LG유플러스가 실제 가입자 전화번호를 반영해 국제이동가입자식별정보(IMSI)를 부여한 것으로 드러났다. 단말기 복제나 직접적인 정보 유출 가능성은 낮지만 가입자 위치 등을 식별할 기술적 가능성이 제기됐다. LG유플러스는 내달부터 모든 가입자를 대상으로 유심 무상 교체를 진행한다.

LG유플러스는 다음달 13일부터 강화된 보안체계를 가동하고, 전 고객을 대상으로 유심 무상 교체와 재설정을 순차적으로 진행한다고 17일 밝혔다.

LG유플러스는 연내 상용화하는 5G 단독모드(SA)에 IMSI를 암호화하는 기술을 100% 적용한다. 기존 IMSI 체계에도 난수화를 도입해 보안을 강화한다는 방침이다.

4세대 이동통신(4G) 도입 당시부터 현재까지 IMSI 값을 생성할 때 가입자 전화번호를 일부 포함하는 방식으로 발급했다는 사실이 확인된 데 따른 조치다.

IMSI는 가입자를 구분하는 고유 식별번호다. 국가 번호, 이동통신사 식별번호, 개인 식별번호 등 15자리로 유심에 저장된다.

문제로 지적된 것은 SK텔레콤이나 KT가 개인식별번호를 난수 등을 활용해 특정하기 어렵게 부여한 것과 달리 LG유플러스는 전화번호를 조합한 방식으로 적용했다는 점이다. 국제표준을 준수했고, 해당 정보가 유출됐다고 해서 즉각적인 해킹이 이뤄질 가능성은 낮지만, 부가 정보를 조합할 경우 특정인을 식별하는 '표적형 추적'이 이뤄질 가능성이 존재한다는 전문가 의견이 제시됐다.

LG유플러스가 사용자의 전화번호가 반영된 가입자식별번호(IMSI) 체계를 장기간 유지한 것으로 드러났다. IMSI는 이동통신 가입자 식별을 위해 유심에 부여되는 고유번호로, LG유플러스는 보안 취약점 해소를 위해 전 고객 대상으로 유심 교체와 재설정을 추진한다. 17일 서울 시내버스에서 스마트폰을 이용하는 시민 너머로 LG유플러스 매장이 보인다. 이동근기자 foto@etnews.com

<이미지를 클릭하시면 크게 보실 수 있습니다>

LG유플러스는 IMSI는 일종의 개인식별을 위한 '아이디'일뿐 실제 정보 탈취를 위해선 킷값 등 '비밀번호'까지 알아야 한다는 입장이다. 특정인 조합 역시 해커가 중간에 가짜 기지국을 설치해 정보를 사전 탈취하지 않는 한 불가능하다고 강조한다.

다만, LG유플러스는 2011년 4G 도입 당시부터 10년 이상 개인정보를 식별 가능한 형태로 유지했다는 점에서 관리가 미흡했다는 비판을 피할 수 없게 됐다. LG유플러스는 문제를 인지하고 지난해부터 과학기술정보통신부 등과 개선 방안을 논의해왔다고 밝혔다.

이상엽 LG유플러스 최고기술책임자(CTO)는 “기존IMSI 체계는 국제 표준에 부합하는 것으로 안전하게 운영돼 왔고, 특히 고객을 인증할 때 암호화된 키 값 등을 추가로 확인하기 때문에 보안사고로 이어질 가능성은 매우 낮다”며 “아울러 5G SA 에서는 IMSI를 암호화해 고객정보 보호 수준을 한층 강화할 계획”이라고 말했다.

정용철 기자 jungyc@etnews.com

[Copyright © 전자신문. 무단전재-재배포금지]