2024-05-24 02:40 (금)
EY컨설팅 김상우 파트너 “NESAS 국내 표준화로 네트워크 공급망 리스크 최소화 시급”
상태바
EY컨설팅 김상우 파트너 “NESAS 국내 표준화로 네트워크 공급망 리스크 최소화 시급”
  • 길민권 기자
  • 승인 2022.10.24 13:34
이 기사를 공유합니다

국내에도 네트워크 국제표준 도입 및 공동 책임 모델 적용 필요한 시점
10월 21일 ‘제1회 5G-Advanced 보안 비전 세미나’에서 EY컨설팅 김상우 파트너가 ‘5G 디지털 공급망 보안 NESAS’를 주제로 강연을 진행하고 있다.
10월 21일 ‘제1회 5G-Advanced 보안 비전 세미나’에서 EY컨설팅 김상우 파트너가 ‘5G 디지털 공급망 보안 NESAS’를 주제로 강연을 진행하고 있다.

한국정보보호학회(학회장 이옥연 교수, 국민대) 산하 5G보안연구회(위원장 유일선 교수)와 EY컨설팅 주최로 10월 21일 그랜드하얏트 서울 호텔에서 ‘제1회 5G-Advanced 보안 비전 세미나’가 온·오프라인 혼합방식으로 개최됐다. 

이 자리에서 EY컨설팅 김상우 파트너는 ‘5G 디지털 공급망 보안 NESAS’를 주제로 강연을 진행했다. 

김상우 파트너는 “대규모·다양성을 갖춘 네트워크 시대의 도래로 새롭게 발생한 보안 문제를 해결하기 위한 표준이 요구되고 있다”며 “5G, 6G 초연결망 개발과 사이버보안 위협이 증가하는 가운데 다양한 기기의 대규모 IoT 통신망으로 인한 서비스 장애와 데이터 편취 위험이 증가하고 있다. 이에 국가별 보안 요구사항을 통합한 국제표준 규격을 준수해 비용을 절감하고 End to End 보안으로 나아가야 한다. 네트워크 운영자, 장비 공급업체, 규제기관의 3자 상호협력 체계를 만들어 책임과 이점을 동시에 가져야 하고 5G에서 6G로 더 도약 중인 현재 신뢰 가능하고 상호협력적인 공동책임모델을 지향해야 한다”고 강조했다. 

이어 그는 5G, 6G 광대역 이동통신 이용자가 증가함에 따라 잠재적 사이버 보안 위협 역시 증가하고 있는 상황에 5G 시대를 맞이하는 새롭게 통일된 이동통신 보안표준인 ‘NESAS(Network Equipment Security Assurance Scheme)’에 대해 상세히 소개하는 시간을 가졌다. 

NESAS는 세계이동통신사업자협회(GSMA), 국제이동통신표준화협력기구(3GPP)가 공동 제정한 네트워크 장비 보안보증 체계 인증이다. 

국가마다 각각 다른 보안 표준을 요구하면서, 국가별로 다르게 네트워크 장비를 설계할 경우 복잡성과 비용이 증가했다. 이에 5G 활성화와 사이버보안, 사용자를 위한 통일된 이동통신 보안표준의 필요성이 대두됨에 따라 이동통신 산업의 새로운 보안기준으로 ‘NESAS’가 만들어졌다. 

NESAS는 총 38개 통제항목으로 구성됐으며 1단계는 제품 개발 및 제품 수명주기 프로세스 감사(GSMA가 심사), 2단계는 장비 안전테스트(3GPP가 심사)로 이루어진다. 

현재 1단계 GSMA 심사와 2단계 3GPP 심사를 통과한 기업은 화웨이(Huawei), 삼성 네트워크 솔루션(Samsung Network Solution), 미국 마브니어(Mavenir) 등의 사업자가 인증심사를 통과했다. Nokia, Ericsson, Telecotitans, Thelec 등의 사업자가 인증취득을 권장하고 있다. 

이어 김상우 파트너는 “일반 IT 업계는 CC인증을 취득하지만, 모바일통신 업계에서는 NESAS 인증이 권장되고 있다”며 “CC인증은 국내 IT업계에서 보편적인 인증으로 통제항목 22개 보안성 평가가 이루어지며 12개월 이상 시간과 비용도 많이 요구된다 한편 NESAS 인증은 글로벌 네트워크 공급업체 등이 인증심사를 권장하고 있으며 5G 네트워크 전문 프로세스 및 안정성 심사로 통제항목 38개 보안성 평가가 이루어진다. 인증심사는 최소 6개월 정도 소요된다”고 설명했다. 

그렇다면 왜 글로벌 네트워크 사업자가 NESAS 인증심사에 참여할까. 

