LG유플, 해킹에 ‘가입자 고유식별번호’까지 빠져나간 사실 들통나

LG유플러스가 고객정보 유출 사건과 관련해 홈페이지에 올린 사과문.

외부 해킹 피해를 입은 LG유플러스의 고객정보 유출 항목에 가입자 고유식별번호(IMSI)나 유심번호, e메일 등 민감정보가 더 들어있는 것으로 뒤늦게 드러났다. 가입자별로 유출 항목이 다른데 성명, 생년월일 외에 또다른 민감정보 유출 사례도 있는 것이다. 정부가 유출 경위 등을 조사 중인 가운데 기존에 알려진 18만명보다 피해 규모가 더 커질 가능성도 있다.

12일 LG유플러스가 정보 유출 피해 고객들에게 보낸 안내문에 따르면 성명, 생년월일, 전화번호 외에도 가입자 고유식별번호(IMSI), 단말기 고유식별번호(IMEI), 유심번호, e메일, 가입일, 가입 상품명, 고객정보 변경 시간 등이 포함됐다.

특히 가입자 고유식별번호인 IMSI나 단말기 고유식별번호인 IMEI를 도용해 ‘2차 피해’가 발생할 수 있는 위험성도 있다. 이들 정보를 토대로 모바일상에서 각종 결제나 인증을 시도할 수 있지 않냐는 우려다. e메일이나 가입 상품명이 유출된 부분 역시 사생활 노출로 인해 불안을 키우는 요인이다.

LG유플러스 측은 IMSI 도용 우려가 제기된 데 대해 기술적으로 복제가 불가능하다고 했다. LG유플러스 관계자는 “유심을 복제하려면 IMSI 말고도 네트워크에서 인증해야 하는 키값이 필요하다”며 “키값은 암호화돼 있어 읽을 수 없는 데다 복제할 수도 없다”고 말했다. 이 관계자는 IMEI 도용 가능성에 대해서도 “스마트폰 하드웨어 번호이기 때문에 이것만 갖고는 복제해서 다른 용도로 쓰는 게 불가능하다”고 말했다.

다만 LG유플러스는 정보 유출로 불안해하는 고객들 요구를 감안해 IMSI 정보가 담긴 유심을 무상 교체하겠다고 밝혔다. LG유플러스 관계자는 “고객센터에 전화를 하면 대상 정보가 유출된 고객들에 한해 무상으로 유심을 교체해드리고 있다”고 말했다.

앞서 LG유플러스는 지난 10일 “유출된 정보는 개인마다 차이가 있지만, 성명, 생년월일, 전화번호 등이 포함됐으며 납부와 관련한 금융 정보는 유출되지 않았다”고 홈페이지에 공지했다. LG유플러스 관계자는 “고객별로 유출 내용이 다르기 때문에 홈페이지에는 대표적인 유출 항목만 사항만 표시했다”고 말했다.

개인정보보호위원회와 경찰, 과학기술정보통신부, 한국인터넷진흥원은 지난 9일부터 LG유플러스 개인정보 유출에 대한 조사에 착수했다. 앞서 양정삼 개인정보보호위원회 조사조정국장은 지난 11일 브리핑에서 “현재 개인정보 18만건이 유출됐다고 알려져 있는데 그것보다 더 많은 유출이 있을 수도 있다”며 “유출 규모를 철저하게 확인하는 과정이 가장 기본”이라고 말했다.

구교형 기자 wassup01@kyunghyang.com