LG유플러스가 가입자를 식별하는 통신 정보인 '국제이동가입자식별정보(IMSI)'를 생성할 때 가입자의 실제 전화번호를 일부 포함하는 방식을 과거 4세대 이동통신(4G) 도입 이후 지금까지 사용해온 것으로 드러났다.
17일 이동통신업계에 따르면 LG유플러스는 2011년 4G 도입 당시부터 현재까지 IMSI 값을 생성할 때 가입자의 실제 전화번호를 일부 포함하는 방식으로 발급하고 있다. SK텔레콤·KT가 난수 등 예측하기 어려운 방식으로 개인식별번호를 부여해온 것과는 대조된다.
LG유플러스는 4G 초기 국제 표준이 정립되지 않아 2G 때 쓰던 방식을 그대로 이어받은 것으로 규정 위반은 아니라는 입장이지만, 보안업계에선 식별 가능한 형태의 정보를 장기간 유지한 것 자체가 아쉽다는 지적이 나온다. IMSI 값 단독 유출이 곧바로 보안 사고로 이어지진 않아도 다른 정보와 결합되면 복제폰 제작 등에 악용될 수 있다는 설명이다.
문제가 수면 위로 오른 건 지난해 SK텔레콤 정보 유출 사고 이후로 알려졌다. IMSI 노출 위험성이 사회적 화두로 떠오르자 과학기술정보통신부·한국인터넷진흥원(KISA)·국회 과학기술정보방송통신위원회가 LG유플러스와 두 차례 회의를 열고 대책을 논의했다.
이에 LG유플러스는 다음달 13일부터 전 고객 대상으로 유심 무상 교체 및 재설정을 순차 진행하기로 했다. 교체 대상은 LG유플러스 이동전화 서비스 이용 전 고객으로 스마트워치 등 세컨드디바이스, 키즈폰, LG유플러스망을 이용하는 알뜰폰 고객도 포함된다. 매장 방문 예약 시스템을 운영하며 구체적인 일정은 추후 안내할 예정이다.
아울러 오는 11월 소프트웨어 업데이트를 통해 물리적 교체 없이도 IMSI를 난수로 변경할 수 있는 기술을 개발해 적용한다. 올해 상용화하는 5G 단독모드(SA)에서는 IMSI를 암호화된 형태로 전달하는 기술(SUCI)을 100% 의무 적용할 예정이다.
이재원 LG유플러스 컨슈머부문장(부사장)은 "이번 새로운 보안체계 적용은 고객들이 더욱 안전하게 이동통신서비스를 이용할 수 있도록 하기 위해 진행하게 됐다"며 "적용 과정에서 고객의 불편함을 최소화할 수 있도록 준비하겠다"고 말했다.
홍민성 한경닷컴 기자 mshong@hankyung.com
관련뉴스
