최근 인공지능기술의 급속한 발전과 새로운 5G 네트워크 구현이 전 세계적으로 진전되면서 EU는 경제사회의 새로운 변혁과 함께 디지털 경제로의 전환을 적극적으로 준비하고 있다. 5G 네트워크와 인공지능의 결합은 이전에 경험하지 못했던 광범위한 새로운 서비스와 혁신을 가속하면서 제4차 산업혁명이 시작되었다고 일컬어지고 있다. 유럽연합은 5G 기술과 서비스가 2025년 1,225억 유로에 도달할 것으로 예상하는 등 유럽이 세계시장에서 경쟁할 수 있는 핵심적인 자산으로도 간주하고 있다. 실제로 유럽 스웨덴의 에릭슨, 핀란드의 노키아 기업은 중국의 화웨이와 함께 전 세계 5G 장비 시장을 주도하고 있다.

 

반면 5G의 서비스에 대한 기대에 비례하여 5G의 보안성에 대한 문제가 지속해서 제기되고 있다. 중국 화웨이의 5G 장비 이용에 대한 우려뿐만 아니라, 5G 환경에서 빠른 네트워크 속도에 비례하여 사이버 공격의 위험도 증폭될 것으로 예상하고 있다. 5G 네트워크상에서 사이버보안은 경제사회를 보호하며 산업을 활성화하기 위해 필수적인 요소로 간주한다. 2019년 3월 22일 유럽집행위원회(EC)는 “5G 네트워크 사이버보안에 대한 권고(The Commission Recommendation on Cyber Security of 5G Networks)”를 채택했으며, 3월 26일에 회원국별 위험 평가 및 검토를 완료하고, EU 전체 차원에서 위험평가를 협력하고 위험을 완화하는 방법(Toolbox)을 준비하도록 회원국에 요청했다. 이에 따라 각 회원국은 5G 네트워크 인프라에 대한 위험 평가결과를 EU 집행위원회와 ENISA(European Union Agency for Cybersecurity)에 통보했다.

 

이러한 위험 평가 결과에 근거하여 2019년 10월 9일에 회원국들은 ENISA의 지원으로 EU 차원에서 다음 사항을 포함한 “5G 관련 조정된 위험평가(EU coordinated risk assessment of the cybersecurity of 5G networks)” 보고서를 발표했다.

 

– 주요한 위험 및 위협행위자

– 가장 민감한 자산

– 주요 취약점
(기술적인 취약점과 함께 타국의 정보통신 장비 공급업체 활용 관련 법률 및 정책체계 등 기타 위협 포함)

– 관련된 주요 위험

 

특히 이 보고서에서는 EU 차원의 조정 위협행위자별로 기밀성, 가용성, 무결성 측면에서 위협 수준을 0~5 수준으로 구분하여 시각적으로 제시했다.

위협행위자별 위협 구분
[출처: EU coordinated risk assessment of the cybersecurity of 5G networks coordinated Risk Assessment report, 재가공]

또한, ENISA는 위 보고서를 보완하고, 사이버보안 방법에 대한 추가적인 정보를 제공하기 위해 “5G 네트워크를 위한 위협환경 분석(ENISA Threat Landscape for 5G network)” 보고서를 발표했다.

 

2019년 1월 유럽평의회(European Council)는 회원국들의 네트워크 및 정보보안에 관한 협력그룹(NIS Cooperation Group)의 작업결과를 승인하였다. 특히, 유럽평의회는 `“5G 네트워크 사이버보안에 대한 권고”에 근거하여 5G 네트워크의 보안을 강화하기 위해 유럽 차원의 지속적은 공동노력을 지지하고, 이를 달성하기 위해 권고사항에 대한 조정 및 효과적인 이행의 중요성을 강조하였다. 유럽평의회는 유럽의 단일시장에서 전자통신 네트워크, 특히 5G 네트워크의 보안성을 확보하기 위해 유럽 차원의 조정된 접근방식을 지속해서 강화하기 위해 집행위원회, 회원국, ENISA가 권한 내에서 필요한 모든 조처를 하도록 요청했다.

 

회원국의 정보를 근거로 한 EU 차원의 조정된 위험평가 보고서는 5G 네트워크에서 예상되는 다양한 보안 문제점으로 다음의 사항을 제시한다.

