서울 용산구 LG유플러스 본사. 문재원 기자

<이미지를 클릭하시면 크게 보실 수 있습니다>

LG유플러스가 개인을 식별하는 통신 정보인 ‘국제이동가입자식별정보(IMSI)’를 가입자 휴대전화 번호를 조합해 부여해온 것으로 나타났다. 회사는 보안 위협 우려를 감안해 유심 무상 교체에 나서기로 했다.

LG유플러스는 “오는 4월13일부터 한층 강화된 보안체계를 가동하고, 전 고객을 대상으로 유심 무상 교체와 재설정을 순차적으로 진행한다”고 17일 밝혔다.

IMSI는 3자리의 국가 코드, 2자리의 통신사 코드, 10자리의 가입자 코드로 구성된 15자리 숫자다. 통신사 네트워크 서버와 이동전화 단말의 유심에 저장돼 처음 망에 접속할 때 고객을 식별하는 데 활용된다.

LG유플러스는 2011년 4세대 이동통신(4G) 도입 당시부터 가입자의 전화번호를 반영해 IMSI를 발급한 것으로 확인됐다. 사실상 전화번호를 가입자 코드로 쓴 셈이다. 이는 SK텔레콤과 KT가 난수 등을 활용해 예측이 어려운 방식으로 부여한 것과 대조적이다.

LG유플러스는 4G 도입 초기 당시 국제 표준이 명확하지 않아 이전 방식을 따랐고 현재도 규정 위반은 아니라는 입장이다. 지난해 SK텔레콤 해킹 사태 이후 IMSI 관련 시스템 점검 과정에서 미비점을 발견했다고 전했다. 이상엽 LG유플러스 최고기술책임자(CTO)는 “기존 IMSI 체계는 고객을 인증할 때 암호화된 키 값 등을 추가로 확인하기 때문에 보안사고로 이어질 가능성은 매우 낮다”고 밝혔다.

하지만 개인정보를 식별 가능한 형태로 장기간 관리해온 것은 보안 허점이라는 비판이 나온다. 김용대 카이스트(KAIST) 전기 및 전자공학부 교수는 “전화번호로 IMSI를 알아낼 수 있다면 IMSI가 노출돼 있는 것이나 마찬가지”라며 “IMSI는 위치 추적 등을 방지하기 위해 무작위로 부여해야 한다는 것이 업계의 인식”이라고 말했다.

LG유플러스는 지난해 6월부터 난수화한 신규 IMSI 체계 시스템 설계를 진행해왔고, 고객이 유심을 교체하거나 재설정하면 자동으로 적용된다고 했다.

고객들은 매장 방문 예약 시스템을 통해 유심을 교체하거나 재설정하면 된다. 오는 4월13일 0시 기준 LG유플러스 이동전화 서비스를 이용하는 전 고객이 대상이다. 스마트워치 등 다른 정보기술(IT) 기기는 물론 키즈폰, LG유플러스 망을 상용하는 알뜰폰 고객들도 포함된다. 지난해 말 기준 알뜰폰을 포함한 LG유플러스 이동통신 가입 회선 수는 1580만5932개다.

4월13일 이후 번호이동을 하거나 신규로 가입하는 고객의 경우 변경된 체계가 새로운 유심에 자동으로 적용된다.

노도현 기자 hyunee@kyunghyang.com

▶ 매일 라이브 경향티비, 재밌고 효과빠른 시사 소화제!
▶ 더보기｜이 뉴스, 여기서 끝나지 않습니다 → 점선면

©경향신문(www.khan.co.kr), 무단전재 및 재배포 금지