이준호 한국화웨이 CSO “화웨이 등 5G 리더 그룹 대부분 NESAS에 참여해”
5G 보안이슈 해결은 물론 보안인증에 소요되는 비용과 시간까지 해결
[보안뉴스 원병철 기자] 우리가 사용하는 여러 제품들은 제대로 만들어진 제품이라는 ‘인증’을 받아 표기하는 경우가 많다. 예를 들면, 전자제품은 전자파의 영향에 대한 ‘전파인증’을 받아야 하며, 식품은 위생관리 인증인 ‘HACCP’을 받는 것이 일반화됐다. 보안 분야 역시 우리가 잘 아는 ‘CC인증’이나 ‘보안적합성검사’ 등 많은 인증이 있다.
▲이준호 한국화웨이 CSO[사진=보안뉴스]
그렇다면 모바일은 어떨까? 모바일 산업 역시 앞서 언급했던 CC인증이 대표적이지만, 아무래도 IT에 특화된 보안기준이기 때문에 모바일에 초점을 맞춘 인증이 필요했고, 이러한 필요에 따라 만들어진 것이 바로 NESAS다.
이준호 한국화웨이 CSO는 10월 21~22일 열린 ‘ISEC 2021’에서 최근 네트워크 분야에서 이슈가 되고 있는 ‘NESAS(Network Equipment Security Assurance Scheme, 네트워크 장비 보안 보증 체계)’에 대해 강연을 진행했다.
NESAS는 네트워크 산업의 새로운 보안 기준으로 평가받는 인증으로, 세계 이동통신 사업자협회(GSMA)와 국제 이동통신 표준화 협력기구(3GPP)가 공동으로 제정했다. GSMA는 400여 개의 모바일 기업과 750여 개의 이동통신사가 참여하고 있으며, 특히 MWC를 운영하는 것으로 잘 알려져 있다. 또한, 3GPP는 무선 통신 관련 국제표준을 제정하기 위해 1998년 12월 창설된 이동통신 표준화 기술협력 기구이며, 우리나라 TTA를 비롯한 전 세계의 표준화 기구와 삼성전자, 노키아, 퀄컴 등 700여개 전자 및 이동통신 업체가 회원사로 있다.
이동통신 분야의 대표적인 두 단체가 NESAS를 만든 이유는 무엇일까? 가장 대표적인 이유는 바로 5G다. 4G와 비교해 엄청난 성능을 자랑하며 차세대 통신으로 불리지만, 국가 및 기업 간 경쟁으로 인해 보안성이 이슈의 중심이 되자 이를 해결하기 위해 두 단체가 뭉친 것이다. 산업계에서는 논란이 되고 있는 5G의 보안 이슈를 해결하고, 동시에 네트워크 장비의 보안을 강화하기 위해서 NESAS를 추진했다. 아울러 일관성 있는 보안 기준과 장비 테스트를 위한 체계적인 연구시설, 그리고 비용과 시간을 절감할 수 있는 방안에 대한 논의도 함께 진행했다.
이준호 CSO는 “NESAS 이전에도 CC인증을 사용했지만, 아무래도 네트워크에 특화된 보안인증이 필요했고, 나아가 인증 갱신 문제나 장시간이 소요되는 이슈도 해결하기 위해 두 기관이 힘을 합친 것 같다”고 설명했다.
즉, NESAS는 보안 평가나 네트워크 장비 보안을 지키는 최적의 방법이다. 일관성 있고 엄격한 보안 기준을 제시하고, 독립적이고 수준 높은 전문기관 및 테스팅 연구실을 갖추는 한편, 비용적 효율성을 달성하는 것이 목표다. 이를 위해 GSMA는 NESAS의 사양을 정의하고 유지·관리하는 것을 담당하며, 3GPP는 보안 보증 사양(SCAS)에 모바일 네트워크 기능을 구현하는 네트워크 제품의 보안 요구사항과 테스트 케이스를 정의한다.
