추천 콘텐츠
서방의 태도는 경계심에서부터 노골적인 적개심까지 다양하다.
화웨이는 중국이 어떻게 강국이 되었는지를 상징적으로 보여 주는 대표적인 단면이다. 중국이 그랬던 것처럼, 1987년에 설립된 이 회사는 홍콩에서 수입한 전화 교환기를 되파는 사업을 시작으로 가치 사슬의 가장 밑바닥에서부터 출발했다. 역시나 중국이 그랬던 것처럼, 그들은 그 위치에 머무는 데에 만족하지 않았다. 오늘날 스마트폰에서부터 태양광 패널에 이르기까지 그들이 만들어 내는 제품들은 번지르르한 첨단 기술의 제품들이고, 다른 업체들이 생산하는 그 어떤 제품에 견주어도 뒤지지 않는 경쟁력을 갖추고 있다. 급격히 증가한 수익이 그 결과를 말해 주고 있는데, 2018년 매출은 자그마치 1050억 달러(121조 6950억 원)에 달한다(표1 참조). 화웨이, 그리고 그들의 조국은 그들 스스로의 힘으로 기술 분야의 선두 주자가 되었다. 화웨이는 연구 개발 분야에만 8만 명의 인력을 고용하고 있다. 지난해 중국이 출원한 특허는 모두 5만 3345건이었는데, 이는 5만 6142건을 출원한 미국을 바로 뒤에서 추격하는 기록이다. 그리고 중국이 낸 특허의 열 건 중 하나는 화웨이가 출원한 것이다.
화웨이의 상승세는, 중국이 그랬던 것처럼, 세계 다른 곳에서는 많은 우려를 자아내 왔다. 설립 후 30년이 지난 지금까지도 이 회사는 여전히 전기 통신 장비 분야에서 사업을 하고 있다. 화웨이는 핀란드의 노키아(Nokia), 스웨덴의 에릭슨(Ericsson)과 함께 전 세계 휴대 전화 통신망 구축에 사용되는 첨단 장비들을 생산하는 세계 최대 업체들 중 하나가 되었다. 이 세 업체들 중에서 5세대(5G) 통신망의 기술 표준을 만드는 데 있어서 가장 역동적으로 움직이고 있는 곳이 바로 화웨이다. 5G 기술이 도입되면 이전의 통신망보다 속도와 규모 면에서 비약적인 발전이 가능해진다. 커넥티드 카(connected car)처럼 기존 기술을 발전시킨 형태도 있을 것이고, ‘스마트 시티’로 가는 길을 열어 줄 센서 네트워크(sensor network) 같은 새로운 기술들도 선보일 수 있을 것이다. 그러니까 화웨이와 중국은 전 세계의 각국 정부들이 미래 인프라의 핵심으로 여기고 있는 기술의 심장부에 자리를 잡고 앉아 있는 것이다.
이것이 바로 4월 24일에 언론에 유출된, 영국이 자국 내 5G 통신망을 구축하는 데 있어서 화웨이에게 제한적인 역할을 승인하기로 했다는 결정에서 눈여겨봐야 할 전후의 맥락이다. 이러한 결정은 미국이 화웨이를 축출하려고 동맹국들을 상대로 강경하게 설득 작업을 벌이던 상황에서 이루어진 것이다. 마이크 펜스(Mike Pence) 미국 부통령을 비롯한 다른 관계자들은 화웨이의 장비에 ‘백도어’가 포함되어 있을 수 있다고 공개적으로 경고를 해왔다. 그들이 말하는 백도어란 중국의 스파이들이 의사소통을 염탐하고, 더 나아가서는 네트워크를 완전히 붕괴시킬 수도 있는 악성코드를 말하는 것이다.
화웨이의 상승세는, 중국이 그랬던 것처럼, 세계 다른 곳에서는 많은 우려를 자아내 왔다. 설립 후 30년이 지난 지금까지도 이 회사는 여전히 전기 통신 장비 분야에서 사업을 하고 있다. 화웨이는 핀란드의 노키아(Nokia), 스웨덴의 에릭슨(Ericsson)과 함께 전 세계 휴대 전화 통신망 구축에 사용되는 첨단 장비들을 생산하는 세계 최대 업체들 중 하나가 되었다. 이 세 업체들 중에서 5세대(5G) 통신망의 기술 표준을 만드는 데 있어서 가장 역동적으로 움직이고 있는 곳이 바로 화웨이다. 5G 기술이 도입되면 이전의 통신망보다 속도와 규모 면에서 비약적인 발전이 가능해진다. 커넥티드 카(connected car)처럼 기존 기술을 발전시킨 형태도 있을 것이고, ‘스마트 시티’로 가는 길을 열어 줄 센서 네트워크(sensor network) 같은 새로운 기술들도 선보일 수 있을 것이다. 그러니까 화웨이와 중국은 전 세계의 각국 정부들이 미래 인프라의 핵심으로 여기고 있는 기술의 심장부에 자리를 잡고 앉아 있는 것이다.
반쯤 열린 문
이것이 바로 4월 24일에 언론에 유출된, 영국이 자국 내 5G 통신망을 구축하는 데 있어서 화웨이에게 제한적인 역할을 승인하기로 했다는 결정에서 눈여겨봐야 할 전후의 맥락이다. 이러한 결정은 미국이 화웨이를 축출하려고 동맹국들을 상대로 강경하게 설득 작업을 벌이던 상황에서 이루어진 것이다. 마이크 펜스(Mike Pence) 미국 부통령을 비롯한 다른 관계자들은 화웨이의 장비에 ‘백도어’가 포함되어 있을 수 있다고 공개적으로 경고를 해왔다. 그들이 말하는 백도어란 중국의 스파이들이 의사소통을 염탐하고, 더 나아가서는 네트워크를 완전히 붕괴시킬 수도 있는 악성코드를 말하는 것이다.
