5G 이동통신 보안 표준인 '네트워크 장비 보안 인증 제도(NESAS)'를 국내에도 활성화해야 한다는 목소리가 나오고 있다. 국내에 NESAS를 도입하면 네트워크 장비 공급자와 네트워크 운영자간 공급망 리스크를 줄일 수 있다는 설명이다.
한국정보보호학회 산하 5G보안연구회와 EY컨설팅은 21일 그랜드하얏트 서울 호텔에서 '제 1회 5G-어드밴스드 보안 비전 세미나'를 개최했다.
5G보안연구회 유일선 위원장은 "한국정보보호학회 5G 보안연구회는 국내 5G 및 6G 보안 기술과 정책연구를 위한 산학연 전문가 플랫폼 역할을 하기 위해 많은 노력을 해오고 있다"며 "이번 세미나가 국내 5G·6G 보안 전문가들에게 유익한 정보 제공과 활발한 교류와 토론이 이어질 수 있는 장이 되기를 기대한다"고 말했다.
이날 세미나에 강연자로 참석한 EY컨설팅 김상우 파트너는 '5G 디지털 공급망 보안 NESAS'를 주제로 발표했다.
김 파트너는 "다양한 기기의 대규모 IoT 통신망으로 인한 서비스 장애와 데이터 편취 위험이 증가하고 있다"며 "국가별 보안 요구사항을 통합한 국제표준 규격을 준수해 비용을 절감하고 엔드 투 엔드 보안으로 나아가야 한다"고 말했다.
네트워크 단위 면적당 접속 가능한 기기의 수 증가로 동시다발적 공격 및 서비스 장애가 일어나고 있으며, 5G·6G 광대역 이동통신 이용자가 증가함에 따라 잠재적 사이버 보안 위협이 증가하고 있다는 설명이다.
이에 이동통신 산업에서는 새로운 보안 기준으로 NESAS가 떠오르고 있다. NESAS는 세계 이동통신사업자협회(GSMA)와 국제이동통신표준화협력기구(3GPP)가 공동으로 제정한 네트워크 장비 보안보증 체계 인증이다.
국가마다 각각 다른 보안 표준을 요구하는데, 국가별로 다르게 네트워크 장비를 설계할 경우 복잡성과 비용이 증가한다. 이에 5G 활성화와 사이버 보안, 사용자를 위한 통일된 이동통신 보안 표준의 필요성이 대두되면서 NESAS가 만들어지게 됐다.
NESAS 인증은 2단계로 구성된다. 1단계에서는 GSMA가 제품 개발 및 제품 수명 주기 프로세스를 심사하며, 2단계에서는 3GPP가 장비 안전 테스트를 심사한다.
삼성전자, 화웨이, 노키아, 에릭슨 등 4대 통신장비업체는 현재 모두 NESAS 인증을 받았다. 삼성전자는 미국 시장 진출을 위해, 에릭슨은 제품 프로세스 개선을 위해, 화웨이는 사이버 보안과 개인정보보호를 보장하기 위해 NESAS 인증을 취득하고 있다는 입장이다.
김 파트너는 "CC인증은 범용적으로 잘 써왔던 체계 중 하나이지만, 너무 범용적이라는 게 장점이자 단점"이라며 "5G 보안과 관련해서는 조금 더 똘똘한 애 없을까 해서 만든 게 NESAS"라고 설명했다. NESAS 인증은 5G 네트워크 전문 프로세스 및 안정성 심사다. 인증 심사에 소요되는 기간은 최소 6개월로, 12개월 이상이 걸렸던 CC인증에 비해 상대적으로 짧다.
김 파트너는 NESAS가 네트워크 운영자, 정부 및 규제기관, 네트워크 장비 공급자 모두에게 이점을 줄 수 있다고 설명했다.
네트워크 장비 공급자는 NESAS 인증을 통해 고객, 규제기관에 컴플라이언스를 입증하고 제품의 안정성과 기능성을 입증할 수 있으며, 네트워크 운영자는 네트워크 장비의 보안 기능을 확인할 수 있고, 안전성 및 기능성 테스트에 투입되는 비용을 감소할 수 있다는 게 장점으로 꼽힌다. 정부 및 규제기관은 보안 컴플라이언스 단편화·단순화를 방지할 수 있다.
현재 EU, 중국, 아시아 등에서는 모바일 장비 공급업체가 NESAS 표준을 준수하도록 요구하고 있다.
관련기사
- 11월부터 정보보호제품 신속확인제…발급까지 2개월 소요2022.10.18
- 스파이스웨어, 'DB암호화 솔루션' 국제 표준 CC인증 획득2022.10.12
- 삼성전자, 인도 에어텔과 '5G 통신장비' 공급 계약2022.08.04
- 장젠준 화웨이 부사장 "6G, 한국과 함께 동반성장 기대"2022.05.23
독일에서는 연방정보보안청(BSI)이 NESAS를 기반으로 새로운 요구사항과 테스트 사례를 추가해 제품 인증을 위한 국가 인증제도를 개발했다. 중국은 NESAS를 5G 보안평가 표준으로 승인해, 중국 시장의 모든 5G 장비 공급업체가 NESAS 표준 시스템을 준수하도록 하고 있다. 태국은 국가방송통신위원회(NBTC) 통신 산업 관계자들이 NESAS 표준 준수를 요구하는 국가 5G 보안 지침을 발표했다.
이에 김 파트너는 국내도 이 같은 NESAS 표준 도입이 필요하다며, NESAS 공동 책임 모델을 제시했다. 그는 "네트워크 운영자, 네트워크 장비 공급자, 정부·규제기관의 공동책임모델이 분명히 필요하다"며 "NESAS를 국내 표준으로 도입해 선순환 구조가 이뤄지면 네이티브 시큐리티, 시큐리티 바이 디자인이 되면서 자체적인 공급망 진단·운영 체계를 만드는 실질적인 방안이 돼 공급망 리스크를 최소화할 수 있을 것"이라고 말했다.