NESAS는 CC인증이나 ISMS인증 등 우리가 익히 아는 인증과 크게 다르지 않다. NESAS는 GSMA와 3GPP가 공동으로 정의한 모바일 네트워크 디바이스 및 공급업체 프로세스에 대한 보안 평가 및 감사 메커니즘이다. 이 때문에 NESAS 평가를 통해 네트워크 장비가 일련의 보안 요구사항을 충족하고, 해당 장비가 개발 및 제품 수명 주기 프로세스 기준에 따라 개발되었음을 증명할 수 있다.
NESAS는 크게 두 가지를 확인할 수 있는데, 첫 번째는 제품개발 및 제품 생명주기 프로세스 감사로 GSMA 인가 감사팀 설비공장, 감사보고서 생성과 GMSA NESAS Accreditation Board는 감사보고서 및 감사진의 건의서에 따라 설비업체에 인가(Accreditation) 부여를 결정한다. 두 번째는 제품 안전 테스트로 GSMA 인증 테스트 랩을 통해 3GPP SCAS 표준에 따라 네트워크 제품을 테스트하고, 감사보고서 기반으로 테스트된 네트워크 제품에 승인된 공급업체 개발 프로세스가 적용됐는지 확인한 후 평가보고서를 제공한다.
NESAS는 2019년 10월 1.0이 릴리즈됐으며, 2020년 3월 화웨이가 최초로 감사를 완료했다. 이후 노키아와 에릭슨, ZTE는 물론 2021년 6월 삼성전자까지 감사를 완료하면서 글로벌 대표 스마트폰 제조사들이 NESAS에 참여했다.
이준호 CSO는 “이통사와 장비 공급업체, 감사기관과 정부 및 관리/감독기관이 공동으로 NESAS를 5G 시대의 이동통신 네트워크 보안 인증 글로벌 표준으로 추진 중이지만, 이제 막 시작하는 단계이니 만큼 신뢰성 높은 보안 테스트 능력을 지속적으로 강화해 나갈 것”이라고 설명했다.
[원병철 기자(boanone@boannews.com)]
5G 보안이슈 해결은 물론 보안인증에 소요되는 비용과 시간까지 해결
[보안뉴스 원병철 기자] 우리가 사용하는 여러 제품들은 제대로 만들어진 제품이라는 ‘인증’을 받아 표기하는 경우가 많다. 예를 들면, 전자제품은 전자파의 영향에 대한 ‘전파인증’을 받아야 하며, 식품은 위생관리 인증인 ‘HACCP’을 받는 것이 일반화됐다. 보안 분야 역시 우리가 잘 아는 ‘CC인증’이나 ‘보안적합성검사’ 등 많은 인증이 있다.
▲이준호 한국화웨이 CSO[사진=보안뉴스]
그렇다면 모바일은 어떨까? 모바일 산업 역시 앞서 언급했던 CC인증이 대표적이지만, 아무래도 IT에 특화된 보안기준이기 때문에 모바일에 초점을 맞춘 인증이 필요했고, 이러한 필요에 따라 만들어진 것이 바로 NESAS다.
이준호 한국화웨이 CSO는 10월 21~22일 열린 ‘ISEC 2021’에서 최근 네트워크 분야에서 이슈가 되고 있는 ‘NESAS(Network Equipment Security Assurance Scheme, 네트워크 장비 보안 보증 체계)’에 대해 강연을 진행했다.
NESAS는 네트워크 산업의 새로운 보안 기준으로 평가받는 인증으로, 세계 이동통신 사업자협회(GSMA)와 국제 이동통신 표준화 협력기구(3GPP)가 공동으로 제정했다. GSMA는 400여 개의 모바일 기업과 750여 개의 이동통신사가 참여하고 있으며, 특히 MWC를 운영하는 것으로 잘 알려져 있다. 또한, 3GPP는 무선 통신 관련 국제표준을 제정하기 위해 1998년 12월 창설된 이동통신 표준화 기술협력 기구이며, 우리나라 TTA를 비롯한 전 세계의 표준화 기구와 삼성전자, 노키아, 퀄컴 등 700여개 전자 및 이동통신 업체가 회원사로 있다.
