[첨단 헬로티]

“기술적인 요소와 기타 요소 모두 고려해야”

사물인터넷(IoT)과 5G 네트워크가 확산되어 많은 디바이스가 연결되면 빠르고 효율적이며 더욱 다양한 디지털 세상을 경험할 수 있겠지만 또 다른 한편으로는 기존보다 많은 디바이스의 액세스를 통해 보안의 허점도 그만큼 많아지게 된다.

최근 개최된 ‘미래 융합 환경에서의 ICT 법제 이슈와 대응 세미나’에서 한국인터넷진흥원 (KISA) 박영우 연구위원은 ‘5G 시대 해외 사이버보안 법제 현안과 시사점’이라는 제목으로 발표하며, 5G 네크워크 도입을 통한 보안에 대한 현안과 시사점에 대해 지적했다.

이하는 박 연구위원의 발제 내용을 발췌하여 정리한 것임을 밝힌다.

한국인터넷진흥원 (KISA) 박영우 연구위원

박영우 연구위원은 "미래 5G 네크워크의 주요 특성과 기능은 이미 잘 알려져 있고 특히 3세대 파트너십 프로그램(3rd Generation Partnership Project, 3GPP) 규범에 기술되어 있지만 기술과 그 정확한 아키텍처는 여전히 진화하고 있다는 점에 유의해야 한다. 더욱이 5G 네트워크는 아직 EU 회원 국에서 완전히 출시되지 않았기 때문에 잠재적인 새로운 사용 사례는 아직 운영되고 않고 있다."고 전했다.

새로운 기술적 특성과 보안

박영우 연구위원은 "5G에 의해 도입된 기술적 변화는 전체 공격 표면과 공격 자의 잠재적 진입 지점 수를 증가시킬 것이다. 네트워크 엣지의 기능성이 향상되고 이전 세대의 모바일 네트워크 보다 중앙집중화가 덜 된 아키텍처는 코어 네트워크의 일부 기능이 네트워크의 다른 부분에 통합돼 해당 장비가 더욱 민감해질 수 있음을 의미한다. 또한 5G 장비에서 소프 트웨어 부분이 증가하면 소프트웨어 개발 및 업데이트 프로세스와 관련된 리스크가 증가하고 구성 오류의 새로운 리스크가 발생하며, 네트워크 구축 단계에서 각 이통사가 선택한 사항에 대한 보안 분석에서 보다 중요한 역할을 하게 된다."고 말했다.

또한 "이러한 새로운 기술적 특성은 이동 통신사가 제3자 공급 자에 대한 의존성과 5G 공급망에서의 역할에 더 큰 의미를 부여할 것이다. 이는 차례로 위협 행위자, 특히 비 EU 회원국의 통신망에 대한 공격을 수행하는 능력(내부 및자원)과 그러한 공격의 영향에 대한 잠재적 심각성 때문 에 위협 행위자, 특히 비 EU 국가 또는 국가 지원 행위자가 이용할 수 있는 공격 경로의 수를 증가시킬 것이 다. 제3자 공급자가 촉진하는 공격에 대한 노출이 증가하는 이러한 맥락에서 공급자의 개별 위협 프로필은 특히 중요해질 것이다. 특히 공급 자가 네트워크나 영역 내에 상당한 영향력을 가지고 잇는 경우에 그러하다."고 덧붙였다.

이어 "단일 공급자에 대한 주요 의존성은이 공급자의 잠재적 고장에 대한 노출과 결과를 증가시킨다. 또한 공급 업체가 높은 수준의 위험을 나타내는 것과 관련된 경우, 취약점이나 취약점의 잠재적 결과, 위협 행위자에 의한 이용 가능성을 악화시킨다."고 언급했다.

새로운 보안 패러다임의 창출

박영우 연구위원은 "5G용으로 계획된 새로운 사용 사례 중 일부가 결실을 맺는 경우, 5G 네트워크는 결국 많은 중요 IT 애플리케이션의 공급망에서 중요한 부분이 될 것이며, 기밀성 및 프라 이버시 요구사항 뿐만 아니라 네트워크의 무결성과 가용 성이 주요 국가 보안 컨센서스가 될 것이다."고 전망했다.

그는 "이러한 당면 과제는 새로운 보안 패러다임을 창출하여 부문과 그 생태계에 적용할 수 있는 현재의 정책 및 보안 프레임워크를 재평가해야 하며 회원국이 필요한 완화 조치를 취하는데 필수적이다. 이를 위해서는 사이버보안법 시행, 공공기관의 감독 역할 사업자와 공급자의 각각의 의무와 책임 등 기존 프레임워크와 집행 메커니즘의 잠재적 격차를 식별해야 한다."며 "확인된 많은 위험, 특히 코어 또는 접근 수준에 영향을 미치는 위험의 경우, 우발적 접근방식은 3GPP에 의한 표준화를 통해 정의된다."고 설명했다.

박 연구위원은 "5G 작동 방법의 근본적인 차이는 4G 네트워크에 배치된 현재의 보안 조치가 식별된 보안 위험을 완화할 정도로 완전히 효과적이거나 충분히 포괄적이지 않을 수 있다는 것을 의미한다. 5G 네크워크에서 사이버 보안 위험의 해결은 기술적 요소와 기타 요소를 모두 고려해야 한다."고 피력했다.