LG유플러스가 가입자 식별에 쓰이는 국제이동가입자식별정보(IMSI)를 설계하는 과정에서 실제 전화번호를 반영해 보안상 허점을 보인 것으로 나타났다. 이러한 방식이 규정을 어긴 것은 아니지만, 보안 우려가 지적되고 있는 만큼 LG유플러스는 유심(USIM) 교체 등 조치에 나섰다.

서울 용산구 LG유플러스 용산 사옥 연합뉴스

<이미지를 클릭하시면 크게 보실 수 있습니다>

17일 이동통신업계에 따르면 LG유플러스는 2011년 4세대 이동통신(4G) 도입 이후부터 현재까지 IMSI 값을 가입자 실제 전화번호를 일부 포함하는 방식으로 발급했다. IMSI는 이동통신사가 가입자를 식별하기 위한 정보로 유심에 저장된다. IMSI는 국가코드, 이동통신사 코드, 가입자 번호 등으로 구성된 15자리의 고유 번호다. 반면 SK텔레콤과 KT는 가입자 번호 부분에 실제 가입자의 전화번호 대신, 난수를 활용하는 것으로 알려졌다. 난수란 규칙을 알 수 없이 무작위로 부여되는 숫자를 의미한다.

LG유플러스가 IMSI에 실제 가입자 전화번호를 쓰게 된 건 과거 사업 방식과 관련돼 있다. SK텔레콤과 KT는 과거 2G 및 3G를 사용하던 시절부터 유심을 사용하는 '광대역 코드 분할 다중 접속'(WCDMA) 방식을 택했다. 하지만 LG유플러스는 '코드 분할 다중 접속'(CDMA) 방식으로 통신 서비스를 제공했다. CDMA는 유심을 쓰지 않고 단말기 고유 번호를 통신사 전산에 직접 등록하는 방식인데, 전화번호와 가입자 정보를 함께 묶어서 관리한 셈이다. LG유플러스는 CDMA 서비스를 2021년 종료했다.
IMSI 값만으로 해킹이 어려운 건 사실이다. 실제 해킹까지 이뤄지려면 단말기 고유식별값인 국제모바일기기식별코드(IMEI)와 함께 유심 인증키가 필요하기 때문이다. 다만 개인을 식별할 수 있는 정보를 장기간 예측 가능한 상태로 방치했다는 지적이 나온다. 아울러 다른 정보와 결합되면 곧바로 복제폰 제작 등 보안 위협으로 이어질 수 있다. 문제를 인지한 과학기술정보통신부(과기정통부)와 한국인터넷진흥원(KISA), 국회 과학기술정보방송통신위원회도 대책을 논의하기 위해 LG유플러스와 두 차례 회의를 연 것으로 알려졌다.

LG유플러스는 관련 규정을 어긴 건 아니지만, 보안을 강화하기 위해 조치를 취하겠다는 입장이다. LG유플러스는 IMSI 체계 난수화를 도입하고 다음달 13일부터 희망 고객을 대상으로 유심 재설정 또는 교체 작업을 시작하기로 했다. 아울러 오는 11월 소프트웨어 업데이트를 통해 물리적인 교체 없이도 IMSI를 변경할 수 있는 기술을 개발하고 적용할 계획이다. 이상엽 LG유플러스 최고기술책임자(CTO)는 "기존 IMSI 체계는 국제 표준에 부합해 안전하게 운영됐다"며 "5G 단독모드(SA)에서는 IMSI를 암호화해 고객정보 보호 수준을 한층 강화할 계획"이라고 밝혔다.

스마트폰 이용자들은 이동통신사의 보안 이슈에 민감한 상황이다. 지난해에만 SK텔레콤에서 유심 정보 약 2700만건 유출, KT에서 무단 소액결제 약 2억4000만원 발생, LG유플러스의 계정 관리 서버 해킹 정황 등 연이어 해킹 사고가 터졌기 때문이다. 배경훈 과기정통부 장관은 지난해 9월 이동통신사의 해킹 사고에 대해 "기존보다 반걸음, 한걸음 빠른 대응책을 고민하고 해결책을 찾겠다"고 밝혔다.

공병선 기자 mydillon@asiae.co.kr
<ⓒ투자가를 위한 경제콘텐츠 플랫폼, 아시아경제(www.asiae.co.kr) 무단전재 배포금지>