LGU+, 전 고객 1100만명 유심 교체···4월 13일부터

가입자 식별번호에 전화번호 반영…보안 우려 제기

LG유플러스가 4월 13일부터 이동전화 서비스를 이용하는 전 고객 1100만명을 대상으로 무상 유심 교체를 진행한다.

가입자 식별번호(IMSI)를 생성하는 과정에서 휴대전화 번호를 일부 반영해 온 사실이 확인되면서 보안 우려가 제기된 데 따른 조치다.

유심 무상 교체 및 재설정은 다음달 13일부터 순차적으로 진행된다.

LG유플러스는 새 유심에 5세대 이동통신 단독모드(SA) 환경에서 IMSI를 암호화하는 기술인 SUCI(Subscriber Concealed Identifier)를 적용한다. SUCI는 IMSI를 그대로 노출하지 않고 암호화된 값으로 변환해 전달하는 방식이다.

IMSI 체계도 개편한다. 가입자 식별 영역에 난수를 적용한 새로운 구조를 도입해 예측 가능성을 낮추고 보안성을 강화할 방침이다. 변경된 IMSI는 유심 교체 또는 재설정 시 자동으로 적용된다.

이번 조치는 내부 정보보호 체계 점검 과정에서 개선 필요성이 확인된 데 따른 조치다.

앞서 LG유플러스가 IMSI 생성 과정에서 휴대전화 번호를 일부 반영해 온 사실이 알려지면서 정보 결합 시 식별 및 악용 가능성이 있다는 지적이 제기됐다.

IMSI는 이동통신 가입자 식별을 위해 유심(USIM)에 부여되는 고유번호다. 단말이 네트워크에 접속할 때 이용되며 통신망에서 이용자를 식별하는 데 활용된다. 쉽게 말해 인터넷 서비스의 로그인 ID와 같은 개념이다.

통상적으로는 이 번호가 포착되라도 개인이나 전화번호를 특정할 수 없게 난수값으로 설계된다.

그런데 LG유플러스는 2011년부터 1100만 명의 가입자 IMSI 값에 고객의 실제 휴대전화 번호를 일부 반영하는 식으로 설계했다. 이 경우 A 씨의 휴대전화 번호를 알고 있는 제3자가 IMSI 값을 포착하면 해당 이용자가 특정 시점에 특정 기지국 범위 내에 있었는지를 식별할 수 있다.

LG유플러스는 해당 IMSI 체계가 국제 표준을 벗어난 것은 아니라는 입장이다. 실제 국제 이동통신 표준에서는 IMSI를 난수 형태로 구성하는 것을 강제 규정이 아닌 권고하고 있다.

논란이 불거지자 LG유플러스는 가입자 식별번호(IMSI) 운용 방식과 관련한 보안 우려에 대해 문제 가능성은 제한적이라는 입장을 밝히면서 유심 교체와 체계 개편을 진행한다고 발표했다.

유심 교체 및 재설정 대상에는 스마트워치 등 세컨드디바이스와 알뜰폰(MVNO) 이용자도 포함된다. 이후 신규 가입자나 번호이동 고객은 변경된 체계가 적용된 유심을 받게 된다.

LG유플러스는 향후 매장 방문 예약 시스템과 원격 유심 재설정 기능을 통해 고객 불편을 최소화한다는 계획이다.···

조진호 기자 ftw@kyunghyang.com