Huawei, revenues, $bn(화웨이 연간 매출, 단위: 10억 달러)
마이크 폼페이오 미국 국무장관은 주요 통신망에 화웨이의 장비를 사용하는 국가들과는 그 누가 됐건 간에 정보 협력을 보류할 것이라고 압박하고 있다. 영국과 함께 ‘다섯 개의 눈’이라는 미국의 전자 감시 동맹국의 일원인 호주는 화웨이를 분명하게 배제해 왔다. 다른 회원국인 뉴질랜드는 화웨이의 장비를 사용하게 해달라는 자국 기업의 요청을 묵살하고 있다. 이 동맹의 일원은 아니지만 미국의 긴밀한 우방인 일본은 관련 규제를 더욱 강화하고 있다.
중국의 전자 첩보 활동의 역사를 살펴볼 때 미국의 이런 태도가 무리하다고 생각되지는 않는다. 중국은 엄청난 해커다. 그들은 차세대 전투기인 F-35 개발 계획에서부터, 미국 공무원 수백만 명의 데이터베이스에 이르기까지 거의 모든 것을 훔쳐 왔다. 중국은 인도 국방부를 해킹했다는 의심도 받고 있다. 영국과 미국은 중국이 수십 개의 서방 기업들과 정부 기구들을 대상으로 ‘광범위하고 지속적인’ 작전을 수행해 왔다고 말한다. 지난해 사이버 보안 기업인 크라우드스트라이크(CrowdStrike)가 서방을 대상으로 하는 사이버 공격의 최대 후원자로 지목했던 곳은 러시아가 아닌 중국이었다.
그런데 영국은 이런 위협에 대처하기 위해 철저한 금지령이 아닌 다른 방법은 없는지 오랫동안 논쟁해 왔다. 최근의 결정은 이런 입장을 다시 한번 확인하는 기회였다. 하지만 이탈의 대열에 선 것이 영국만은 아니다. 미국의 또 다른 긴밀한 우방인 독일에서도 확실한 금지안에 대해서는 반대해 왔다. 인도에서는 비록 규제가 따라붙기는 하지만, 화웨이가 자국 내 사업에 참여하는 방법이 열려 있다고 여겨진다. 지난 2월, 세계 최대의 통신 사업자 중 하나인 보다폰(Vodafone)의 CEO인 닉 리드(Nick Read)는 확실한 부정행위의 증거를 제시하라며 미국을 도발하는 발언을 했다. 그는 화웨이를 배제한 상태로 사업을 하게 되면 “비용이 매우, 매우 증가할 것”이며 5G 네트워크의 도입이 몇 년은 뒤처질 수 있다고 경고했다. 컨설팅 기업인 CCS 인사이트의 케스터 만(Kester Mann)은 화웨이의 장비가 다른 경쟁사들의 제품보다 최대 1년 정도는 앞서 있으며, 가격도 더 저렴하다고 말한다.
통신 시장의 규모가 중간 정도이지만 영국의 입장은 시장 규모보다 더 중요한 의미를 지닌다. 영국에서 통신 정보를 담당하는 기관인 정보 통신 본부(GCHQ)는 다섯 개의 눈 국가들 가운데에서 가장 큰 규모에 속하는데, 긴밀한 협조 관계인 미국의 국가 안전 보장국(NSA)에 이어서 두 번째로 큰 조직이다. 그러니 화웨이가 어떻게 운영되는지를 미국과 영국보다 더 잘 아는 나라들은 거의 없다. 영국은 화웨이가 처음으로 발을 내디딘 서방 국가 중 하나였다. 2005년 화웨이는 당시에는 국영이던 브리티시텔레콤(BT)에 의해 영국의 전화 통신망 현대화 프로젝트에 참여하는 업체로 선정되어, 100억 파운드(14조 9724억 원)에 달하는 계약을 체결했다. 그 당시에도 보안 진영에서는 화웨이를 의심스럽게 여겼다. 그러나 계약이 체결될 때까지도 화웨이의 참여에 대해 관계 장관들에게 귀띔을 해준 공무원들은 없었다.
이후 하원 의원들이 “소 잃고 외양간 고치기”라고 평가한 후속 조치가 있었다. 화웨이가 운영비를 대고 영국인이 운영하는 연구소를 설립하는 것이었는데, 이 연구소의 역할은 통신 장비와 소프트웨어에서 발생할 수 있는 부작용에 대해 면밀히 조사하는 것이었다. 그렇게 해서 2010년에 화웨이 사이버 보안 평가 센터(The Huawei Cyber Security Evaluation Centre·HCSEC)가 설립되어 운영되고 있다. 영국의 정보기관들이 말하기로는, HCSEC가 화웨이의 제품들에 대해서는 물론이고 기업 문화 분석에 있어서도 모두 독보적인 연구 성과를 만들어 내고 있다고 한다. HCSEC는 화웨이에게도 매우 도움이 되고 있다. 화웨이는 서구에서 가장 뛰어난 전자 정보기관 중 한 곳을 보유한 국가의, 반복적이고 공격적인 검사에서 자사의 제품이 살아남았다는 사실을 언급할 수 있게 되었다.
화웨이는 자사가 백도어를 심는다는 주장에 대해 일관되고 단호한 태도로 부인해 왔다. 2018년 12월, 화웨이의 고위 책임자인 빈센트 팽(Vincent Pang)은 자신들에게는 고객들을 감시하지 말아야 할 강력한 이유가 있다고 말했다. 만약에 백도어가 단 한 번이라도 발견되었더라면 “시장 모두를 잃었을 것”이라고 했다. 그리고 지난 8년 동안 그들을 지켜본 영국의 첩보 기관들은 단 한 건도 적발해 내지 못했다고 말한다. 그럼에도 불구하고 비판적인 진영들을 안심시키지는 못하고 있다. 그들이 주장하기로는, 현재는 없다고 하더라도, 5G 통신망이 필요로 하는 거대한 규모의 코드를 운영하는 과정에서, 정기적인 패치나 업데이트 등을 통해 미래에는 백도어가 심어질 수도 있다는 것이다. 그들은 이런 일이 화웨이라는 기업의 상업적 이익과는 무관하다고 말한다. 그러면서 중국 법령에 따라 정보 당국의 협조 요청에 민간 기업이 반드시 응해야 한다는 점을 지적한다.
