유심교체 선제 대응 나선 LG유플러스… 통신업계, 올해도 ‘보안’에 사활
시사위크=조윤찬 기자 LG유플러스가 보안사고에 대비해 선제적으로 유심 교체에 나선다. LG유플러스는 가입자식별번호(IMSI)에 고객 전화번호를 넣어 발급하고 있어, 보안 수준을 높여야 한다고 판단했다. 지난해 SKT와 KT는 해킹사태를 겪으며 보안 문제점들을 개선했는데, 올해도 통신업계에서 보안 강화가 강조될 것으로 보인다.
◇ IMSI에 전화번호 사용해 개선 필요… 유심 교체 규모는?
지난해 SKT와 KT에 이어 올해는 LG유플러스까지 무상 유심 교체가 이뤄진다. LG유플러스는 유심에 저장된 IMSI에 보안 우려가 나와 대응했다. LG유플러스는 2011년부터 가입자 전화번호가 포함된 IMSI를 발급해오고 있다.
IMSI는 IMEI(단말기 식별번호), 유심 인증키 등과 함께 통신사가 가입자를 식별하는 데 사용되며 국가코드, 사업자코드, 가입자코드 등 15자리 번호로 유심에 저장된다. 이번에 문제된 전화번호는 가입자코드 부분에 들어갔다.
LG유플러스 관계자는 가입자 전화번호를 알면 IMSI를 유추할 수 있다는 보안 우려가 있다고 설명했다. 이에 지난해 6월부터 가입자코드 부분을 전화번호가 아닌 난수 번호로 바꾸는 신규 IMSI 체계 개발이 이뤄졌다. LG유플러스는 11월까지 모든 가입자의 IMSI를 난수화하는 것에 목표를 두고 있어 개선 작업에는 시간이 필요할 것으로 보인다.
유심 교체는 오는 4월 13일부터 시작된다. LG유플러스는 유심 교체 수요를 예측하기 어렵다고 봤다. SKT는 전체 가입자 유심 정보 유출로 1,000만명 규모로 유심 교체를 진행했다. KT는 무단 소액결제 사태 이후 가입자 불안을 해소하기 위해 전체 가입자 유심 교체를 실시했지만 실제 개인정보 유출 피해자가 2만2,000여명으로 특정돼 SKT와 달리 유심 교체 규모가 크지 않았다.
SKT와 KT는 보안을 위해 IMSI를 난수화하며 발급하는 중이다. 사업자별 IMSI 운영 차이가 있는 건 사업자에 자율을 줬기 때문이다. 과학기술정보통신부 측은 IMSI 관련해 가이드라인을 제시할 법적 근거가 없다고 전했다.
IMSI 문제로 유심 교체가 시행되는 상황에 대해 과기정통부 관계자는 "LG유플러스에 신속하게 처리할 것을 요청했다"며 "최민희 의원이 관련 법안을 발의한 상태"라고 말했다. 최민희 더불어민주당 의원은 지난 18일 전기통신번호자원 관리계획에 전기통신서비스 제공을 위한 식별체계 및 운영에 관한 사항을 포함하도록 하는 '전기통신사업법' 개정안을 발의했다.
지난해 해킹 사태를 기점으로 통신업계는 드러난 문제점을 개선할 수 있었다. SKT는 유심 인증키 값을 암호화하지 않고 저장했고, KT는 일정 기간 사용하지 않는 기지국을 차단하는 시스템을 갖추지 않았다. 이는 각각 경쟁사들이 갖추고 있는 보안체계였다.
지난해 통신3사는 일제히 대규모 정보보호 투자비를 발표하며 해킹 이슈에 대응했다. 통신업계는 보안 전담 인력 확충을 비롯해 AI 기반 보안 관제 등에 힘쓸 계획이다. SKT는 CISO(최고정보보호책임자) 조직을 CEO 직속으로 격상하고 5년간 7,000억원의 정보보투자 계획을 마련했다. KT는 올해부터 2030년까지 5년간 정보보호에 1조원을 투자한다. LG유플러스도 5년간 7,000억원의 정보보호 투자비를 책정했다.
통신업계는 해킹 이슈로 가입자 이탈을 경험하며 보안이 통신업에 타격을 줄 수 있다는 점을 확인했다. 대규모로 이탈한 회선을 번호이동 경쟁으로 단기간에 회복하는 것도 어려운 일이다. 이에 보안 경쟁은 지원금 경쟁과 함께 소비자가 통신사를 선택하도록 하는 요소로 자리잡았다는 평가가 나온다.
Copyright © 시사위크, 무단 전재 및 재배포 금지.