 

– 기밀성과 개인정보보호와 더불어 네트워크의 가용성 및 무결성과 관련된 보안 문제 증가

– 5G 기술의 주요 혁신(특히 보안 기능 향상을 촉진하는 사항)

– 5G 네트워크가 지원하는 소프트웨어 및 서비스 및 애플리케이션의 역할 증가

– 5G 네트워크 구축 및 운영 관련된 공급업체의 역할, 공급업체와 운영자 간 상호작용의 복잡성
및 개별 공급업체에 대한 의존도

 

이러한 사항의 보안문제점을 지적하면서 조정된 위험평가보고서는 새로운 보안 패러다임을 개발하여 현재의 유럽연합의 정책을 재평가할 것을 권고했다. EU의 조정된 위험평가보고서는 유럽 전체 및 국가 수준에서 적용할 수 있는 5G 네트워크에서의 위험 완화 조치를 파악할 수 있는 근거를 제공하며, EU 차원의 조정된 위험평가는 EU 차원의 전략적 중요성이 있는 여러 위험 관점, 즉 취약성, 위협 및 위협 행위자와 자산의 중요성 등을 반영했다.

 

이러한 배경에서 EU는 2020년 1월 5G 네트워크의 주요 사이버보안 위험에 대한 EU의 조정된 위험평가보고서에서 파악한 위험 완화조치에 대한 우선순위를 설정하여 EU 차원 및 국가에서 적용할 수 있는 “5G 네트워크에서의 사이버보안 위험 감소를 위한 조치방안(Cybersecurity of 5G Networks–EU Toolbox of risk mitigation measures 이 글의 주요 내용은 “Cybersecurity of 5G Networks–EU Toolbox of risk mitigation measures”를 기반으로 작성: 이하 5G 사이버보안 Toolbox)”을 개발하여 발표했다. 5G 사이버보안 Toolbox는 EU 전역에서 5G 네트워크의 적절한 사이버보안 수준과 회원국 간 위험 완화 접근방식을 조정하기 위해 견고한 체계를 마련하는데 그 목표를 두고 개발되었다.

 

2019년 10월의 조정된 위험평가보고서는 다음과 같은 위협 영역과 시나리오를 제시했다.

 

 

 

위험 영역 및 시나리오

위협 영역	위험 시나리오
불충분한 보안 조치	네트워크 구성 설정 오류 접근통제 부재
5G 공급망	제품 품질 불량 단일 네트워크 공급자에 대한 의존 및 국가차원에서 다양성 부족
주요 위험행위자	5G 공급망을 통한 국가 개입 이용자를 대상으로 하는 범죄자나 조직의 5G 네트워크 악용
5G 네트워크와 타 기반시스템과의 상호의존성	주요기반시설이나 서비스의 중대한 파괴 전력이나 다른 공급시스템의 차단에 따른 심각한 네트워크 중단
이용자 단말	사물인터넷(IoT), 스마트기기 및 휴대폰의 악용

[출처: EU Coordinated Risk Assessment report]

 

이러한 위험을 효과적으로 해결하고 5G 네트워크의 보안성과 복원력을 강화하기 위해서는 종합적이고 포괄적인 접근방식을 필요하며, 이러한 위험을 동시에 해결할 수 있는 구체적인 방법을 마련이 필요했다. 이러한 배경 아래에서 5G 사이버보안 Toolbox는 EU 수준에서 일반적인 접근법이나 회원국에 따라 조정이 필요할 때 상황을 반영해서 구현할 수 있도록 개발되었다. Toolbox에서 제시한 조치는 위험평가보고서에서 파악한 위험을 해결하고 5G 네트워크의 기밀성, 무결성 및 가용성을 보호하는 데 관련된 다음과 같은 중요한 보안목표를 달성하는데 주안점을 두었다.

 

• 네트워크 설계, 구축 및 운영의 보안 강화
• 제품 및 서비스의 보안표준 기준선 마련
• 개별 공급업체의 위험에 대한 노출 최소화
• 5G 단일 공급업체에 대한 주요 의존성 제한
• 5G 가치 사슬에서 EU 역량을 유지 등 다양하고 경쟁력 있고 지속할 수 있는 5G 시장 장려

 

이 글에서는 5G 사이버보안 Toolbox에서 제시한 5G 사이버보안 조치 및 완화계획, Tool 활용 및 이행, 권고사항 등을 중심으로 살펴보고자 한다.

