美 연구소의 경고…"가입자식별번호 노출시 위치추적도 가능"

미국 NIST 식별번호 암호화 도입 권고
"신뢰 저하·통신사 평판훼손 이어질 것"

미국 국립표준기술연구소(NIST)가 지난 3월 암호화하지 않은 가입자 식별번호의 보안위험성을 경고하는 백서를 발표했다./사진=NIST 캡쳐

이동통신사가 가입자 식별번호를 암호화하지 않을 경우 사용자 위치 추적은 물론 이동 경로 분석까지 가능하다는 경고가 나왔다.

미국 국립표준기술연구소는 지난 3월 백서를 통해 "가입자영구식별번호(SUPI)를 암호화할 경우 중요한 보안 및 프라이버시 보호 효과를 제공할 수 있다"고 밝혔다.

5G 네트워크에서는 가입자를 식별하기 위해 SUPI를 부여해 관리한다. SUPI는 유심(USIM)마다 부여되는 값으로 통신망 접속 시 일종의 로그인 ID처럼 활용된다. 4G에서 사용되던 가입자식별번호(IMSI) 역시 SUPI의 일종으로 볼 수 있다. 

문제는 이 값이 암호화되지 않은 상태로 전송될 때다. 백서에 따르면 식별번호가 평문으로 노출될 경우 도청자가 이를 가로채 사용자의 위치를 추적하거나 이동 경로를 분석할 수 있다. 또한 단말기가 가짜 기지국에서 신호를 보내면 이를 정상 기지국으로 착각해 접속을 시도하는 과정에서 SUPI가 외부로 유출될 수 있다.

백서는 "이 같은 방식으로 가입자 식별 정보가 악용될 경우 사용자 신뢰 저하와 함께 통신사 평판 훼손으로 이어질 수 있다"고 지적했다.

최근 국내 이동통신사 3사 중 한 곳인 LG유플러스는 IMSI를 부여하는 과정에서 무작위 값이 아닌 개인 전화번호로 구성한 사실이 드러나 논란이 일기도 했다. 회사 측은 IMSI 체계가 국제 표준에 부합하며 보안 사고 발생 가능성이 낮다고 해명한 바 있다.

백서는 이러한 보안 위협을 줄이기 위한 방안으로 SUPI를 암호화한 가입자 식별정보 암호화 기술(SUCI) 적용을 추천했다. SUCI를 활용하면 통신사 내부의 통합 데이터 관리 시스템을 통해서만 가입자 식별이 가능해 외부 노출 가능성을 낮출 수 있다는 설명이다. 

앞서 2019년 3GPP는 5G 표준에 SUCI 도입을 포함시켰다. 다만 해당 기능은 의무 사항이 아니어서 통신사가 적용 여부를 자율적으로 결정할 수 있다. 그럼에도 글로벌 규제기관들은 사실상 SUCI의 기술적용을 밀어붙이는 분위기다. 미국 연방통신위원회는 가능한 경우 가입자 식별 정보를 보호하기 위해 암호화 방식을 적용할 것을 권고하고 있다.

업계 관계자는 "가입자 식별번호 관리 방식에 대한 관심이 커지고 있다"며 "특히 통신 보안 분야에서는 IMSI 보호가 5G 보안의 기본 요소로 평가된다"고 말했다.

백지현 (jihyun100@bizwatch.co.kr)

ⓒ비즈니스워치의 소중한 저작물입니다. 무단전재와 재배포를 금합니다.