가입자 전화번호 수집 논란…'해킹 시연'에 우려

IMSI 캐처로 전화번호 수집 '1일 만에 제작'
위치 추적·스토킹 악용 가능성 경고
"韓 정부, LG유플에 책임 물어야" 촉구
LG유플 "유심 업데이트·교체로 보안 강화"

LG유플러스 보안 취약점 시연 영상. / 사진=깃허브

이동통신 가입자 전화번호를 수집하고 위치까지 추적할 수 있다는 보안 취약점 시연 영상이 공개돼 눈길을 끈다.

16일 이동통신업계에 따르면 전날 세계 최대 오픈소스 커뮤니티 깃허브(GitHub)에는 익명의 보안 전문가가 가짜 기지국 역할을 하는 가입자식별번호(IMSI) 캐처를 활용해 LG유플러스 가입자의 IMSI를 수집하고 이를 통해 전화번호까지 찾아내는 과정을 담은 시연 영상이 게시됐다.

LG유플러스의 IMSI는 국가 식별번호(450)와 통신사 코드(06) 뒤에 가입자 전화번호가 그대로 반영된 구조(450-06-[전화번호])로 설계돼 있다. IMSI를 수집하는 것만으로 전화번호가 곧바로 노출된다. SK텔레콤·KT가 난수 등 예측하기 어려운 방식으로 개인식별번호를 부여해온 것과는 대조된다.

사진=깃허브 캡처

LG유플러스 보안 취약점 시연 영상. / 사진=깃허브

이 전문가는 "단 하루 만에 IMSI 캐처를 직접 제작해 취약점을 확인했다"며 "인근 모든 단말의 IMSI, 즉 전화번호를 수집할 수 있다"고 밝혔다. 그는 이를 통해 표적형 보이스피싱·스미싱은 물론이고 특정인의 실시간 물리적 위치 추적까지 가능하다고 지적했다.

이에 대해 LG유플러스는 "시연 영상은 IMSI 캐처를 활용해 IMSI 값을 확보하고, 이 값의 일부가 휴대폰 번호와 동일하다는 것을 확인하할 뿐"이라며 확대해석을 경계했다. 실제 위험성을 보여주는 영상은 아니라는 얘기다. 이어 "IMSI 캐처를 활용해 휴대폰 IMSI 값을 확보하는 것은 특정 통신사와 상관없이 가능한 것으로, LG유플러스의 경우 임시 값에 휴대폰 번호가 사용됐다는 것일 뿐이며 다른 정보들이 유출된 것이 아니기 때문에 위험성은 낮다"고 설명했다.

LG유플러스는 보안 우려 해소를 위해 지난 13일부터 전 가입자 대상으로 유심 업데이트 및 무료 교체를 진행 중이다. 첫날 처리 건수는 18만1009건으로 파악됐다. LG유플러스 측은 "기존 IMSI 체계는 국제 표준에 부합하는 것으로 안전하게 운영돼 왔고, 특히 고객을 인증할 때 암호화된 키 값 등을 추가로 확인하기 때문에 보안사고로 이어질 가능성은 매우 낮다"고 강조했다.

홍민성 한경닷컴 기자 mshong@hankyung.com