유럽의 5G 사이버보안 조치 및 완화계획

 

EU의 규제기관들이 각자 역량에 따라 규제 감독에서부터 국가 안보 역할에 이르기까지 5G 사이버 위험을 완화하기 위해 적용할 수 있는 조치를 정의한다. EU의 조정된 위험평가보고서에 따른 위험 완화 조치사항들은 5G 생태계 관련 사이버보안 관계자를 대상으로 하며, 이는 주로 모바일 네트워크사업자(MNO) 및 해당 공급업체, 특히 통신장비 제조업체를 주요 대상으로 한다. 통신장비 제조업체는 네트워크 운영에 필요한 소프트웨어 및 하드웨어를 제공하며, 조치사항들은 EU 조정된 위험평가보고서의 관련 결과를 기반으로 한다.

 

5G 사이버보안 Toolbox에 5G 네트워크의 위험 완화 체계는 아래의 체계도와 같이 위험요인은 완화조치를 통해 대응하며, 완화조치는 지원활동을 통해 개선되고 효과성이 확대될 수 있도록 구성되어 있다.

주요 조치사항 및 지원활동

[출처: EU Coordinated Risk Assessment report, 재가공]

1. 완화조치 및 지원활동

 

사이버보안 조치는 전략적 조치와 기술적 조치의 2개 영역으로 분류하여 세부사항을 기술한다.

 

전략적 조치에는 네트워크 구매 및 설치에 대해 자세히 조사하기 위한 권한 강화, 비기술적 취약성(제3국의 간섭 또는 종속성 위험 등)과 관련된 위험을 해결하기 위한 특정 조치 및 체계적이고 장기적인 의존성 위험 및 다양한 5G 공급 및 가치사슬을 피하고자 지속 가능하고 다양한 5G 공급망을 촉진하기 위한 계획들을 포함한다. 전략적 조치는 EU 조정된 위험평가 보고서에서 파악한 5G 사이버 보안위험을 해결하는 데 특히 효과적일 수 있다. 전략적 조치는 다음의 8개 사항을 정의한다.

 

1) 국가 당국의 역할 강화

2) 운영자에 대한 감사 및 정보 요구

3) 공급업체의 위험 프로파일을 평가하고 주요 자산에 대한 위험을 효과적으로 완화하기 위해
고위험 공급업체에 대한 배제조치 등 공급업체에 대한 제한조치 적용

4) 서비스관리업체(MSP: Managed Sevice Provider) 및 장비 공급업체의 하청업체 통제

5) 공급업체 다양화 전략을 통해 개별 MNO에 대한 공급업체의 다양성 보장

6) 국가 차원의 복원력 강화

7) 주요 자산 파악 및 EU 역내 다양하고 지속 가능한 5G 생태계 조성

8) 미래 네트워크 기술의 다양성 및 EU 역량 유지 및 구축

 

기술적 조치에는 기술, 프로세스, 사람, 물리적 요소의 보안을 강화하여 5G 네트워크 및 장비의 보안을 강화하기 위한 조치사항을 포함한다. 위험 완화 측면에서 기술적 조치의 효과는 조치의 범위와 해결해야 할 위험 유형에 따라 달라진다. 특히 기술적 조치만으로는 비기술적 취약점(제3국의 의존성 위험에 의한 간섭 위험 등)을 해결할 수 없으며 다음의 11개 기술적 조치사항을 정의한다.

 

1) 보안 요구사항 기준선 적용 보장

2) 기존 5G 표준의 보안 조치 구현 보장 및 평가

3) 엄격한 접근통제

4) 가상화된 네트워크 기능의 보안 강화

5) 안전한 5G 네트워크 관리, 운영 및 모니터링 보장

6) 물리적 보안 강화

7) 소프트웨어 무결성, 업데이트 및 패치 관리 강화

8) 강력한 구매 제약조건을 통해 공급업체 프로세스의 보안 표준 강화

9) 5G 네트워크 구성 요소, 고객 장비 및 공급업체 프로세스에 EU 인증 사용

10) 타 5G 특정 ICT 제품 및 서비스(연결 장치, 클라우드 서비스)에 EU 인증 사용

11) 복원력 및 연속성 계획 강화

 

아울러 5G 사이버보안 Toolbox에서는 전략적 및 기술적 조치를 활성화하고 지원할 수 있으며 그 효과를 향상할 수 있도록 다음의 10개의 지원활동을 정의했다.