백도어는 비즈니스에 있어서는 해가 될 수 있다. 하지만 그렇다고 해서 우리가 백도어에 대해 아무것도 모르는 것은 아니다. NSA가 2006년에 제정된 암호 표준 내부에 백도어를 심으려고 했던 적이 있는데, NSA 직원이던 에드워드 스노든(Edward Snowden)이 내부 기밀을 유출하면서 이런 의혹이 거의 사실인 것으로 확인되었다. 만약 그런 행위가 실제로 벌어졌더라면, 미국의 정보기관들은 해당 암호 표준을 이용하는 통신 내용을 감청할 수 있었다. 미국의 네트워크 라우터 생산업체인 주니퍼(Juniper)는 2015년 자사의 제품에서 통신이 감청될 수 있게 만드는 ‘승인되지 않은 코드’를 발견했다고 발표했다. 의혹이 눈길이 향한 곳은 또 다시 NSA였다.
화웨이는 위 사례들을 미국의 압박에 맞서기 위한 수단으로 활용하고 있다. 지난 2월, 화웨이의 순환 회장[1] 세 명 중 하나인 구오 핑(Guo Ping)은, 미국이 자신들을 공격하는 것은 자사의 기술력이 더 널리 퍼지게 되면 미국의 스파이 활동이 방해를 받기 때문이라며 비난했다. 핑 회장은 중국이 전자 첩보 활동에 들이는 노력에 대해서는 언급하지 않았다. 중국의 이런 첩보 활동의 대표적인 예로는, 에티오피아의 수도 아디스아바바에 있는 아프리카 연합(African Union) 본부의 컴퓨터 네트워크에서 민감한 자료들을 빼돌려 온 사건이 있다. 이러한 의혹이 2018년에 여러 신문에 보도된 바 있다. 그 건물의 공사비는 중국이 지불했으며, 시공도 중국 기업이 담당했다(중국 외교부는 해당 보도를 부인했다).
하지만 백도어보다도 더 우려스러운 것이 있는데, 현재까지 영국에서 찾아낸 것들을 보면 안심하기가 쉽지 않다. 지난 3월에 발간된 HCSEC의 가장 최근 보고서를 보면, 화웨이 제품에 탑재된 프로그램이 뒤죽박죽의 버그투성이라는 걸 짐작할 수 있다. 여기까지는 별로 심각하게 들리지 않을 수도 있다. 하지만 버그는 해커들에게 있어서는 백도어만큼이나 좋은 먹잇감이 될 수 있다. “누구나 쉽게 그런 (사고에) 취약한 포인트를 찾을 수 있는데, 굳이 백도어를 통해서 들어갈 필요가 있을까요?” 케임브리지 대학교의 컴퓨터 과학자인 존 크로우크로프트(Jon Crowcroft)가 던지는 질문이다.
이런 우려를 실감하게 해주는 것은 사이버 공격에 있어서 러시아가 보여 주는 뛰어난 역량이다. 러시아에는 백도어를 심어서 납품할 수 있는 대형 하드웨어 업체들이 없다. 그럼에도 불구하고 러시아의 해커들이 우크라이나의 전력망을 공격하거나 미국 정치인들의 이메일을 훔쳐 내는 걸 막아 내지 못했다. 지난 2월, GCHQ의 한 부문인 국가 사이버 보안 센터(NCSC)의 센터장인 시어런 마틴(Ciaran Martin)은 자신들이 2016년 설립 이후로 ‘주요한 사이버 보안 사고들’을 1200건 정도 다루어 왔다고 말했다. 그 수많은 사건 중에서 국가의 지원을 받는 백도어는 하나도 없었다.
복잡한 소프트웨어라면 물론 버그를 가질 수 있다. 하지만 다른 경쟁 업체들보다 화웨이의 장비들에서 더 일반적으로 발견되는 경향이 있다. 화웨이의 대응은 다소 안일해 보이는데, 그 증거는 안전하지 않은 코드들이 수천 개나 여기저기 산재하고 있다는 점이다. HCSEC에 따르면, 휴대 전화 기지국에서 사용되는 어느 장비에서는 서로 다른 버전의 오픈SSL(OpenSSL)이 70군데에서 쓰이고 있었다. 오픈SSL이란 네트워크를 통한 데이터 전송의 보안을 위해 고안되어 널리 쓰이고 있는 암호화 프로토콜을 말한다. 오픈SSL에서는 보안상의 취약점들이 흔히 발견되고 있어서 계속해서 최신 버전으로 업데이트하는 것이 필수적이다. 그렇기 때문에 (최신 버전이 아닌 하위 버전을 포함하는 네 가지 버전의 오픈SSL이 적용된) 화웨이의 장비는, 중국의 해커 부대뿐만 아니라 다른 모든 해커들로부터 공격을 받을 수 있는 것이다. 화웨이는 빠르게 새로운 제품들을 내놓으면서 소비자들로부터는 인기를 얻을 수 있었지만, 업계 관계자들은 화웨이의 그런 상업적 민첩성의 이면에는 어느 정도는 이런 개운치 못한 속사정이 있다고 비판한다.
화웨이는 더 잘하겠다고 약속해 왔다. 2018년 11월, HCSEC의 비판에 대한 대응책으로, 그들은 자신들의 소프트웨어 개발 분야 재정비에 20억 달러(2조 3176억 원)의 예산을 투입하겠다고 발표했다. 화웨이의 임원 중 한 명인 데이비드 왕(David Wang)은 최근에 있었던 여러 차례의 공개적인 망신[2] 이후, 당시에 했던 약속을 되풀이해서 강조했다. 하지만 3년에서 5년 정도의 시간이 걸릴 것이라고 말했다. HCSEC의 전망은 덜 호의적인데, 이미 1년 전에 이 문제가 제기되었음에도 불구하고 그 이후로 해당 사안에 대해서 “아무런 실질적인 진전”이 없었다고 그들은 말하고 있다. 더욱 좋지 않은 것은 화웨이 스스로가 필수적인 기준들을 만족시킬 수 있다는 어떠한 확신도 보여 주지 못하고 있다는 점이다. 특히나 2012년에 비슷한 공약을 했음에도 아무런 성과가 없었다는 점이 결정적이다.
