LGU+, IMSI 설계구조 논란…"공격위험 간과 말아야"

시민단체 "유심교체 전 신규 가입자 대책 세워야"
전자통신법 개정안 발의…"가이드라인 구체화 필요"

LG유플러스가 가입자 식별번호(IMSI)에 고객의 실제 전화번호를 노출해 설계한 사실이 알려지며 이용자들의 불안이 커지는 모습이다. 4월로 예정된 유심 교체 작업과는 별개로, 보안 결함이 확인된 현재 상태에서의 신규 가입을 즉각 중단해야 한다는 주장까지 나온다. 

"2G부터 사용한 걸 지금껏 그대로"

한석현 서울 YMCA 실장은 19일 서울 여의도 국회에서 이해민 조국혁신당 의원 주관으로 열린 '고의적 해킹 은폐 구조 개선' 세미나에서 "LGU+가 2G 때부터 사용한 IMSI 패턴을 5G까지 그대로 사용해왔다는 보도가 나오자 부랴부랴 대책을 발표했다"며 "4월 13일 전까지 신규 가입자들은 보안이 취약한 유심을 그대로 발급받아야 하는 상황"이라고 지적했다. 그는 이어 "당연히 신규 가입 조치를 중단해야 한다"고 주장했다.

논란은 LG유플러스 가입자들이 사용하는 유심 내 IMSI의 설계구조에서 시작됐다. IMSI는 단말기가 통신 망에 접속할 때 사용하는 15자리의 숫자로 꾸려진 일종의 ID인데, 3G 통신부터는 보안을 위해 이 번호를 암호화하는 모델을 권고하고 있다. 이에 따라 SKT는 IMSI를 난수화했으며 KT는 무작위 번호를 부여한다.

반면 LG유플러스는 과거 3G 모델 도입을 건너뛰고 2G에서 4G LTE로 곧장 넘어오면서, 2G 시절의 '국가코드+통신사코드+전화번호'라는 구식 설계 구조를 현재까지도 사용하고 있다. 이로인해 IMSI를 비전문가도 쉽게 유추할 수 있다. 

논란이 확산되자 LG유플러스는 자체적으로 IMSI 체계를 난수화해 오는 4월13일부터 유심 무상 교체를 진행하기로 결정했다.  

법 위반 아니라지만…

LG유플러스가 국제 표준 규격이나 국내 법을 위반한 것은 아니다. 개인정보보호법상으로도 IMSI는 암호화 의무 대상은 아니다. 

그럼에도 보안에 대한 우려는 존재한다. IMSI를 통해 전화번호를 유추해 피싱에 이용하거나, 혹은 거꾸로 전화번호로 IMSI 번호를 유추해 불법 장비를 통해 이용자의 이용패턴을 유출할 가능성이 있기 때문이다. 실제로 지난해 발생한 KT 소액결제 피해 사태 때 해커들이 IMSI를 비롯해 단말기고유식별번호(IMEI), 전화번호 등을 활용해 문자와 전화를 가로챈 바있다.

황석진 동국대 국제정보보호대학원 교수는 "IMSI로 특정 가입자를 구별할 수 있기에 장비를 이용해 특정이용자의 위치나 이동패턴, 접속이력을 알아낼 수 있다"며 "가짜 기지국을 근처에 두고 통화, 문자를 가로챌 위험도 있다"고 말했다. 이어 "하나만 노출되더라도 추후 연동되어 전체 정보가 유출될 가능성이 있다"며 "특수 장비를 이용한 공격 위험성을 간과해서는 안된다"고 지적했다.

국회, 법 개정 추진

사태가 확산되자 국회에선 발빠르게 제도개선에 나섰다. 최민희 국회 과학기술정보방송통신위원장은 논란이 제기된지 하루만인 이달 18일 과학기술정보통신부가 관리하는 '전기통신번호자원 관리계획'에 식별체계 운영에 관한 사항을 명시하도록 하는 전기통신사업법 개정안을 발의했다. 민간 통신사의 자율에 맡겼던 식별번호 설계를 국가가 관리해 보안성을 강제하겠다는 취지다.

IMSI를 비롯한 IMEI, LTE 키값(Ki) 등 주요 개인정보에 대한 암호화를 심도깊게 논의해야 한다는 조언도 나온다. 인공지능·데이터정책연구센터장인 최경진 가천대 법과대학 교수는 "IMSI 암호화 시 발생할 수 있는 연산 속도 저하나 망 안정성 등 기술적 요소를 모두 고려해야 한다"며 "비용 대비 투자 효율성과 통신 보안의 적절한 접점을 찾는 구체적인 가이드라인이 마련되어야 한다"고 말했다.

백지현 (jihyun100@bizwatch.co.kr)

ⓒ비즈니스워치의 소중한 저작물입니다. 무단전재와 재배포를 금합니다.