LG유플러스가 가입자식별번호(IMSI) 운용 방식에 대한 보안 우려에  대해 IMSI는 노출만으로 개인정보 유출이나 실시간 감시가 일어나는 것이 불가능하다는 입장을 나타냈다. 회사는 유심(USIM) 교체와 체계 개편에 나설 계획이다.

17일 업계에 따르면 LG유플러스는 2011년 4G 도입 당시부터 현재까지 유심에 저장되는 15자리 IMSI 값을 생성할 때 가입자의 실제 번호를 일부 포함해 발급해 왔다.

SK텔레콤(SKT)과 KT가 개인식별번호를 난수 등을 활용해 예측이 어려운 방식으로 부여하는 것과 대조적이다. 이에 대해 일각에서는 IMSI 값이 단독으로 유출된다고 해서 즉각적인 해킹으로 이어지지는 않지만 다른 정보와 결합할 경우 복제폰 제작 등 보안 위협으로 이어질 가능성이 제기됐다.

하지만 LG유플러스는 'IMSI 노출에 의한 위치추적 및 스토킹' 우려에 대해서는 통신망의 구조적 특성과 국제 보안 표준을 근거로 선을 그었다. 단순한 식별자 탈취만으로는 실질적인 피해가 발생할 수 없다는 것이다.

LG유플러스에 따르면 IMSI는 최초 접속 시에만 확인 절차를 거치며 이후 모든 데이터 전송 구간에서는 철저히 암호화된다. 따라서 실제 정보 노출이 원천 차단된다. 특히 통신망에 접속해 데이터를 탈취하기 위해서는 유심 내부에 저장된 고유의 '인증키(Ki)'가 반드시 필요한데 이는 외부 복제가 불가능한 보안 구역에 저장되어 있어 해커가 빼낼 수 없다.

또한 특정 개인의 위치를 실시간으로 파악하려면 통신사 수준의 대규모 장비와 전국적인 기지국 인프라가 필요하기 때문에 가입자 식별번호를 통한 대규모 트래킹이나 실시간 위치추적 역시 기술적·물리적으로 실현 가능성이 희박하다는 설명이다.

LG유플러스는 고객 프라이버시 보호를 위해 AI 기반 3중 방어 체계로 악성 문자와 스미싱을 실시간 필터링하고 이상 징후를 탐지하는 부정사용방지시스템(FDS)을 24시간 가동하고 있다.

LG유플러스 관계자는 “IMSI가 아이디라면 Ki값은 비밀번호와 같다"며 "Ki값이 철저히 암호화되어 있어 정보가 유출되지 않으며 실제로 IMSI 값이 유출된 적조차 단 한 건도 없다"고 말했다.

김수진 기자