문제가 여기에서 그친다면 현재 판매대에 놓인 상품들 중에서는 그래도 화웨이의 제품들이 최선이라고 다른 나라들을 설득할 수도 있을 것이다. 하지만 서리(Surrey) 대학교에서 5G 이노베이션 센터를 운영하고 있는 라힘 타파졸리(Rahim Tafazolli)는 결정적으로 복잡한 요인이 한 가지 남아 있다고 말한다. 화웨이보다 덜 흔하긴 하지만, 경쟁사들의 장비에도 물론 버그는 있다. 예를 들자면, 작년에는 에릭슨이 만든 기기 안의 소프트웨어 결함으로 인해서 영국의 통신 사업자인 O2와 일본의 통신 사업자인 소프트뱅크(SoftBank)의 통신망에서 하루 동안 장애가 발생했다. 버그나 해커에 의한 공격으로 발생할 수 있는 피해를 최소화하는 가장 좋은 방법 중 하나는 통신망을 탄력적으로 구축하는 것이라고 타파졸리는 말한다. 그리고 그러한 방법 중 하나가 바로 경쟁 업체들의 장비를 함께 사용하는 것인데, 그렇게 되면 제조업체 한 곳의 장비에서 문제가 생겨도 네트워크 전체가 다운되지는 않는다. 그러나 시장이 소수의 장비 업체들에게 집중되어 있다는 사실을 감안할 때, 다양성을 중시하는 네트워크가 화웨이의 제품을 피하기는 어려울 것이다.
중국의 전자 첩보 활동의 역사를 살펴볼 때 미국의 이런 태도가 무리하다고 생각되지는 않는다. 중국은 엄청난 해커다. 그들은 차세대 전투기인 F-35 개발 계획에서부터, 미국 공무원 수백만 명의 데이터베이스에 이르기까지 거의 모든 것을 훔쳐 왔다. 중국은 인도 국방부를 해킹했다는 의심도 받고 있다. 영국과 미국은 중국이 수십 개의 서방 기업들과 정부 기구들을 대상으로 ‘광범위하고 지속적인’ 작전을 수행해 왔다고 말한다. 지난해 사이버 보안 기업인 크라우드스트라이크(CrowdStrike)가 서방을 대상으로 하는 사이버 공격의 최대 후원자로 지목했던 곳은 러시아가 아닌 중국이었다.
그런데 영국은 이런 위협에 대처하기 위해 철저한 금지령이 아닌 다른 방법은 없는지 오랫동안 논쟁해 왔다. 최근의 결정은 이런 입장을 다시 한번 확인하는 기회였다. 하지만 이탈의 대열에 선 것이 영국만은 아니다. 미국의 또 다른 긴밀한 우방인 독일에서도 확실한 금지안에 대해서는 반대해 왔다. 인도에서는 비록 규제가 따라붙기는 하지만, 화웨이가 자국 내 사업에 참여하는 방법이 열려 있다고 여겨진다. 지난 2월, 세계 최대의 통신 사업자 중 하나인 보다폰(Vodafone)의 CEO인 닉 리드(Nick Read)는 확실한 부정행위의 증거를 제시하라며 미국을 도발하는 발언을 했다. 그는 화웨이를 배제한 상태로 사업을 하게 되면 “비용이 매우, 매우 증가할 것”이며 5G 네트워크의 도입이 몇 년은 뒤처질 수 있다고 경고했다. 컨설팅 기업인 CCS 인사이트의 케스터 만(Kester Mann)은 화웨이의 장비가 다른 경쟁사들의 제품보다 최대 1년 정도는 앞서 있으며, 가격도 더 저렴하다고 말한다.
통신 시장의 규모가 중간 정도이지만 영국의 입장은 시장 규모보다 더 중요한 의미를 지닌다. 영국에서 통신 정보를 담당하는 기관인 정보 통신 본부(GCHQ)는 다섯 개의 눈 국가들 가운데에서 가장 큰 규모에 속하는데, 긴밀한 협조 관계인 미국의 국가 안전 보장국(NSA)에 이어서 두 번째로 큰 조직이다. 그러니 화웨이가 어떻게 운영되는지를 미국과 영국보다 더 잘 아는 나라들은 거의 없다. 영국은 화웨이가 처음으로 발을 내디딘 서방 국가 중 하나였다. 2005년 화웨이는 당시에는 국영이던 브리티시텔레콤(BT)에 의해 영국의 전화 통신망 현대화 프로젝트에 참여하는 업체로 선정되어, 100억 파운드(14조 9724억 원)에 달하는 계약을 체결했다. 그 당시에도 보안 진영에서는 화웨이를 의심스럽게 여겼다. 그러나 계약이 체결될 때까지도 화웨이의 참여에 대해 관계 장관들에게 귀띔을 해준 공무원들은 없었다.
이후 하원 의원들이 “소 잃고 외양간 고치기”라고 평가한 후속 조치가 있었다. 화웨이가 운영비를 대고 영국인이 운영하는 연구소를 설립하는 것이었는데, 이 연구소의 역할은 통신 장비와 소프트웨어에서 발생할 수 있는 부작용에 대해 면밀히 조사하는 것이었다. 그렇게 해서 2010년에 화웨이 사이버 보안 평가 센터(The Huawei Cyber Security Evaluation Centre·HCSEC)가 설립되어 운영되고 있다. 영국의 정보기관들이 말하기로는, HCSEC가 화웨이의 제품들에 대해서는 물론이고 기업 문화 분석에 있어서도 모두 독보적인 연구 성과를 만들어 내고 있다고 한다. HCSEC는 화웨이에게도 매우 도움이 되고 있다. 화웨이는 서구에서 가장 뛰어난 전자 정보기관 중 한 곳을 보유한 국가의, 반복적이고 공격적인 검사에서 자사의 제품이 살아남았다는 사실을 언급할 수 있게 되었다.
