전화번호 얹힌 'IMSI' 논란…LGU+, 4월13일부터 '유심 전면 교체

개인 추적 우려 vs 현실적 위험 제한적
소비자단체, "선제적 위약금 면제 요구"

LG유플러스 용산사옥 모습.[사진=LG유플러스]

LG유플러스가 가입자 식별번호(IMSI)에 전화번호를 활용한 구조 논란이 불거지면서 전 이용자 대상 유심(USIM) 무상 교체를 추진한다.

18일 업계에 따르면, LG유플러스는 오는 4월13일부터 강화된 보안 체계를 적용하고 전 고객을 대상으로 유심 무상 교체 및 재설정을 순차적으로 진행할 계획이다.

이번 조치는 IMSI 구조가 외부에서 유추될 수 있다는 지적이 제기된 데 따른 대응으로 풀이된다. IMSI는 이동통신 가입자를 식별하는 15자리 고유 번호로 국가코드, 사업자코드, 가입자코드로 구성된다. 통상 비식별성을 유지해야 하지만 일부 구간에서 전화번호 기반으로 생성된 구조가 적용된 것으로 알려지면서 보안 우려가 제기됐다.

업계 관계자는 "IMSI는 원칙적으로 비식별성을 전제로 하는 값"이라며 "전화번호 기반 구조는 경우에 따라 특정 개인을 추적할 수 있다"고 지적했다.

SK텔레콤과 KT는 개인식별번호를 난수 등을 활용해 예측이 어려운 방식으로 부여한 것으로 확인됐다. LG유플러스는 지난해 SK텔레콤 정보 유출 사고 이후 IMSI 노출 위험성을 확인했고 이후 시스템 개선 방향을 검토해 왔다. 

LG유플러스는 이에 따라 기존 IMSI 체계를 난수 기반으로 전환하고 이용자가 유심을 교체하거나 재설정할 경우 새로운 체계가 자동 적용되도록 할 방침이다.

아울러 올해 상용하는 5G 단독모드(SA)에서는 가입자 식별 정보를 암호화하는 SUCI를 100% 적용한다. SUCI는 IMSI를 암호화된 형태로 전달하는 기술이다.

전 고객을 대상으로 한 유심 무상 교체도 병행된다. 대상은 4월13일 기준 이동전화 이용자 전원으로 스마트워치 등 세컨드 디바이스와 알뜰폰(MVNO) 이용자도 포함된다. 신규 가입자와 번호이동 고객은 변경된 체계가 적용된 유심을 발급받게 된다.

LG유플러스는 유심 교체 과정에서 매장 방문 예약 시스템 등을 통해 고객 불편을 최소화할 계획이다.

이상엽 LG유플러스 CTO는 "기존 IMSI 체계는 국제 표준에 부합하는 것으로 안전하게 운영돼 왔다. 또한 고객을 인증할 때 암호화된 키 값 등을 추가로 확인하기 때문에 보안사고로 이어질 가능성은 매우 낮다"며 "IMSI를 암호화해 고객정보 보호 수준을 한층 강화할 계획"이라고 말했다.

황석진 동국대학교 국제정보보호대학원 교수는 "정보보안은 비식별화, 암호화, 접근통제라는 기본 원칙이 중요한 만큼 식별정보는 외부에서 활용할 수 없도록 설계하는 것이 바람직하다"고 말했다. 염흥열 순천향대학교 정보보호학과 교수는 "인증키(KI)가 없는 상태에서는 단말기나 유심 복제는 사실상 어렵다"며 "다만 특정조건에서 가입자 위치를 추적할 가능성이 완전히 배제되지는 않으나 일반적인 공격 환경에서는 구현하기 쉽지 않다"고 설명했다. 이어 "유심 교체와 재설정, 체계 개편은 기술적으로 타당한 조치로 볼 수 있다"고 평가했다.

한편 소비자단체를 중심으로 한 보상과 사전 고지 요구도 이어지고 있다. 소비자주권시민회의는 이번 사태와 관련해 △2차 피해 위험 및 대응방안 포함 문자 고지 △전 가입자 대상 유심교체 및 보상안 마련 △유심교체 시행 전 선제적 위약금 면제 시행 등을 요구하고 있다.

[신아일보] 정혜정 기자