이동통신 분야의 대표적인 두 단체가 NESAS를 만든 이유는 무엇일까? 가장 대표적인 이유는 바로 5G다. 4G와 비교해 엄청난 성능을 자랑하며 차세대 통신으로 불리지만, 국가 및 기업 간 경쟁으로 인해 보안성이 이슈의 중심이 되자 이를 해결하기 위해 두 단체가 뭉친 것이다. 산업계에서는 논란이 되고 있는 5G의 보안 이슈를 해결하고, 동시에 네트워크 장비의 보안을 강화하기 위해서 NESAS를 추진했다. 아울러 일관성 있는 보안 기준과 장비 테스트를 위한 체계적인 연구시설, 그리고 비용과 시간을 절감할 수 있는 방안에 대한 논의도 함께 진행했다.
이준호 CSO는 “NESAS 이전에도 CC인증을 사용했지만, 아무래도 네트워크에 특화된 보안인증이 필요했고, 나아가 인증 갱신 문제나 장시간이 소요되는 이슈도 해결하기 위해 두 기관이 힘을 합친 것 같다”고 설명했다.
즉, NESAS는 보안 평가나 네트워크 장비 보안을 지키는 최적의 방법이다. 일관성 있고 엄격한 보안 기준을 제시하고, 독립적이고 수준 높은 전문기관 및 테스팅 연구실을 갖추는 한편, 비용적 효율성을 달성하는 것이 목표다. 이를 위해 GSMA는 NESAS의 사양을 정의하고 유지·관리하는 것을 담당하며, 3GPP는 보안 보증 사양(SCAS)에 모바일 네트워크 기능을 구현하는 네트워크 제품의 보안 요구사항과 테스트 케이스를 정의한다.
NESAS는 CC인증이나 ISMS인증 등 우리가 익히 아는 인증과 크게 다르지 않다. NESAS는 GSMA와 3GPP가 공동으로 정의한 모바일 네트워크 디바이스 및 공급업체 프로세스에 대한 보안 평가 및 감사 메커니즘이다. 이 때문에 NESAS 평가를 통해 네트워크 장비가 일련의 보안 요구사항을 충족하고, 해당 장비가 개발 및 제품 수명 주기 프로세스 기준에 따라 개발되었음을 증명할 수 있다.
NESAS는 크게 두 가지를 확인할 수 있는데, 첫 번째는 제품개발 및 제품 생명주기 프로세스 감사로 GSMA 인가 감사팀 설비공장, 감사보고서 생성과 GMSA NESAS Accreditation Board는 감사보고서 및 감사진의 건의서에 따라 설비업체에 인가(Accreditation) 부여를 결정한다. 두 번째는 제품 안전 테스트로 GSMA 인증 테스트 랩을 통해 3GPP SCAS 표준에 따라 네트워크 제품을 테스트하고, 감사보고서 기반으로 테스트된 네트워크 제품에 승인된 공급업체 개발 프로세스가 적용됐는지 확인한 후 평가보고서를 제공한다.
NESAS는 2019년 10월 1.0이 릴리즈됐으며, 2020년 3월 화웨이가 최초로 감사를 완료했다. 이후 노키아와 에릭슨, ZTE는 물론 2021년 6월 삼성전자까지 감사를 완료하면서 글로벌 대표 스마트폰 제조사들이 NESAS에 참여했다.
이준호 CSO는 “이통사와 장비 공급업체, 감사기관과 정부 및 관리/감독기관이 공동으로 NESAS를 5G 시대의 이동통신 네트워크 보안 인증 글로벌 표준으로 추진 중이지만, 이제 막 시작하는 단계이니 만큼 신뢰성 높은 보안 테스트 능력을 지속적으로 강화해 나갈 것”이라고 설명했다.
[원병철 기자(boanone@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