김 파트너는 이에 대해 “기존 보안표준의 한계 때문이다. 정보보안 관련 국제표준이 난립하고 네트워크 표준 부재가 원인이다. 특히 통신장비에 대한 기술적 통제사항이 부족해 통신업계에서 널리 채택되지 않았다. 그리고 제한된 국가들에 의해서만 인정되었으며 장기간 인증 과정 소요 및 신제품·신기술에 대한 보안 요구 사항 확립이 미비했기 때문에 글로벌 네트워크 사업자가 NESAS 인증심사에 참여하고 있다”고 전했다. 

NESAS가 이동통신 산업에 주는 장점은 다음과 같다.  

네트워크 운영자에게는 네트워크 장비의 보안 기능 확인 및 안전성, 기능성 테스트에 투입되는 비용 감소, 보안 요구사항의 일관성 확립이 가능하다. 

정부 및 규제기관은 보안 컴플라이언스 단편화·단순화를 방지할 수 있고 업계 자율성을 보장할 수 있다. 

네트워크 장비 공급자는 고객과 규제기관에 컴플라이언스 입증, 개발 및 제품 안전성 및 기능성 입증, 글로벌 판매 용이, 통합적 보안 컴플라이언스 제공 등의 이점을 준다. 

삼성전자도 미국 시장 진출을 위해 NESAS 인증에 참여하고 있고 마브니어사는 개발 및 유지보수 안전성을 위해, 에릭슨은 제품 프로세스 개선을 위해 NESAS 인증에 참여하고 있다. 

글로벌 장비 및 이동통신기업 동향을 분석해 보면, 국내·외에서 NESAS 인증을 취득하거나 권고하는 등의 움직임을 보이고 있다. 

에릭슨은 3GPP 표준은 전 세계적으로 승인된 표준으로서 정밀한 암호화 및 무결성 보호를 보장한다고 말한다. 

노키아는 사이버 보안 위험을 고려하여 표준화된 보안 기능에 의존해 잠재적 위험을 최소화하기 위해 NESAS 인증을 권고하고 있다. 

삼성은 글로벌 사업자의 신뢰할 수 있는 파트너로서 최고의 보안 표준을 달성할 것이라며 이는 보안 요구를 충족하는 5G 프레임워크로 진화함에 따라 NESAS 인증은 필수적이다라고 말한다. 

또 화웨이는 안전한 제품과 신뢰할 수 있는 서비스로 NESAS 인증을 통해 사이버 보안과 개인정보보호를 보장한다고 밝혔다. 

이외 글로벌 이동통신기업들도 고객 데이터와 개인정보보호를 위해 가동중인 네트워를 보장해야 하고 기술 혁신과 보안이 동시에 충족된 고품질 5G 네트워크 개발을 촉진해 최상의 경험을 제공하기 위해 NESAS 인증을 권장하고 있다. 

현재 EU, 중국, 아시아 등지에서 모바일 장비 공급업체가 NESAS 표준을 준수하도록 요구하고 있다. 

독일은 연방정보보안청(BSI)이 NESAS를 기반으로 새로운 요구사항과 테스트 사례를 추가해 제품 인증을 위한 국가 인증제도(NESAS CCS-GI)를 개발했으며, 독일 BSI 산하 보안 카탈로그 2.0은 NESAS를 EU 사이버보안법에 적합하게 변경해 유럽 연합의 통합 5G 인증 표준의 일부로 사용한다. 

중국은 NESAS가 5G 보안평가 표준으로 승인되어 IMT 2020 추진단이 시행 중이며 중국 시장의 모든 5G 장비 공급업체는 NESAS 표준 시스템을 준수해야 한다. 

태국은 국가 방송 통신 위원회(NBTC) 통신 산업 관계자들이 NESAS 표준을 준수할 것을 요구하는 국가 5G 보안 지침을 발표한바 있다. 

인도네시아는 2021년 8월 사이버암호청과 방송통신협회, 통신사업자, GSMA, 3GPP가 협력하는 5G 태스크포스팀을 출범했다. 

김 파트너는 “국내에도 네트워크 국제표준 도입 및 공동 책임 모델 적용이 시급하다. NESAS의 국내 표준화로 네트워크 장비 공급자와 네트워크 운영자 간 공급망 리스크를 최소화해야 한다”며 “현재 한국은 각기 다른 분야의 표준과 보안보증을 사용하고 있으며 장비에 대한 인증, 의무/권고사항도 없다. 글로벌 5G 보안표준으로 채택되고 있는 NESAS 도입이 필요한 상황”이라고 강조했다. 

★정보보안 대표 미디어 데일리시큐!★

■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★