[마이데일리 = 박성규 기자] LG유플러스가 가입자 식별번호(IMSI)에 실제 전화번호 일부를 반영해 온 사실이 드러나며 통신 보안 설계에 경고등이 켜졌다. 단독으로는 위험이 제한적이지만, 다른 정보와 결합될 경우 복제폰 등 2차 피해로 이어질 수 있다는 우려가 커지고 있다.
17일 업계에 따르면 LG유플러스는 2011년 4세대 이동통신(4G) 도입 이후 현재까지 IMSI를 생성할 때 가입자의 전화번호 일부를 조합하는 방식을 유지해온 것으로 파악됐다. IMSI는 유심에 저장되는 15자리 번호로, 이동통신망에서 사용자를 식별하는 핵심 정보다.
경쟁사인 SK텔레콤과 KT가 개인 식별번호를 난수 기반으로 생성해 예측 가능성을 낮춘 것과 달리, LG유플러스는 전화번호를 기반으로 한 구조를 유지해온 점이 차이로 꼽힌다. 업계에서는 “식별 정보에 실제 번호가 반영된 구조는 보안 설계 측면에서 상대적으로 취약할 수 있다”는 지적이 나온다.
전문가들은 IMSI 단독 유출만으로 즉각적인 피해가 발생할 가능성은 낮다고 보면서도, 다른 개인정보와 결합될 경우 복제폰 제작 등 2차 피해로 이어질 수 있다고 본다. 특히 통신 식별 체계가 장기간 동일하게 유지된 점은 관리 측면에서 아쉬운 대목이라는 평가다.
LG유플러스는 당시 국제 표준이 명확하지 않았던 4G 도입 초기 상황에서 기존 2G 방식이 이어졌으며 규정 위반은 아니라는 입장이다. 다만 최근 개인정보 보호 기준이 강화되면서 기존 구조를 개선할 필요성이 커졌다는 판단이다.
실제 정부와 국회도 관련 사안을 들여다보고 있다. 과학기술정보통신부와 한국인터넷진흥원(KISA), 국회 과학기술정보방송통신위원회는 LG유플러스와 잇따라 회의를 열고 대응 방안을 논의한 것으로 전해졌다.
LG유플러스는 개선책으로 유심 재설정과 교체를 병행 추진한다. 다음 달 13일부터 희망 고객을 대상으로 무상 유심 재설정 또는 교체를 진행하고, 오는 11월에는 소프트웨어 업데이트를 통해 물리적 교체 없이 IMSI를 난수 기반으로 변경하는 기능을 적용할 계획이다.
이와 함께 5세대 이동통신(5G) 단독모드(SA)에서는 IMSI를 그대로 노출하지 않고 암호화해 전달하는 ‘SUCI(구독자 은닉 식별자)’ 기술을 전면 적용한다는 방침이다.
업계에서는 이번 사안을 계기로 통신사 전반의 가입자 식별 체계와 보안 설계에 대한 점검이 확대될 가능성이 크다고 본다.
통신업계 한 관계자는 “식별 정보는 통신 보안의 출발점인 만큼 설계 단계부터 예측 가능성을 최소화하는 방향으로 고도화가 필요하다”고 말했다.
Copyright ⓒ 마이데일리 무단 전재 및 재배포 금지
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기