화웨이는 자사가 백도어를 심는다는 주장에 대해 일관되고 단호한 태도로 부인해 왔다. 2018년 12월, 화웨이의 고위 책임자인 빈센트 팽(Vincent Pang)은 자신들에게는 고객들을 감시하지 말아야 할 강력한 이유가 있다고 말했다. 만약에 백도어가 단 한 번이라도 발견되었더라면 “시장 모두를 잃었을 것”이라고 했다. 그리고 지난 8년 동안 그들을 지켜본 영국의 첩보 기관들은 단 한 건도 적발해 내지 못했다고 말한다. 그럼에도 불구하고 비판적인 진영들을 안심시키지는 못하고 있다. 그들이 주장하기로는, 현재는 없다고 하더라도, 5G 통신망이 필요로 하는 거대한 규모의 코드를 운영하는 과정에서, 정기적인 패치나 업데이트 등을 통해 미래에는 백도어가 심어질 수도 있다는 것이다. 그들은 이런 일이 화웨이라는 기업의 상업적 이익과는 무관하다고 말한다. 그러면서 중국 법령에 따라 정보 당국의 협조 요청에 민간 기업이 반드시 응해야 한다는 점을 지적한다.
백도어는 비즈니스에 있어서는 해가 될 수 있다. 하지만 그렇다고 해서 우리가 백도어에 대해 아무것도 모르는 것은 아니다. NSA가 2006년에 제정된 암호 표준 내부에 백도어를 심으려고 했던 적이 있는데, NSA 직원이던 에드워드 스노든(Edward Snowden)이 내부 기밀을 유출하면서 이런 의혹이 거의 사실인 것으로 확인되었다. 만약 그런 행위가 실제로 벌어졌더라면, 미국의 정보기관들은 해당 암호 표준을 이용하는 통신 내용을 감청할 수 있었다. 미국의 네트워크 라우터 생산업체인 주니퍼(Juniper)는 2015년 자사의 제품에서 통신이 감청될 수 있게 만드는 ‘승인되지 않은 코드’를 발견했다고 발표했다. 의혹이 눈길이 향한 곳은 또 다시 NSA였다.
엿듣기
화웨이는 위 사례들을 미국의 압박에 맞서기 위한 수단으로 활용하고 있다. 지난 2월, 화웨이의 순환 회장[1] 세 명 중 하나인 구오 핑(Guo Ping)은, 미국이 자신들을 공격하는 것은 자사의 기술력이 더 널리 퍼지게 되면 미국의 스파이 활동이 방해를 받기 때문이라며 비난했다. 핑 회장은 중국이 전자 첩보 활동에 들이는 노력에 대해서는 언급하지 않았다. 중국의 이런 첩보 활동의 대표적인 예로는, 에티오피아의 수도 아디스아바바에 있는 아프리카 연합(African Union) 본부의 컴퓨터 네트워크에서 민감한 자료들을 빼돌려 온 사건이 있다. 이러한 의혹이 2018년에 여러 신문에 보도된 바 있다. 그 건물의 공사비는 중국이 지불했으며, 시공도 중국 기업이 담당했다(중국 외교부는 해당 보도를 부인했다).
하지만 백도어보다도 더 우려스러운 것이 있는데, 현재까지 영국에서 찾아낸 것들을 보면 안심하기가 쉽지 않다. 지난 3월에 발간된 HCSEC의 가장 최근 보고서를 보면, 화웨이 제품에 탑재된 프로그램이 뒤죽박죽의 버그투성이라는 걸 짐작할 수 있다. 여기까지는 별로 심각하게 들리지 않을 수도 있다. 하지만 버그는 해커들에게 있어서는 백도어만큼이나 좋은 먹잇감이 될 수 있다. “누구나 쉽게 그런 (사고에) 취약한 포인트를 찾을 수 있는데, 굳이 백도어를 통해서 들어갈 필요가 있을까요?” 케임브리지 대학교의 컴퓨터 과학자인 존 크로우크로프트(Jon Crowcroft)가 던지는 질문이다.
이런 우려를 실감하게 해주는 것은 사이버 공격에 있어서 러시아가 보여 주는 뛰어난 역량이다. 러시아에는 백도어를 심어서 납품할 수 있는 대형 하드웨어 업체들이 없다. 그럼에도 불구하고 러시아의 해커들이 우크라이나의 전력망을 공격하거나 미국 정치인들의 이메일을 훔쳐 내는 걸 막아 내지 못했다. 지난 2월, GCHQ의 한 부문인 국가 사이버 보안 센터(NCSC)의 센터장인 시어런 마틴(Ciaran Martin)은 자신들이 2016년 설립 이후로 ‘주요한 사이버 보안 사고들’을 1200건 정도 다루어 왔다고 말했다. 그 수많은 사건 중에서 국가의 지원을 받는 백도어는 하나도 없었다.
복잡한 소프트웨어라면 물론 버그를 가질 수 있다. 하지만 다른 경쟁 업체들보다 화웨이의 장비들에서 더 일반적으로 발견되는 경향이 있다. 화웨이의 대응은 다소 안일해 보이는데, 그 증거는 안전하지 않은 코드들이 수천 개나 여기저기 산재하고 있다는 점이다. HCSEC에 따르면, 휴대 전화 기지국에서 사용되는 어느 장비에서는 서로 다른 버전의 오픈SSL(OpenSSL)이 70군데에서 쓰이고 있었다. 오픈SSL이란 네트워크를 통한 데이터 전송의 보안을 위해 고안되어 널리 쓰이고 있는 암호화 프로토콜을 말한다. 오픈SSL에서는 보안상의 취약점들이 흔히 발견되고 있어서 계속해서 최신 버전으로 업데이트하는 것이 필수적이다. 그렇기 때문에 (최신 버전이 아닌 하위 버전을 포함하는 네 가지 버전의 오픈SSL이 적용된) 화웨이의 장비는, 중국의 해커 부대뿐만 아니라 다른 모든 해커들로부터 공격을 받을 수 있는 것이다. 화웨이는 빠르게 새로운 제품들을 내놓으면서 소비자들로부터는 인기를 얻을 수 있었지만, 업계 관계자들은 화웨이의 그런 상업적 민첩성의 이면에는 어느 정도는 이런 개운치 못한 속사정이 있다고 비판한다.
