[기사 내용]

ㅇ 스페인 CC평가기관 ‘에포체&에스프리’(E&E) 대표는 화웨이가 5G 기지국 장비에 대해 CC인증을 신청하여 평가가 진행 중이라면서,

- 다른 5G 기지국 제조사들은 CC인증 신청조차 하지 않았다고 발언

※ 정보보호제품 공통평가기준 (CC, Common Criteria)

ㅇ 이를 토대로 한국의 이통사들은 전문 보안인증을 받지 않은 장비로 5G망을 구축 중이라 보도

[과기정통부 설명]

ㅇ 스페인의 민간평가기관인 ‘에포체&에스프리’(E&E, 2006년 설립)를 통해 진행 중인 화웨이의 CC인증은 화웨이가 자체적으로 설정한 보안수준에 대해 평가* 하는 것으로

- 특정 국가에서 요구하는 보안수준을 평가**하는 것이 아님

* ST(Security Target)방식의 CC인증 : 제조사가 스스로 보안수준을 정하고 이를 준수하는지 평가받는 방식 (예: 스마트TV 등 비(非)보안장비 등에 주로 사용)

** PP(Protection Profile)방식의 CC인증 : 일반적 CC평가방식으로 국가·단체 등 IT제품 수요자가 보안요구수준을 정하면, 이에 따라 평가받는 방식 (예: 정부기관에 납품되는 방화벽 등 보안장비에 활용)

ㅇ 우리나라와 주요국들은 민간이통사의 통신장비에 보안인증을 요구하는 제도를 가지고 있지 않으며, 

- 민간이통사가 자체 보안검증을 거쳐 통신장비를 도입하고 있음 

ㅇ 그러나, 우리 정부는 5G 보안의 중요성을 인식하고, 이통사가 철저한 보안검증을 거쳐 5G 장비를 도입하도록 필요한 조치를 진행 중

- ‘18.10월부터 보안전문가와 이통사가 참여하는 “5G보안 기술자문협의회”를 구성·운영하고 있으며,

- 협의회에서 논의를 거쳐 3GPP 등 국내외 통신장비 보안기준 등을 종합하여 높은 수준으로 5G 기지국 장비에 대한 보안기준을 마련

- 이를 토대로 이통사는 도입되는 모든 5G 기지국 장비(삼성·노키아·에릭슨·화웨이)에 대해 자체 보안검증을 실시하고 있으며,

- “5G보안 기술자문협의회”는 이통사의 자체 보안검증 결과에 대한 면밀한 기술자문 등을 통해 철저한 보안검증이 되도록 하고 있음

- 또한, 장비 자체의 보안성만 검증하는 CC보다 보안검증 범위를 넓혀 장비 자체의 보안성뿐만 아니라 장비 운영 시의 보안성도 함께 검증 중

ㅇ 정부는 향후 5G망 구축단계에 따라 추가적 보안강화대책을 실시할 예정이며, 이를 통해 높은 수준으로 5G망 보안을 관리할 계획임 

문의 : 과학기술정보통신부 정보보호산업과(02-2110-2971)