한전 ‘시큐어부트’ 기능에
외산칩 KCMVP 미인증품 허용
보안업계 “지능형전력망법 위반
인증받은 국산칩 역차별” 주장

사진은 기사의 특정사실과 관련 없음.
사진은 기사의 특정사실과 관련 없음.

한전 지능형원격검침인프라(AMI; Advanced Metering Infrastructure) 사업의 사전규격에 국정원 보안(KCMVP) 인증을 받지 않은 외국산 칩을 사용할 수 있도록 명시되면서 보안·통신 업계의 문제 제기가 잇따르고 있다.

업계에 따르면 지난 6월 1차로 고시된 한전 AMI 사업의 LTE모뎀 사전규격에는 국산칩과 달리 외산칩의 경우 부팅 시 악성코드를 확인하는 ‘시큐어부트(Secure Boot)’가 KCMVP 인증을 받지 않아도 사업에 참여할 수 있도록 규정됐다.

이에 대해 키페어, 스프링웨이브, SIT 등 보안업체들은 한전 사전규격이 “시큐어부트 기능에 KCMVP를 적용해야 한다”는 현행 지능형전력망법(제9조 7항)을 위반하고 있다고 주장하고 있다.

보안업계에서는 “한전이 국가 전력망사업에서 외산칩을 KCMVP 인증 없이 사용할 수 있도록 편의를 제공한다면 이는 지능형전력망법상의 보안 지침을 정면으로 위반하는 것”이라며 “또 KCMVP 인증을 받은 국산칩을 사용하는 업체에 대한 역차별”이라고 반발했다.

이 때문에 한전은 7월 31일 2차 사전 규격서에서 논란이 된 문구를 삭제하고 외산칩에는 KCMVP 인증에 준하는 보안이 이미 적용돼 있다고 공고했으나 업계는 이도 말이 안 된다고 주장하고 있다.

한 보안 전문업체 관계자는 “지능형전력망법에는 KCMVP 인증을 받도록 돼 있는데 한전이 임의적으로 외산칩의 보안이 KCMVP와 동일해 사용해도 문제가 없다고 해석할 수는 없다”며 “이는 지능형전력망법 위반일 뿐만 아니라 만약 한전 계획대로 진행되면 향후 취약한 보안으로 해외 등에 국가 중요정보가 유출될 수 있는 심각한 문제”라고 지적했다.

이런 문제를 해소하기 위해서는 LTE모뎀에 들어가는 외산칩이 국정원으로부터 KCMVP 인증을 받거나 LTE모뎀에 KCMVP가 인증된 국내 보안칩을 탑재해야 한다.

그러나 일반적으로 외산칩이 KCMVP 인증을 받으려면 보안 원천기술을 공개해야 하기 때문에 외산칩이 KCMVP 인증을 받는 것은 사실상 불가능하다.

결국 KCMVP 인증을 받은 국내 보안칩을 탑재해야 한다는 얘기다. 항간에서는 일부 통신사가 LTE모뎀을 0원에 납품하기 위해 비용을 줄이고자 KCMVP 보안칩을 구매하지 않으려 한다는 의심도 제기되고 있는 상황이다.

한전 스마트미터링처 관계자는 이에 대해 “KCMVP 인증을 받는 것은 어떤 방식이든 필수적이라는 데는 이견이 없다”면서 “다만 이번 사업에 시큐어부트라는 새로운 기능이 추가되면서 이것을 어떻게 검증할 것인지에 대해서는 소프트웨어와 하드웨어 두 가지 방식을 두고 산업통상자원부와 논의 중에 있다”고 설명했다.

한편 일부 통신사에서도 한전이 사전 규격서에서 논란이 된 문구를 삭제하면서 논리적 오류가 발생해 명확한 정의가 필요하다고 의견서를 제출한 것으로 전해졌다.

※용어 설명

Secure Boot(시큐어부트): 장비가 처음 부팅될 때 그 과정에서 침해나 해커의 공격이 있는지 검증하는 것으로, 안전할 경우에만 부팅하도록 하는 기능이다.

KCMVP(Korea Cryptographic Module Validation Program): 국가·공공기관의 데이터 해킹과 해외로의 정보유출을 막기 위해 사용되는 암호 모듈 검증 제도로, 국내 지능형 전력망 사업자는 필수적으로 국정원으로부터 KCMVP 인증을 받아야 한다.

저작권자 © 전기신문 무단전재 및 재배포 금지