LG유플러스가 개인을 식별하는 통신 정보인 국제이동가입자식별정보(IMSI)를 가입자의 실제 휴대전화 번호를 활용해 부여해온 것으로 드러났다. 즉각적인 해킹 위협은 없지만, LG유플러스는 개인정보 보호 조치를 강화할 필요가 있다는 판단과 외부 지적에 따라 유심(USIM) 교체와 소프트웨어 업그레이드 등 시정 대책을 추진하기로 했다.
17일 통신업계에 따르면 LG유플러스는 2011년 4세대 이동통신(4G) 도입 당시부터 현재까지 IMSI 값을 생성할 때 가입자의 실제 번호를 일부 포함하는 방식으로 발급해왔다.
IMSI는 유심에 저장되는 15자리 번호로 국가 번호, 이동통신사 식별번호, 개인식별번호 등으로 구성된다. 통신망에서 사용자를 식별하는 데 활용되는 일종의 ID다.
SK텔레콤과 KT가 개인식별번호를 난수 등을 활용해 예측이 어려운 방식으로 부여하는 것과 달리 LG유플러스는 전화번호를 조합하는 방식을 사용해온 것이다.
전문가들은 IMSI 값이 단독으로 유출된다고 해서 즉각적인 해킹으로 이어지지는 않지만, 다른 정보와 결합할 경우 복제폰 제작 등 보안 위협으로 이어질 가능성이 있다고 설명한다.
이상엽 LG유플러스 최고기술책임자(CTO·전무)는 “기존 IMSI 체계는 국제 표준에 부합하는 것으로 안전하게 운영돼 왔다”며 “특히 고객을 인증할 때 암호화된 키 값 등을 추가로 확인하기 때문에 보안사고로 이어질 가능성은 매우 낮다”고 해명했다.
다만 보안성 강화가 필요하다는 내부 판단과 외부 조언 등에 따라 몇 가지 조치를 수행할 방침이다.
구체적으로, 올해 상용화 예정인 5G 단독모드(SA)에서는 IMSI를 암호화하는 기술(SUCI)을 100% 의무 적용해 보안을 강화할 계획이다. SUCI는 이동통신 가입자를 식별하는 IMSI를 그대로 노출하지 않고 암호화된 형태로 전달하는 5G 보안 기술이다.
아울러 기존 IMSI 체계에 난수화를 도입한다. LG유플러스는 지난해 6월부터 신규 IMSI 체계 시스템 설계와 개발, 상용검증 등을 진행해 왔다. 새로운 IMSI 체계는 가입자코드 부분을 난수화 시킨것으로 고객이 유심을 교체하거나 재설정하면 자동으로 적용된다.
LG유플러스는 유심 교체 물량을 확보해 내달 13일부터 희망 고객을 대상으로 무상 유심 재설정 또는 교체를 시작한다. 스마트워치 등 세컨드디바이스는 물론 키즈폰, LG유플러스 망을 상용하는 알뜰폰 고객들도 포함된다. 유심 교체 및 재설정을 위해 매장 방문 예약 시스템을 운영하고 시스템 운영 시점은 추후 안내할 방침이다.
오는 11월에는 소프트웨어 업데이트를 통해 물리적인 교체 없이도 IMSI를 난수로 변경할 수 있는 기술을 개발해 적용할 방침이다. 아울러 유심 무상교체 프로그램을 지속 운영하며 이용자 보호를 강화할 계획이다.
이재원 LG유플러스 Consumer부문장(부사장)은 “이번 새로운 보안체계 적용은 고객들이 더욱 안전하게 이동통신서비스를 이용할 수 있도록 하기 위해 진행하게 됐다”며 “적용 과정에서 고객의 불편함을 최소화할 수 있도록 준비하겠다”고 말했다.
이화연 기자 hylee@segye.com
