가입자식별번호(IMSI)에 전화번호 연동
2G→4G 직행 과정서 과거 표준 유지
개인식별·위치추적 위험성에 교체 결정

<이미지를 클릭하시면 크게 보실 수 있습니다>

LG유플러스 가입자의 유심(USIM) 내 가입자식별번호(IMSI)가 휴대폰 번호와 연동돼있는 것으로 나타났다. 3G 통신을 거치지 않고 4G로 직행했던 과거의 기술적 선택이 뒤늦게 보안 리스크로 부각된 모양새다. 이 경우 전화번호를 알면 네트워크 망 접속에 쓰이는 IMSI를 유추할 수 있어 개인 신원이나 위치가 드러나는 등 보안에 문제가 생길 수 있다.

LG유플러스 측은 IMSI만으로 개인정보가 유출될 가능성은 극히 낮다고 해명했다. 그러면서도 보안 강화 차원에서 내달 13일부터 가입자의 유심 교체 및 재설정에 착수하기로 했다. 지난해 SK텔레콤과 KT 해킹 건으로 전국민적 불안감이 커진 것을 감안한 조치다.

망 접속 ID 노출…"금고 번호 써붙인 격"

17일 통신업계에 따르면 LG유플러스 가입자의 유심에 저장된 IMSI 15자리 중 8자리가 해당 가입자의 휴대폰 번호와 일치하는 것으로 나타났다.

IMSI는 단말기가 통신망에 접속할 때 사용하는 일종의 아이디(ID)다. 3G 통신 표준부터 이 식별값을 무작위로 부여하는 방식을 택하고 있으며 SK텔레콤과 KT는 이러한 모델을 운영한다. 하지만 LG유플러스의 경우 휴대폰 번호를 알면 망 접속 ID인 IMSI를 추정하기 쉽다. 대한민국 국가 번호+통신 식별번호+전화번호(010 이하 8자리)로 구성되기 때문이다.

이 경우 개인정보 식별이 가능한 것은 물론 가짜 기지국을 통해 개인 위치 추적도 가능하다는 우려가 일각에서 제기된다. 통신업계 관계자는 "금고 자물쇠 번호를 잘보이게 붙여놓은 것과 같다"며 "독립적인 랜덤값으로 IMSI를 부여하는게 이동통신 보안의 기본원칙"이라고 지적했다.

이러한 보안은 LG유플러스가 3G를 건너뛰고 바로 LTE 4G 통신으로 건너뛰면서 생긴 것으로 보인다. 과거 2G 통신 표준에서는 IMSI에 전화번호를 반영하는 방식이 통용됐는데 LG유플러스는 표준규격 위반 문제가 없다는 이유로 이 방식을 그대로 유지했다.

해킹 가능성 낮다지만...유심은 전면교체

아직까지 IMSI로 개인정보가 유출된 사례는 없다. LG유플러스 측은 LTE 키(Ki) 값이 암호화돼있기 때문에 개인정보 유출 가능성은 극히 낮다고 설명이다. 휴대전화를 켜서 유심을 활성화하면 IMSI를 망에 보내 약속된 가입자라는 신호를 보내고 패스워드격인 LTE 키 값이 있어야 망에 접속할 수 있는데 LTE 키 값은 암호화 처리돼 접근이 어렵다.

LG유플러스는 지난해 보안 점검 과정에서 해당 사안을 인지하고 시스템 개선을 준비해왔다고 밝혔다. 이에 따라 오는 4월 13일부터 전 가입자를 대상으로 무상으로 유심 교체나 재설정을 지원하기로 했다. 일반 가입자는 물론, 스마트워치 등 세컨드 디바이스와 LG유플러스 망을 사용하는 알뜰폰 가입자도 포함한다. LG유플러스가 전고객을 대상으로 유심 교체를 진행하는건 지난 2023년 고객정보 유출 사태 이후 3년 만이다.

동시에 올해 말 상용화를 앞둔 5G 단독모드(SA)에서는 글로벌 표준인 3GPP 규격에 맞춰 IMSI 자체를 암호화하는 체계를 적용할 계획이다.

이재원 LG유플러스 컨슈머부문장 부사장은 "이번 새로운 보안체계 적용은 고객들이 더욱 안전하게 이동통신서비스를 이용할 수 있도록 하기 위해 진행하게 됐다"며 "적용 과정에서 고객의 불편함을 최소화할 수 있도록 준비하겠다"고 말했다.

ⓒ비즈니스워치(www.bizwatch.co.kr) - 무단전재 및 재배포금지