화웨이는 더 잘하겠다고 약속해 왔다. 2018년 11월, HCSEC의 비판에 대한 대응책으로, 그들은 자신들의 소프트웨어 개발 분야 재정비에 20억 달러(2조 3176억 원)의 예산을 투입하겠다고 발표했다. 화웨이의 임원 중 한 명인 데이비드 왕(David Wang)은 최근에 있었던 여러 차례의 공개적인 망신[2] 이후, 당시에 했던 약속을 되풀이해서 강조했다. 하지만 3년에서 5년 정도의 시간이 걸릴 것이라고 말했다. HCSEC의 전망은 덜 호의적인데, 이미 1년 전에 이 문제가 제기되었음에도 불구하고 그 이후로 해당 사안에 대해서 “아무런 실질적인 진전”이 없었다고 그들은 말하고 있다. 더욱 좋지 않은 것은 화웨이 스스로가 필수적인 기준들을 만족시킬 수 있다는 어떠한 확신도 보여 주지 못하고 있다는 점이다. 특히나 2012년에 비슷한 공약을 했음에도 아무런 성과가 없었다는 점이 결정적이다.
문제가 여기에서 그친다면 현재 판매대에 놓인 상품들 중에서는 그래도 화웨이의 제품들이 최선이라고 다른 나라들을 설득할 수도 있을 것이다. 하지만 서리(Surrey) 대학교에서 5G 이노베이션 센터를 운영하고 있는 라힘 타파졸리(Rahim Tafazolli)는 결정적으로 복잡한 요인이 한 가지 남아 있다고 말한다. 화웨이보다 덜 흔하긴 하지만, 경쟁사들의 장비에도 물론 버그는 있다. 예를 들자면, 작년에는 에릭슨이 만든 기기 안의 소프트웨어 결함으로 인해서 영국의 통신 사업자인 O2와 일본의 통신 사업자인 소프트뱅크(SoftBank)의 통신망에서 하루 동안 장애가 발생했다. 버그나 해커에 의한 공격으로 발생할 수 있는 피해를 최소화하는 가장 좋은 방법 중 하나는 통신망을 탄력적으로 구축하는 것이라고 타파졸리는 말한다. 그리고 그러한 방법 중 하나가 바로 경쟁 업체들의 장비를 함께 사용하는 것인데, 그렇게 되면 제조업체 한 곳의 장비에서 문제가 생겨도 네트워크 전체가 다운되지는 않는다. 그러나 시장이 소수의 장비 업체들에게 집중되어 있다는 사실을 감안할 때, 다양성을 중시하는 네트워크가 화웨이의 제품을 피하기는 어려울 것이다.
영국의 사이버 보안 관계자들은 이런 모든 우려들을 불식시키는 것이 가능하다고 말한다. 정부 네트워크에서 화웨이를 배제하는 것이 한 가지 방법이다. 또 다른 방법은 데이터를 처리하는 ‘코어 네트워크’와 같은 중요한 부분이 아닌, 전송 장비와 같은 네트워크의 말단에 있는 덜 중요한 장비들에서만 화웨이 제품을 사용하는 것이다. 사실 5G에서는 이것이 말처럼 간단한 것은 아니다. 5G 네트워크에서는 망 전체의 속도를 끌어올리기 위해 예전보다 더 많은 데이터 고속 처리가 네트워크의 주변부 쪽에서 이루어지기 때문이다. 그러나 네트워크 활동을 모니터링하면 뭔가 의심스러운 행위를 포착할 수는 있을 것이다. 물론 화웨이의 언변에 대한 회의론에 무게가 실릴 수도 있다. NCSC의 기술 책임자인 이언 레비(Ian Levy)의 말에 따르면, NCSC는 중국이 영국에 대한 사이버 공격을 시도하고 있고, 중국 정부가 화웨이를 포함한 중국의 모든 기업들에게 원하는 조치를 강제할 수 있다는 가정하에 운영되고 있다고 한다.
영국의 이런 경험과 무엇이든 결론을 공개하는 문화는 화웨이를 어떻게 대해야 하는지에 대해 다른 나라들에게 영향을 주고 있는 것으로 보인다. 특히나 미국에서 증거 비슷한 어떤 것도 내놓지 않고 있는 상황에서라면 말이다. 하지만 화웨이에게는 또 다른 시련이 닥치고 있다. 지난해 12월, 화웨이의 최고 재무 책임자(CFO)이자 창립자 런정페이(Ren Zhengfei) 회장의 딸인 멍완저우(Meng Wanzhou)가 미국의 요청으로 캐나다에서 체포되었다. 그녀와 화웨이는 미국의 대이란 제재를 회피하려 했다는 혐의를 받고 있으며, 그녀는 현재 미국으로 신병이 인도될 위기에 처해 있다. 화웨이는 또한 도이체 텔레콤(Deutsche Telekom)의 미국 내 자회사인 T모바일(T-Mobile)로부터 영업 기밀을 훔치려 했다는 혐의도 받고 있다.
절도 혐의는 별것도 아니다. 혐의라고 해봐야 스마트폰 화면을 테스트하는 ‘태피(Tappy)’라는 로봇에 대한 것이다. 하지만 제재 위반 사건의 경우 심각한 영향을 야기할 수 있다. 중국의 또 다른 첨단 기술 기업인 ZTE가 2017년에 비슷한 혐의로 유죄 판결을 받았다. 2018년에는 ZTE가 처벌을 피하려 했다는 사실이 드러나자, 관계 당국은 미국 기업들이 ZTE와 사업을 하는 것을 금지시켰다. 그로 인한 영향은 치명적이었다. ZTE는 반도체 제조업체인 퀄컴(Qualcomm)이나 스마트폰 운영 체제인 안드로이드를 개발하는 구글과 같은 미국 기업들의 기술에 의존을 하고 있다. ZTE는 생산을 중지할 수밖에 없었고, 주식 거래는 중지되었다. 도널드 트럼프 미국 대통령이 시진핑 주석에게 일종의 ‘호의’를 베풀어서 금지령을 해제함으로써 파산은 겨우 면할 수 있었다. 미국의 의원들은 화웨이가 유죄 판결을 받을 경우에 이와 같은 강력한 제재를 가할 것을 요구하고 있다.
