LG유플러스가 가입자 식별에 쓰이는 국제이동가입자식별정보(IMSI)를 설계하면서 실제 전화번호를 일부 반영한 것으로 드러났다. LG유플러스는 개인정보 보호 조치를 강화할 필요가 있다는 지적에 유심(USIM) 교체 등 조치를 취하기로 했다.

서울 용산구 LG유플러스 용산 사옥 연합뉴스

<이미지를 클릭하시면 크게 보실 수 있습니다>

17일 업계 등에 따르면 LG유플러스는 2011년 4세대 이동통신(4G) 도입 이후 현재까지 IMSI 값을 생성할 때 가입자의 실제 번호를 일부 포함하는 방식을 사용했다. IMSI는 이동통신 네트워크에서 가입자를 식별하기 위해 부여되는 15자리의 고유 번호를 의미한다. SK텔레콤과 KT 등은 난수 등을 활용한 예측이 어려운 방식을 택하고 있다. 난수는 특정 규칙 없이 무작위로 부여되는 숫자를 뜻한다.

IMSI 값만으로 해킹은 어렵지만 다른 정보와 결합될 경우 복제폰 제작 등 추가 보안 위협으로 이어질 수 있다는 지적이 나온다. 개인을 식별할 수 있는 정보를 장기간 예측 가능한 형태로 방치한 것 역시 관리 측면에서 미흡했다는 비판도 제기된다.

LG유플러스는 지난해 내부 정보보호체계를 자체 점검하는 과정에서 기존 임시체계에서는 유심 포맷 등 일부 조치가 어려운 상황이 발생할 수 있다는 사실을 확인했다고 설명했다. 아울러 이 문제를 인지한 과학기술정보통신부와 한국인터넷진흥원(KISA), 국회 과학기술정보방송통신위원회와도 두 차례 회의를 열고 대책을 논의했다.

LG유플러스는 다음달 13일부터 희망 고객을 대상으로 유심 무상 교체 등 조치를 취한다는 방침이다. 또한 IMSI 체계 난수화를 도입했고 오는 11월 소프트웨어 업데이트를 통해 물리적 교체 없이도 IMSI를 변경할 수 있는 기술을 개발한다는 계획이다.

이상엽 LG유플러스 최고기술책임자(CTO)는 "기존 IMSI 체계는 국제 표준에 부합하는 것으로 안전하게 운영됐다"며 "5G 단독모드(SA)에서는 IMSI를 암호화하여 고객정보 보호 수준을 한층 강화할 계획"이라고 밝혔다.

LG유플러스는 빠른 시일 내로 홈페이지와 애플리케이션 등 자사 채널을 통해 구체적인 고객 안내 및 지원 방안을 공지할 예정이다.

공병선 기자 mydillon@asiae.co.kr
<ⓒ투자가를 위한 경제콘텐츠 플랫폼, 아시아경제(www.asiae.co.kr) 무단전재 배포금지>