핵심요약

연합뉴스

<이미지를 클릭하시면 크게 보실 수 있습니다>

LG유플러스가 가입자 식별에 쓰이는 국제이동가입자식별번호(IMSI)를 생성하는 과정에서 실제 휴대전화 번호 일부를 활용해온 것으로 확인됐다.

17일 업계에 따르면 LG유플러스는 2011년 4세대 이동통신(4G) 도입 이후 현재까지 IMSI 생성 시 가입자의 휴대전화 번호 일부를 반영하는 방식을 사용해왔다.

IMSI는 유심(USIM)에 저장되는 15자리 번호로 국가코드, 통신사 식별코드, 개인 식별번호로 구성된다. SK텔레콤과 KT가 난수 기반으로 개인 식별번호를 부여해 예측이 어렵도록 설계한 것과 달리, LG유플러스는 일부 구간에 전화번호 정보를 반영해 상대적으로 추론 가능성이 있는 구조를 유지해온 셈이다.

전문가들은 이 같은 구조만으로 곧바로 해킹이나 유심 복제 등으로 이어질 가능성은 낮다고 보고 있다. 다만 IMSI를 수집하는 장비를 활용할 경우 특정 번호 사용자의 위치를 추적하려는 시도에는 악용될 여지가 있다는 지적이 나온다. 또 개인 식별 번호를 다른 정보와 결합할 경우, IMSI를 유추할 가능성이 있어 복제폰 제작 등 보안 위협으로 이어질 가능성이 있다는 지적도 나온다.

김우주 고려대 정보보호대학원 교수는 "IMSI는 로그인할 때 사용하는 아이디와 비슷한 개념으로 보면 된다. 이것만으로 유심 복제나 통화 도청, 문자 가로채기 등으로 이어질 가능성은 낮다"면서도 "다만 IMSI 수집 장비를 통해 특정 전화번호 사용자가 특정 장소를 지나갔는지 여부를 파악하는 수준의 위험은 존재할 수 있다"고 설명했다.

LG유플러스는 4G 도입 초기 당시 관련 국제 표준이 명확하지 않아 2G 시절 사용하던 방식을 유지했으며, 규정 위반은 아니라는 입장이다. 다만 지난해 SK텔레콤 정보 유출 사고 이후 IMSI 노출 위험성이 사회적 이슈로 부각되면서 시스템 개선 필요성을 검토해온 것으로 전해졌다.

이에 따라 LG유플러스는 다음 달 13일부터 희망 고객을 대상으로 유심 무상 교체 및 재설정을 실시할 계획이다. 또 오는 11월에는 소프트웨어 업데이트를 통해 물리적인 유심 교체 없이도 IMSI를 난수 기반으로 변경할 수 있는 기능을 도입할 예정이다.

유심 교체는 매장 방문 예약 시스템을 통해 진행되며, 이동전화 가입자뿐 아니라 스마트워치, 키즈폰, 알뜰폰 이용자까지 대상에 포함된다.

이와 함께 LG유플러스는 5G 단독모드(SA)에서는 IMSI를 그대로 노출하지 않고 암호화해 전달하는 'SUCI' 기술을 100% 적용해 보안을 강화할 방침이다.

LG유플러스는 "유심 교체 및 재설정 과정에서 데이터나 서비스 이용에는 영향이 없다"며 "대기 불편을 최소화하고 원활한 교체가 이뤄지도록 순차적으로 진행할 계획"이라고 밝혔다.

※CBS노컷뉴스는 여러분의 제보로 함께 세상을 바꿉니다. 각종 비리와 부당대우, 사건사고와 미담 등 모든 얘깃거리를 알려주세요.

• 이메일 : jebo@cbs.co.kr
• 카카오톡 : @노컷뉴스
• 사이트 : https://url.kr/b71afn

진실은 노컷, 거짓은 칼컷

저작권자 © CBS 노컷뉴스 무단전재 및 재배포 금지