화웨이 "백도어 심으면 반드시 걸리는 구조"…투명성 센터 공개
입력
수정
'사이버 보안 투명성 센터' 공개화웨이가 이른바 ‘백도어 의혹’을 또다시 반박했다. 제품 개발 과정에서 3단계의 철저한 검증을 거치기 때문에 백도어(인증 받지 않은 사용자가 접근할 수 있는 통신연결 기능)를 심기가 구조적으로 불가능하다는 주장이다. 또 화웨이 내부의 독립 조직인 ‘사이버 보안 투명성 센터’를 운영해 보안을 철저히 관리한다고 강조했다. 그간 미국은 화웨이가 중국 공산당과 연계해 통신 장비에 백도어를 심고 정보를 빼돌린다는 의혹을 제기해왔다.
美 제기한 '백도어 의혹' 반박
"3단계 검증으로 백도어 심기 불가능"
지난 18일 중국 광둥성 둥관시에 있는 화웨이 ‘사이버 보안 투명성 센터’에서 국내 취재진과 만난 리화란 글로벌사이버보안책임(GSPO)소속 엔지니어는 “화웨이의 제품 개발 과정에선 구조적으로 절대 백도어를 심을 수 없고, 누군가 백도어를 심었다면 무조건 적발되는 구조”라고 강조했다.리화란 엔지니어는 화웨이의 제품 개발이 3단계의 철저한 검증 과정을 거친다고 설명했다. 첫 단계로 개발자가 짠 코드를 코드 창고에 탑재하기 전 한 번 악성코드가 있는지를 검사한다. 두 번째 단계로 생산라인에서 제품의 취약성 또는 악성코드 탑재 여부를 스캔한다. 마지막으로 화웨이 내부의 독립적 조직인 ‘사이버 보안 투명성 센터’에서 제품 출시 직전 테스트를 거친다.
보안의 핵심은 검증 마지막 단계의 투명성 센터다. 센터를 운영하는 조직인 GSPO는 제품이 보안 요건을 충족하지 못하면 출시 거부권을 행사한다. 독립성을 보장하기 위해 제품을 개발하는 다른 조직과는 분리돼있다. 투명성 센터는 2014년 영국을 시작으로 벨기에와 독일 등 7개국에서 운영되고 있다. 이번에 국내 취재진이 방문한 중국 둥관의 투명성 센터는 2021년에 문을 연 후 각국 센터의 허브로 역할하고 있다.
한 사람의 직원이 악의적으로 백도어를 심을 수 없도록 직원과 조직이 서로 역할을 분담하고, 견제하는 구조하는 게 화웨이의 설명이다. 리화란 엔지니어는 “한 사람이 모든 라인을 전담하지 않도록 구성하고 있다”고 했다. 외부 기관의 보안 인증을 다수 받았다는 점도 강조했다. 영국 HCSEC 등의 검증 기관에서 화웨이가 받은 인증서는 440여개에 달한다. 리화란 엔지니어는 “노키아나 에릭슨 등 글로벌 통신 장비기업과 비교해도 더 많은 인증서를 받았다”고 했다.
그간 화웨이 제품에 백도어가 심어져있다고 의심할 수 있는 사례는 지속적으로 발견됐다. 2019년엔 마이크로소프트 보안 전문가들이 화웨이가 만든 노트북인 메이트북에서 보안 취약점 발견한 사실이 보도되기도 했다. 화웨이의 장비 관리 드라이버에는 공격자가 몰래 시스템에 침입해 장악하도록 하는 취약점 있고, 이 구조가 백도어와 상당히 유사하다는 지적이었다.
화웨이 측은 백도어 의혹에 실체가 없다는 입장을 고수하고 있다. 지난 3월 스페인 바르셀로나에서 열린 이동통신 전시회 ‘MWC 2023’에서도 장정쥔 화웨이 아시아태평양대외협력홍보 부문 부사장은 “화웨이 백도어 의혹은 증거가 없기 때문에 실체가 없다”고 했다. 이어 “중국 본사에도 장비와 소스 코드 등을 자세히 살펴볼 수 있는 공간이 있고 고객 요청 사항에 따라 투명한 검증을 진행하고 있다”고 설명했다.
둥관=최예린 기자 rambutan@hankyung.com