[이데일리 김현아 기자] 국회 과학기술정보방송통신위원회 최민희 위원장이 LG유플러스 가입자식별번호(IMSI)에 고객 전화번호가 그대로 반영된 문제를 지난 1월 인지한 뒤, 비공개로 통신사와 정부에 대책 마련을 촉구해온 것으로 나타났다. 최 위원장은 재발 방지를 위해 ‘통신이용자식별정보 보호법’도 곧 발의하겠다고 밝혔다.

최 위원장은 17일 가입자식별번호(IMSI)에 고객 전화번호가 그대로 연동되는 문제를 막기 위한 전기통신사업법 개정안, 이른바 ‘통신이용자식별정보 보호법’을 공개했다.

최민희 국회 과학기술정보방송통신위원회 위원장(더불어민주당)

<이미지를 클릭하시면 크게 보실 수 있습니다>

1월 화이트해커 제보로 인지…“공개보다 대책이 먼저”

최민희 의원실에 따르면 문제의 출발점은 지난 1월 화이트해커의 제보다. LG유플러스 고객의 IMSI 값에 휴대전화 번호가 그대로 연동돼 있다는 사실을 제보받은 뒤, 의원실은 이동통신 3사 자료를 제출받아 구조를 비교 점검했다.

그 결과 SK텔레콤은 IMSI에 랜덤 수열을 부여하고 있었고, KT는 유심 제조사가 부여한 일련번호를 활용하고 있었다. 반면 LG유플러스는 국가코드와 사업자코드 뒤에 고객 전화번호 8자리를 그대로 반영하는 방식으로 IMSI를 운영해온 것으로 확인됐다.

최 위원장 측은 이 사실을 즉시 공개하지 않았다. 의원실은 “LG유플러스 이용자 1100만명의 IMSI 구조가 사실상 외부에 알려지는 역효과를 낳을 수 있다고 판단했다”고 밝혔다. 의원실은 과학기술정보통신부와 개인정보보호위원회, 한국인터넷진흥원, LG유플러스와 함께 비공개로 대응책 마련에 착수했다고도 했다.

의원실은 IMSI 값 노출만으로 당장 2차 피해가 발생할 가능성이 크지는 않지만, 위치 추적이나 예상치 못한 악용 가능성을 완전히 배제할 수 없다고 봤다. 제보한 화이트해커 역시 외부 공개가 오히려 블랙해커에게 빌미를 줄 수 있다며 신중한 대응을 권고한 것으로 전해졌다.

LGU+에 즉각 조치 요구…유심 교체·난수화 이끌어내

최 위원장 측은 이후 LG유플러스에 신속한 대응 조치를 요구했다. 그 결과 LG유플러스는 4월 13일부터 번호이동이나 신규 가입 고객에게는 변경된 체계가 적용된 새 유심을 자동 적용하고, 기존 이용자에게는 유심 재설정으로 보안을 강화하는 한편 희망 고객에게는 무상 유심 교체를 진행하겠다고 밝혔다.

또 올해 11월까지는 원격 재설정을 통해 전 고객 IMSI 값에 난수화를 도입하는 기술적 조치를 마무리하겠다고 설명했다.

최 위원장은 “천만명이 넘는 LG유플러스 가입자의 IMSI 값이 노출되는 상황에서 어떤 일이 벌어질지 예상하기 어렵다”며 “유심 교체 등 고객 불안을 해소할 수 있는 조치를 최대한 서둘러야 한다”고 밝혔다. 이어 “과기정통부 역시 피해가 발생하지 않도록 상황을 철저히 관리해야 한다”고 강조했다.

“국제기준 위반은 아니지만 분명한 보안 허점”

최 위원장은 이번 사안을 단순 기술 논란이 아니라 구조적 보안 허점으로 규정했다. 그는 “민감한 고객정보가 가입자식별번호에 단순 값으로 연동된 이번 LG유플러스 사례는 3GPP 등 국제기준이나 현행 법률을 위반한 것은 아니지만, 해커에게 공격의 빌미를 제공할 수 있는 보안체계의 허점이 분명하다”고 지적했다.

특히 전화번호가 사실상 알려진 공인이나 유명인의 경우 표적형 공격 대상이 될 가능성도 배제할 수 없다고 우려했다. IMSI는 원래 외부에서 포착되더라도 특정 개인과 바로 연결되기 어렵게 설계되는 것이 바람직한데, 전화번호가 그대로 반영되면 식별과 추적 가능성이 상대적으로 커질 수 있다는 취지다.

법안까지 준비…식별체계도 번호자원 관리 대상에

최 위원장은 대응을 통신사 조치에만 맡기지 않고 법 개정까지 추진하기로 했다. 의원실이 과기정통부와 함께 준비한 ‘통신이용자식별정보 보호법(전기통신사업법 개정안)’의 핵심은 전기통신번호자원 관리계획에 IMSI 같은 식별체계와 운영에 관한 사항을 포함하도록 하는 데 있다.

현행 전기통신사업법 48조는 전기통신번호체계와 번호의 부여·회수·통합 등을 관리계획에 담도록 하고 있다. 개정안은 여기에 ‘이용자 보호’를 명시적으로 추가하고, ‘전기통신서비스 제공을 위한 식별체계 및 운영’까지 관리 대상에 포함시키는 것이 골자다.

한마디로 전화번호 자체뿐 아니라, 그 번호와 연결되는 통신 식별체계 전반을 정부 관리와 이용자 보호의 테두리 안으로 끌어들이겠다는 것이다. 이렇게 되면 IMSI뿐 아니라 앞으로 등장할 다양한 통신 식별번호 체계에서도 개인정보 유추 가능성을 사전에 차단하는 방향으로 제도 설계를 강화할 수 있게 된다.

“재발 막는 법으로 만들겠다”

최 위원장은 “재발 방지를 위해 준비한 이번 통신이용자식별정보 보호법을 조속히 발의하고 통과시키겠다”고 밝혔다.

이번 사안은 LG유플러스 한 회사의 기술 운영 문제를 넘어, 통신 식별체계가 어디까지 이용자 보호 관점에서 관리돼야 하는지를 드러낸 사례로 평가된다.