 

1) 네트워크 보안에 대한 지침 및 모범 사례 검토 및 개발

2) EU 전체 및 국가 수준에서 테스트 및 감사 기능 강화

3) 표준화 지원 및 구성

4) 기존 5G 표준의 보안 조치 구현에 대한 지침 개발

5) EU 차원의 인증 체계를 통한 표준 기술 및 조직 보안 조치의 적용 보장

6) 전략적 조치 구현 모범사례 교류
(특히 공급업체의 위험 프로파일 평가를 위한 특정 국가체계 등)

7) 사고 대응 및 위기관리 관련 조정 개선

8) 5G 네트워크와 기타 중요한 서비스 간 상호의존성 감사

9) 협력, 조정 및 정보공유 메커니즘 강화

10) 공공자금 지원으로 5G 구축 프로젝트의 사이버보안 위험 검토 강화

 

2. 위험 완화 계획

 

EU 조정된 위험 평가 보고서에서 파악한 9개 위험 영역별로 Toolbox는 위험 완화 계획을 정의하며, 보안 위험을 완화하기 위한 전략적 및 기술적 조치를 적절한 지원활동과 함께 제공한다. 위험 완화 계획의 목표는 예상효과 평가를 기반으로 위험 영향이 최대인 분야에 대한 완화조치를 제공하는 데 있다.

 

측정에서 기대되는 효과는 범위와 실행 방법에 따라 크게 달라질 수 있으며, 위험 완화 계획에서는 완전한 효과와 이행 가능성을 보장하기 위해 적절하게 완화조치들을 결합하는 것이 중요하다. 특히 MNO에 대하여 더욱 강력한 보안 의무를 적용하려면 규제 당국이 적절한 보안 의무사항을 정의 및 부과하고, 이행을 모니터링 및 감사할 수 있는 충분한 권한이 필요하다. 예상되는 효과 수준은 조치 적용 후에 원래 위험과 잔여 위험을 고려해야 한다. 예상효과 수준은 다음과 같은 척도로 구분했다.

 

• 매우 높음: 조치결과가 매우 높은 수준으로 효과적일 것이며, 관련 위험을 거의 완전히
  완화할 것으로 예상
• 높음: 조치결과가 상당히 효과적일 것이며, 관련 위험을 크게 완화할 것으로 예상
• 중간: 조치결과가 다소 효과적일 것이며, 관련 위험을 어느 정도 완화할 것으로 예상
• 낮음: 조치결과가 관련 위험을 약간 완화할 것이며, 효과가 미미한 수준일 것으로 예상

 

조치별 완화 계획은 회원국의 선택 및 이행을 지원하는 관점에서 다음의 매개 변수와 특성을 고려하여 5G 사이버보안 Toolbox의 부록으로 제시했다.

 

• 잠재적인 이행 요소(긍정적 또는 부정적 요소): 자원 비용, 산업별 경제적 영향(운영자 또는
  공급 업체에 대한 영향), 광범위한 경제적 또는 사회적 영향 조치를 이행하는 데 필요한 조처를
  하는 데 필요한 기간
• 조치를 이행하는 데 필요한 기간: 단기(0~2년), 중기(2~5년), 장기(5년 이상)

 

위험 완화 계획에서 조치 체계 개관
[출처: EU Coordinated Risk Assessment report, 재구성]

5G 사이버보안 Toolbox 활용 및 구현

 

5.1. EU 차원 및 국가 차원의 조치

 

식별된 위험을 효과적으로 완화하기 위해서는 다양한 유형의 조치를 적절히 조합해서 적용해야 하며, EU 회원국들은 5G 구축에 따른 위험을 효과적으로 해결하기 위해 다양한 완화 조처를 해야 한다. 조치는 사안에 따라 EU 차원의 조치와 국가 차원의 조치로 구현될 수 있다. 전략적 조치를 구현하려면 국가 차원에서 구체적인 법령이 필요할 수 있으며, 일부 회원국은 이미 전략적 조치와 관련된 법률을 시행했으며 다른 회원국들은 유사한 법률을 준비하고 있다.