토론토 대학교의 재니스 스타인(Janice Stein)은 사이버 보안, 제재 위반, 태피 사건은 테크놀로지와 지정학의 관계에 대한 근본적인 논쟁의 일부일 뿐이라고 말한다. 현재의 초강대국인 미국은 하드웨어나 소프트웨어 모두의 측면에서 테크놀로지와 권력 사이의 관계에 대해 잘못 판단하지 않았다. 역시나 초강대국을 지향하는 중국도 마찬가지다. 화웨이는 중국의 국가 챔피언으로 널리 알려져 있다. 중국의 첨단 기술력 향상을 위한 국가 주도 프로젝트인 ‘메이드 인 차이나 2025’에서 화웨이는 아주 중요한 부분을 차지하고 있다.
앞으로의 문제들
영국의 이런 경험과 무엇이든 결론을 공개하는 문화는 화웨이를 어떻게 대해야 하는지에 대해 다른 나라들에게 영향을 주고 있는 것으로 보인다. 특히나 미국에서 증거 비슷한 어떤 것도 내놓지 않고 있는 상황에서라면 말이다. 하지만 화웨이에게는 또 다른 시련이 닥치고 있다. 지난해 12월, 화웨이의 최고 재무 책임자(CFO)이자 창립자 런정페이(Ren Zhengfei) 회장의 딸인 멍완저우(Meng Wanzhou)가 미국의 요청으로 캐나다에서 체포되었다. 그녀와 화웨이는 미국의 대이란 제재를 회피하려 했다는 혐의를 받고 있으며, 그녀는 현재 미국으로 신병이 인도될 위기에 처해 있다. 화웨이는 또한 도이체 텔레콤(Deutsche Telekom)의 미국 내 자회사인 T모바일(T-Mobile)로부터 영업 기밀을 훔치려 했다는 혐의도 받고 있다.
절도 혐의는 별것도 아니다. 혐의라고 해봐야 스마트폰 화면을 테스트하는 ‘태피(Tappy)’라는 로봇에 대한 것이다. 하지만 제재 위반 사건의 경우 심각한 영향을 야기할 수 있다. 중국의 또 다른 첨단 기술 기업인 ZTE가 2017년에 비슷한 혐의로 유죄 판결을 받았다. 2018년에는 ZTE가 처벌을 피하려 했다는 사실이 드러나자, 관계 당국은 미국 기업들이 ZTE와 사업을 하는 것을 금지시켰다. 그로 인한 영향은 치명적이었다. ZTE는 반도체 제조업체인 퀄컴(Qualcomm)이나 스마트폰 운영 체제인 안드로이드를 개발하는 구글과 같은 미국 기업들의 기술에 의존을 하고 있다. ZTE는 생산을 중지할 수밖에 없었고, 주식 거래는 중지되었다. 도널드 트럼프 미국 대통령이 시진핑 주석에게 일종의 ‘호의’를 베풀어서 금지령을 해제함으로써 파산은 겨우 면할 수 있었다. 미국의 의원들은 화웨이가 유죄 판결을 받을 경우에 이와 같은 강력한 제재를 가할 것을 요구하고 있다.
토론토 대학교의 재니스 스타인(Janice Stein)은 사이버 보안, 제재 위반, 태피 사건은 테크놀로지와 지정학의 관계에 대한 근본적인 논쟁의 일부일 뿐이라고 말한다. 현재의 초강대국인 미국은 하드웨어나 소프트웨어 모두의 측면에서 테크놀로지와 권력 사이의 관계에 대해 잘못 판단하지 않았다. 역시나 초강대국을 지향하는 중국도 마찬가지다. 화웨이는 중국의 국가 챔피언으로 널리 알려져 있다. 중국의 첨단 기술력 향상을 위한 국가 주도 프로젝트인 ‘메이드 인 차이나 2025’에서 화웨이는 아주 중요한 부분을 차지하고 있다.
Forecast number of 5G connections, bn(5G 연결 수 예측, 단위: 10억)
워싱턴에 있는 국제 문제 전략 연구소(Centre for Strategic & International Studies)의 제임스 루이스(James Lewis)는 화웨이를 둘러싼 논쟁을 지정학적인 시각으로 들여다보면 흥미로운 질문 거리들이 생겨난다고 말한다. 그중 하나는 허술한 코딩으로 인한 영향인데, 두 가지의 상반된 결과가 있을 수 있다. 버그투성이인 화웨이의 장비를 설치하는 것이 서방에게 안보 리스크가 된다면, 향후 세계에서 5G 서비스 전체를 주도할 것으로 전망되는 중국에도 역시나 보안 리스크가 된다(표2 참조). 중국의 이웃 국가인 인도나 러시아와 마찬가지로, 서방 국가들도 자체적으로 해커들을 보유하고 있다. “제 생각에 강력한 시진트(SIGINT, 전자적 첩보 활동) 역량을 갖추고 있는 10여 개 나라들은 다른 나라에서 화웨이의 물건들을 설치했다는 이야기를 듣는 순간 기뻐 날뛰며 좋아할 겁니다.” 제임스 루이스의 말이다.
화웨이나 중국의 다른 테크 기업들에 대한 견제력을 갖추기 위해, 서방 국가들이 디지털 인프라 업종을 무기 제조업이나 철강 산업과 같은 전략 산업으로 지정하는 것을 고려해야 한다고 그는 생각한다. 미국은 이미 국가 안보라는 조금은 궁색한 구실을 들어서 여러 거래를 중지시켰다. 예를 들어 미국은 1170억 달러(135조 6498억 원)에 달하는 퀄컴(Qualcomm)의 매각 협상을 무산시켰는데, 인수 예정자였던 브로드컴(Broadcom)이 미국 내 사업장의 규모가 엄청남에도 불구하고 본사 소재지가 싱가포르였기 때문이다(원래는 미국 델라웨어에 있다가 이전한 것이다).
세계가 점점 더 전산화되어 감에 따라 이러한 논의들이 더욱 시급해질 것이라고 제니스 스타인은 말한다. 커넥티드 카의 전원 공급 장치나 스마트 의료 기기, 전력계 안에 들어 있는 전자 장치들은 모두 중국에서 조립되고 있다. 그리고 이 과정에는 세계의 은행들이 거래하는 금융 네트워크가 맞물려 있다. 국회의원들끼리도 이미 서로 교류가 일어나기 시작했다. 미국의 정치인들은 화웨이의 태양광 패널이 국가 전력망에 위험을 끼칠 것이라고 주장하고 있다.
