CVE디테일 취약점 152개 제기됐지만…화웨이 "국내 이동통신기지국 장비에 관련한 것은 없어"

내년 3월 5세대(G) 네트워크 서비스 상용화를 위해 이동통신 3사가 화웨이의 장비 사용을 검토중인 가운데 보안 이슈 문제가 제기되자 화웨이가 설명에 나서고 있다.
5일 업계에 따르면 약점 통계분석 사이트 'CVE디테일'은 지난 6월 기준으로 화웨이 제품의 보안 취약점이 152개에 달한다는 지적이 제기됐다. CVE디테일은 취약성 데이터에 사용하기 쉬운 웹 인터페이스 제공을 통해 공급 업체, 제품 및 버전을 검색하고 관련 항목, 취약점을 볼 수 있도록 한 사이트다. 소프트웨어(SW) 보안취약점 국제표준 식별체계인 CVE는 세계 각국 보안업계, 담당자들과 통용되는 일련번호이자 단일 식별체계다. SW보안취약점에 CVE가 부여되면 관련 정보를 밝히고 이슈 공유, 패치 등 관련 보안문제 추적과 관리 효율을 높일 수 있다.
이에 대해 화웨이는 국내 이동통신사 기지국 장비와는 관련 없는 내용이며, 글로벌 IT기업들과 20년간 기록을 비교해도 문제 없다는 입장이다. CVE 디테일을 통해 공개된 화웨이 제품의 보안 취약점은 대부분 운영체제(OS)와 스마트폰 등 하드웨어에 관한 내용이며, 국내 이동통신기지국 장비에 관련한 것은 없다는 이유에서다. 화웨이 측은 CVE디테일 리스트에 게재된 보안 취약사항은 화웨이의 제품 보안 및 사고 대응팀을 통해 먼저 공개됐으며 보안 취약사항들은 모두 보완에 관한 기술적 방안을 함께 안내가 됐다고 설명했다.
6월 기준 취약점 개수에서 화웨이는 152개로 9위를 기록하고 있으며, 1999년부터 지난 6월까지 20년을 통틀어 475건으로 22위이었다. 지난 20년간 상위 50개 벤더를 보면 마이크로소프트 5770개로 가장 많았으며 오라클 5098개, 애플 4219개, IBM 3958개, 구글 3511개, 시스코 3472개, 어도비 2570개, 리눅스 2111개 등의 순이었다.
이에 대해 보안업계 관계자는 "기업과 제품의 보안성이 낮아졌다기보다는 IoT 등 신규 서비스가 늘면서 SW 활용 영역이 확장되고, 버그바운티 같은 제도를 통해 취약점을 미리 찾아내는 활동이 늘어난 것이 영향을 미친 것으로 보인다"고 말했다. 실제 구글, 애플, MS, 화웨이 등은 CVE번호부여기관(CNA)' 자격을 취득하기도 했다. CNA는 CVE 번호를 부여할 수 있다. 글로벌 IT기업들이 CNA자격을 취득해 자체적으로 보안 이슈를 공유하고 보안 문제에 대한 추적과 관리를 효율적으로 하고 있는 것이다.
[서동철 기자]

[ⓒ 매일경제 & mk.co.kr, 무단전재 및 재배포 금지]