LG유플러스가 노르웨이에서 5G 기지국 관련 정보보호관리체계 국제인증을 받았다. LG유플러스는 국내 이통3사 중 유일하게 중국의 통신장비업체 화웨이 장비를 사용하는데, 국외에서 안전에 대한 인증을 받음에 따라 국내외 고객 신뢰 확보에 청신호가 켜졌다. 이와 별도로 화웨이는 2019년 스페인 인증기관에 자사 5G 통신장비에 대한 공통평가기준(CC) 인증을 의뢰했고, 현재 CC 검증 절차를 마친 후 인증서 발급을 기다리는 중이다.
ISO27001 인증은 국제표준화기구(ISO)가 제정한 국제표준 정보보호 인증이다. 정보보호 분야에서 가장 권위 있는 인증 중 하나다. 현장실사를 통해 정보보안정책, 인적자원보안, 보안사고 관리 등 관리적 보안과 물리적 보안, 암호화와 통신에 관련된 기술적 보안 등 3개 분야에 걸쳐 총 14개 영역 114개 관리 기준에 따른 심사를 통과해야만 인증을 부여한다.
28일 LG유플러스 한 관계자는 "화웨이 장비를 포함한 모든 5G 기지국이 DNV-GL사의 심사를 거쳤다"며 "특정 장비에 대한 인증을 넘어 5G 기지국 운영 시스템 전반에 대한 인증으로 보면 된다"고 말했다.
LG유플러스는 2019년부터 네트워크 및 보안 관련 임직원들은 협력을 통해 정보보안 규정과 가이드라인을 재정립했다. 외부 전문기관의 감사와 컨설팅을 진행하며 보안 강화를 위한 투자를 지속했다.
LG유플러스 관계자는 "2019년 6월부터 인증 범위와 인증심사 계획을 수립하고, DNV-GL과 협의를 통해 같은해 10월부터 현장 실사를 진행했다"며 "이번 인증을 통해 5G 서비스를 이용하는 고객 우려가 높은 정보보호와 보안 대응 체계에 대한 높은 신뢰도를 확보할 것으로 기대한다"고 말했다.
이통업계에 따르면 LG유플러스의 ISO27001 인증은 화웨이가 절차를 마친 CC 인증(ISO15408) 대비 획득이 어렵다. 개별 장비의 보안 이슈만 보는 게 아니라 전체 보안 체계의 안전성을 심사하는 만큼 신뢰성이 높다는 평가를 받는다.
이통업계 관계자는 "화웨이의 CC 인증은 특정 제품의 보안상 문제를 점검하는 절차다"라며 "반면 LG유플러스가 받은 ISO27001 인증은 네트워크 운영에 대한 기술·비기술적 분야를 모두 점검하는 포괄적 인증이기 때문에 그 자체로 보안상 안전을 입증한다고 볼 수 있다"고 말했다.
화웨이는 스페인 국제보안 검증 연구소(E&E)로부터 5G 통신장비에 대한 CC 인증 절차를 마쳤다.
멍 샤오윈 한국화웨이 지사장은 2019년 12월 20일 서울 중구 더 플라자 호텔에서 열린 송년 기자간담회에서 "화웨이는 2018년부터 CC 인증 절차를 진행해 2019년 7월 모든 기술 검증을 완료했지만 발급 절차가 지연되고 있다"며 "발급을 완료하면 인증을 공개하고 국내 정부에 제출도 하겠다"고 말했다.
E&E는 정보기술(IT) 장비 보안 검증 절차를 규정한 국제 규격(ISO15408) 준수 여부를 평가하는 CC 인증을 진행하는 업체다. 인증은 총 7개 레벨(1~7단계)로 구성된다. 5G 유무선 장비는 물론 운영체제(OS), 단말기에 대해서도 인증을 한다. 국제 인증이기 때문에 유럽에서 CC 인증을 받아도 정부간 협약에 따라 한국·미국 등 30개국에서 인증 효력이 생긴다. E&E에 따르면 유럽에서는 보통 레벨4, 한국·미국에서는 레벨2를 만족하면 되는데 화웨이는 레벨4로 검증을 마쳤다.
화웨이 관계자는 "E&E 검증 결과가 우수하게 나온 것으로 알고 있으며 상반기 중 인증서 발급을 기대하고 있다"고 말했다.