이러한 논의들이 지니는 중요성이 얼마나 큰지에 대해서는 사이버 보안 전문가들도 가늠하기 어렵다고 존 크로우크로프트는 말한다. 그 이유 중 하나는, 초강대국의 경쟁, 글로벌화, 첨단 기술 사회라는 현대적인 요소들이 이렇게 혼합된 전례가 없었기 때문이다. 냉전 시기에는 철의 장막을 넘어서는 무역량이 미미한 수준이었다. 오늘날에는 미국과 중국이 전 세계를 가로지르는 공급망의 정상을 차지하기 위해서 격전을 치를 채비를 하고 있다. 그리고 ‘서방 기업’이냐 ‘중국 기업’이냐 하는 구분은 의미가 없어지고 있다. 중국의 기업들은 자신들의 제품을 서방의 기술들에 의존하고 있다. 서방의 기업들은 중국의 부품들이나 조립 공장들에 의존하고 있다. 리스크조차도 이제는 평가하는 것이 쉽지 않다. 일개 국가가 마음을 먹고 일으킬 수 있는 사이버 대혼란의 규모가 어느 정도일지에 대해서는 아무도 확신할 수 없다고 존 크로우크로프트는 말한다. 왜냐하면 첨단 기술 권력을 둘러싼 전면전이 아직 일어나지 않았기 때문이다.
서방에서 이렇게 격렬하게 토론하고 있는 동안에도, 화웨이는 계속해서 승승장구하고 있다. 그들은 40건에 달하는 또 다른 5G 계약을 체결했다고 말하고 있는데, 이는 어느 경쟁 업체들보다도 많은 숫자다. 그들은 아프리카와 아시아, 남아메리카에서 이미 커다란 비중을 차지하고 있다. 화웨이는 제한적이고 소극적인 수준이기는 하지만 영국으로부터 승인 허가를 받을 것이며, 이는 또 하나의 영예가 될 것이다. 많은 결점들에도 불구하고, 그들은, 그리고 결국 중국은, 세계가 점점 더 의존하게 될 수많은 인프라를 구축하게 될 것이다.
화웨이나 중국의 다른 테크 기업들에 대한 견제력을 갖추기 위해, 서방 국가들이 디지털 인프라 업종을 무기 제조업이나 철강 산업과 같은 전략 산업으로 지정하는 것을 고려해야 한다고 그는 생각한다. 미국은 이미 국가 안보라는 조금은 궁색한 구실을 들어서 여러 거래를 중지시켰다. 예를 들어 미국은 1170억 달러(135조 6498억 원)에 달하는 퀄컴(Qualcomm)의 매각 협상을 무산시켰는데, 인수 예정자였던 브로드컴(Broadcom)이 미국 내 사업장의 규모가 엄청남에도 불구하고 본사 소재지가 싱가포르였기 때문이다(원래는 미국 델라웨어에 있다가 이전한 것이다).
화웨이인가 하이웨이인가?
세계가 점점 더 전산화되어 감에 따라 이러한 논의들이 더욱 시급해질 것이라고 제니스 스타인은 말한다. 커넥티드 카의 전원 공급 장치나 스마트 의료 기기, 전력계 안에 들어 있는 전자 장치들은 모두 중국에서 조립되고 있다. 그리고 이 과정에는 세계의 은행들이 거래하는 금융 네트워크가 맞물려 있다. 국회의원들끼리도 이미 서로 교류가 일어나기 시작했다. 미국의 정치인들은 화웨이의 태양광 패널이 국가 전력망에 위험을 끼칠 것이라고 주장하고 있다.
이러한 논의들이 지니는 중요성이 얼마나 큰지에 대해서는 사이버 보안 전문가들도 가늠하기 어렵다고 존 크로우크로프트는 말한다. 그 이유 중 하나는, 초강대국의 경쟁, 글로벌화, 첨단 기술 사회라는 현대적인 요소들이 이렇게 혼합된 전례가 없었기 때문이다. 냉전 시기에는 철의 장막을 넘어서는 무역량이 미미한 수준이었다. 오늘날에는 미국과 중국이 전 세계를 가로지르는 공급망의 정상을 차지하기 위해서 격전을 치를 채비를 하고 있다. 그리고 ‘서방 기업’이냐 ‘중국 기업’이냐 하는 구분은 의미가 없어지고 있다. 중국의 기업들은 자신들의 제품을 서방의 기술들에 의존하고 있다. 서방의 기업들은 중국의 부품들이나 조립 공장들에 의존하고 있다. 리스크조차도 이제는 평가하는 것이 쉽지 않다. 일개 국가가 마음을 먹고 일으킬 수 있는 사이버 대혼란의 규모가 어느 정도일지에 대해서는 아무도 확신할 수 없다고 존 크로우크로프트는 말한다. 왜냐하면 첨단 기술 권력을 둘러싼 전면전이 아직 일어나지 않았기 때문이다.
서방에서 이렇게 격렬하게 토론하고 있는 동안에도, 화웨이는 계속해서 승승장구하고 있다. 그들은 40건에 달하는 또 다른 5G 계약을 체결했다고 말하고 있는데, 이는 어느 경쟁 업체들보다도 많은 숫자다. 그들은 아프리카와 아시아, 남아메리카에서 이미 커다란 비중을 차지하고 있다. 화웨이는 제한적이고 소극적인 수준이기는 하지만 영국으로부터 승인 허가를 받을 것이며, 이는 또 하나의 영예가 될 것이다. 많은 결점들에도 불구하고, 그들은, 그리고 결국 중국은, 세계가 점점 더 의존하게 될 수많은 인프라를 구축하게 될 것이다.
[1]
화웨이는 3명의 부사장이 6개월마다 CEO를 돌아가며 맡는 순환 회장(rotating chairman) 제도를 시행하고 있다.
[2]
화웨이는 최근에 공식 트위터 계정에 자사의 제품이 아닌 아이폰으로 새해 인사 메시지를 올렸던 일과 카메라의 성능을 자랑하려다가 화웨이의 폰 카메라가 아닌 DSLR로 찍은 사진을 올린 일이 있었다.