 연구소에서 공인 CC 인증(EAL+4)을 획득했다. 22개월이 걸린 평가 기간을 거쳐 최종 인증을 얻었다. 자체 개발 OS인 홍멍(하모니)은 최고 보안 수준인 CC EAL+5 인증을 받기도 했다. 센터 관계자는 다른 벤더의 같은 제품이 받는 인증보다 한 단계 위라고 설명했다. 이 관계자는 투명성센터 구축이나 별도의 보안 연구 조직을 갖춘 이유에 대해 “디지털 경제의 기초가 되는 사이버 보안과 개인정보 보호는 시간이 갈수록 더 많은 도전 과제에 직면하고 있다”고 말했다. 지난해 구글 클라우드가 역대 최대 규모의 DDoS 공격을 차단했다고 밝힌 점이나 러시아의 우크라이나 침공 이후 사이버 전쟁이 급격히 들었다는 라드웨어의 보고서를 사례로 들며 앞으로는 사이버 보안이 가장 중요한 과제라고 설명했다. 그는 또 “화웨이는 2011년부터 사이버 보안과 개인정보 보호를 기업의 중요한 개발 전략으로 삼았고, 2018년에는 이사회로부터 최우선 강령으로 명시했다”고 밝혔다. 이어, “수년 간의 노력 끝에 전략과 거버넌스, 표준과 프로세는, 볍률 규정, 인력 관리, R&D, 검증, 공급망, 보안 사고 대응 등 12가지 핵심 분야의 엔드투엔드 사이버보안 보장 시스템을 구축했다”고 덧붙였다.