5G 공급 및 가치 사슬의 지속가능성과 다양성을 촉진하기 위한 전략적 접근법이 필요하며, 이는 EU 수준의 새로운 정책 및 법률을 제정하거나 기존 EU 제도를 5G 상황에 효과적으로 적용함으로써 공급업체에 대한 장기적인 의존성을 피하는 방식 등을 통해 실현될 수 있다.

 

5.2. 국가 차원의 완화 계획

 

국가 차원에서 이행 추진에 필요한 조치를 선택할 때 국가는 해당 조치의 적합성을 결정하며, 조치를 시행할 자원이 충분한지, 타 국가 및 EU 차원에 협력할 필요가 있는지를 판단해야 한다. 국가의 조치 이행은 여러 가지 요인에 따라 달라질 수 있다. 예를 들어 국가 통신시장의 일반적인 특성(5G 네트워크 구축 기간, 네트워크 내 공급업체의 존재 여부, 공급업체에 대한 의존도, 국가 자원 및 역량, 기존 법령 및 보안요건 등) 등에 따라 다를 수 있다. 이행 계획은 또한 현재의 절차에 중대한 변화를 유발하는 경우에 전이 또는 점진적 이행 단계를 구체적으로 명시할 수 있다.

 

국가별 상황에 따른 차이점에도 불구하고, 조치사항을 선택하고, 우선순위를 설정하는데 국가 간 상당한 수준의 공통적인 요소가 존재한다. 높은 수준의 조치 효과, 다양한 유형의 영향 요소, 가능한 조치 구현 기간 등을 통해 국가 간 공통적인 요소가 나타날 수 있다.

 

국가에서 5G 사이버보안 Tool 활용을 위한 단계적 방법은 다음과 같이 제시되었다.

 

회원국의 Toolbox 활용방법

조치 단계	설명
1 단계	회원국은 국가의 위험평가 및 EU 차원의 조정된 위험 평가에 따라 위험에 대한 우선순위 설정
2 단계	회원국은 위험평가를 통해 파악한 위험을 해결하기 위해 기존의 완화방법의 효과성을 검토
3 단계	회원국은 2단계에서 파악한 위험 격차를 다루기 위해 우선 순위가 부여된 위험에 대해 정의
4 단계	회원국은 해당 권고 조치 및 완화계획에 대해 연구를 수행 하고, 회원국 및 관련국에게 가장 효과적일 수 있는 조치를 선택
5 단계	회원국은 개별 국가적으로 또는 관련 회원국들과의 연계하여 조치사항의 전체 또는 일부를 구현

[출처: EU Coordinated Risk Assessment report, 재가공]

 

5G 사이버보안 Toolbox 관련 권고사항

 

EU의 NIS 협력그룹은 5G 사이버보안 Toolbox에서 제시한 5G 네트워크 환경의 위험평가 및 가능한 완화계획, 조치계획의 잠재적인 효과 등에 기반을 두어 EU 회원국 대상으로 다음과 같은 권고사항을 제시했다.

 

1) 모든 회원국은 현재 식별한 미래의 위험에 대비하여 국가 관리기관의 권한을 포함하여 적정한 수준의 조치를 마련해야 하며, 특히 국가 관리기관이 보안 관련 법 제도적 근거 등을 기반으로 다양한 5G 네트워크 장비의 공급, 구축 및 운영을 위해 위험 기반 접근방식에 따라 특정 요건이나 조항을 제한, 차단, 부과할 수 있도록 보장해야 한다. 국가 관리기관은 다음 사항을 수행해야 한다.

