[이데일리 김현아 기자] LG유플러스가 ‘통신 주민번호’로 불리는 가입자 식별번호(IMSI) 설계 허점 논란이 불거지자 전면 보완에 나섰다. 1100만 가입자를 대상으로 유심 무상 교체를 실시하고, 5G 단독모드(SA)에서는 IMSI 암호화 기술을 100% 적용하기로 했다. 가입자 식별구조 전반을 뜯어고치는 대규모 후속 조치다.

이데일리는 17일 [단독] 보도를 통해 LG유플러스 IMSI에 고객 전화번호 정보가 반영된 구조가 장기간 유지돼 왔고, 이로 인해 특정 가입자 식별이나 특정 인물에 대한 표적형 위치 추적에 악용될 수 있다고 지적했다. LG유플러스는 이후 공식 자료를 내고 오는 4월 13일부터 강화된 보안체계를 가동하겠다고 밝혔다.

<이미지를 클릭하시면 크게 보실 수 있습니다>

이번 대책의 핵심은 두 가지다. 먼저 올해 상용하는 5G SA에서는 가입자 식별정보를 암호화해 전달하는 SUCI 기술을 전면 적용한다. 여기에 기존 IMSI 체계도 가입자코드 부분을 난수화한 새 구조로 바꾼다. 지금까지 LG유플러스는 다른 통신사들과 달리 난수 구조를 채택하지 않았는데, 앞으로는 고객이 유심을 교체하거나 재설정하면 새 체계가 자동 적용된다.

유심 무상 교체와 재설정 대상은 4월 13일 0시 기준 LG유플러스 이동전화 이용자 전원이다. 스마트워치와 키즈폰은 물론, LG유플러스 망을 사용하는 알뜰폰 가입자도 포함된다. 반면 4월 13일 이후 신규 가입자나 번호이동 가입자는 변경된 체계가 반영된 유심을 받게 된다.

보안 전문가들은 이번 사안의 본질이 단말기 복제 위험보다 가입자 추적 가능성에 있다고 본다. 김승주 고려대 정보보호대학원 교수는 “IMSI는 이 값만으로 복제폰이 가능한 것은 아니다”라면서도 “LG유플러스의 현 IMSI는 다른 통신사들과 달리 전화번호가 공개된 사람의 경우 IMSI 캐처로 포착된 값과 공개된 번호를 대조해 특정인을 식별하고 동선까지 파악하기 쉬워진다”고 지적했다. 복제폰 공포보다 더 현실적인 위협은 표적형 추적이라는 의미다.

초기 기술 환경의 한계를 감안하더라도 구조를 장기간 그대로 둔 책임은 가볍지 않다는 지적도 나온다. 화이트해커 출신의 단말기 보안업체 솔더포레스트 관계자는 “초기에는 관련 국제 규약인 3GPP에 IMSI 규약이 없었다”면서도 “3G에서 LTE로 넘어오는 과정에서도 LG유플러스가 기존 IMSI 설계를 바로잡지 않은 점은 분명한 약점이다. 유심을 교체해야 한다”고 짚었다.

LG유플러스는 고객 불편을 줄이기 위해 순차 교체 방식과 예약 시스템도 운영할 계획이다. 유심을 교체하지 않는 가입자를 위한 원격 재설정도 병행한다.

다만 시장의 시선은 곱지 않다. 이번 조치가 의미 있는 후속 대책인 것은 맞지만, 결과적으로 가입자 식별구조를 더 일찍 손봤어야 했다는 비판이다. 보안 리스크가 구조적으로 누적된 뒤에야 전 가입자 유심 무상 교체에 나섰다는 점에서 늑장 대응이라는 평가도 있다.

이에 대해 LG유플러스 관계자는 “IMSI만으로 위치 추적이나 해킹은 현실적으로 어렵다”면서도 “다만 4월부터 유심 교체를 시작할 예정”이라고 밝혔다.

한편 국회 과학기술정보방송통신위원회 최민희 위원장은 이번 LG유플러스 사례처럼 가입자식별번호 (IMSI) 에 고객 전화번호가 그대로 연동되는 문제를 방지하기 위해 ‘전기통신사업법 개정안’( 통신이용자식별정보 보호법)을 곧 발의할 것이라고 밝혔다.