• 모바일 네트워크 사업자에 대한 보안 요구사항 강화: 엄격한 접근 통제, 안전한 운영 및 모니터링 규칙, 특정 기능의 아웃소싱 제한 등
• 공급업체의 위험 프로파일 평가: EU가 조정한 위험 평가에서 중요하고 민감한 것으로 정의된 주요 자산(핵심 네트워크 기능, 네트워크 관리 및 조정기능 및 접근 네트워크 기능)에 대한 위험을 효과적으로 완화하는 데 필요한 배제를 포함하여 고위험 공급업체에 관련 제한사항 적용
• 각 운영자가 단일 공급업체(또는 유사한 위험 프로파일의 공급업체)에 대한 주요 의존성을 피하거나 제한하기 위해 적절한 다중 공급업체 전략을 마련해야하고, 국가 차원에서 공급업체의 적절한 균형을 유지하며, 고위험 공급업체에 대한 의존성을 방지

 

2) EU 집행위원회(EC)는 회원국과 공동으로 다음을 수행해야 한다.

• 장기간의 의존성을 방지하기 위해 다양하고 지속할 수 있는 5G 공급망 유지: 특히 5G 주요 자산에 영향을 미치는 잠재적 외국인 직접 투자를 선별하고 잠재적 덤핑이나 보조금으로 인한 5G 공급 시장의 왜곡을 방지함으로써 기존 EU 제도를 최대한 활용하며, 5G 및 Post-5G 기술의 EU 역량 강화
• 더욱 안전한 제품과 프로세스를 장려하기 위해 보안 목표를 달성하고 관련 EU 차원의 인증체계를 개발하기 위한 표준화와 관련하여 회원국 간 조정 촉진

 

3) 접근 방식 조정이 적절히 작동하기 위해 NIS 협력그룹작업반(NIS Cooperation Group Work Stream)의 임무수행과 함께 다음의 다른 관련 기관 및 단체와의 협력을 확대해야 한다.

• 5G 및 Post–5G 네트워크의 보안에 대한 EU 집행위원회 및 ENISA의 지원으로 주기적으로 검토: EU 및 국가 차원의 위험 평가에 따라 평가 방법론을 정교화하고 조정하며 진화하는 5G 기술에 맞게 조정
• EU 회원국의 구조화된 보고체계에 근거하여 5G 사이버보안 Toolbox에 대한 상세하고 주기적인 모니터링 및 평가를 수행하고, 이행에 대한 평가
• 다양한 조치에 대한 지침의 정교화 및 모범사례 교류 등에 관한 EU 수준의 협력이 요구되는 지원 활동의 이행을 조정하고 지원
• 적절한 경우, EU 수준에서 추가로 조정활동 지원: 특히 네트워크 운영에서 기술 및 조직과 관련 하여 추가적인 융합을 초래할 수 있는 사항에 대한 조정 지원

 

시사점

 

EU의 5G 네트워크에서의 위험을 완화하기 위한 사이버보안 Toolbox는 적절하게 활용할 때 5G에서 예상되는 위험을 효과적으로 식별하고 해결하는데 이바지할 것이다. 이 글에서는 5G 네트워크 위험을 완화하기 위한 사이버보안 Toolbox의 세부적인 사항을 기술하고 있지 않지만, EU 보고서는 세부적인 5G 네트워크 위험 완화를 위한 세부적인 지침도 부록으로 제공하고 있다. EU는 5G 사이버보안을 위한 국가별 위험 평가결과를 분석하여 공통적인 요소를 분석하고, 위험 우선순위를 파악하여 국가별 위험을 조정해서 제시함으로써 EU 회원국뿐만 아니라, 다른 국가들도 이를 참조하여 5G 도입에 따른 사이버보안 체계를 마련할 때 전략적으로 접근할 수 있도록 지원할 것으로 예상한다. EU의 5G 위험 평가 결과가 우리 나라에서 식별되는 다양한 5G 관련 위험 영역과 특성이 완전하게 부합하지는 않을 수 있으나, 상당한 영역에서 공통적인 위험요소가 존재한다. EU의 조치사항들을 국내에 그대로 적용하기에는 적합하지 않을 수 있으나, 국내 상황을 검토해서 적절하게 조정해서 적용한다면, 국내 5G 네트워크에서 예상되는 위험을 파악하고, 해결하는 데 많은 도움이 될 것이다.

 

[참고문헌]

1) European Commisssion(NIS Cooperation Group), EU coordinated risk assessment of the cybersecurity of 5G networks, 2019.10.9.

2) European Commisssion(NIS Cooperation Group), Cybersecurity of 5G networks EU Toolbox of risk mitigating measures, 2020, 1.