LG유플러스가 가입자 식별에 사용되는 통신 정보인 ‘국제이동가입자식별번호(IMSI)’를 고객의 실제 휴대전화 번호 일부를 활용해 사용해 온 것으로 파악되면서 보안 관리에 대한 우려가 제기되고 있다. 논란이 확산되자 LG유플러스는 다음 달부터 전체 가입자를 대상으로 유심(USIM) 무상 교체 등 대대적인 시정 조치에 나선다는 입장이다.
17일 통신업계에 따르면 LG유플러스는 2011년 4세대 이동통신(4G) 도입 이후 지금까지 IMSI를 생성할 때 휴대전화 번호 일부를 포함하는 방식으로 발급해왔다.
IMSI는 유심에 저장되는 15자리 번호로, 이동통신망에서 개별 이용자를 구분하기 위한 일종의 ‘통신 ID’다. 국가 코드와 통신사 식별번호, 가입자 식별번호 등으로 구성된다.
문제는 가입자 식별번호 일부에 실제 전화번호가 활용됐다는 점이다. SK텔레콤과 KT 등 타 통신사들은 패턴을 예측할 수 없는 무작위 숫자(난수)로 이 값을 생성하는 것과 달리, LG유플러스는 전화번호를 섞어 쓰는 2G 시절의 방식을 유지해 온 것이다.
LG유플러스 측은 해당 방식이 국제 표준 규정을 위반한 것은 아니라는 입장이다. 회사 측은 “4G 초기에는 관련 국제 표준이 명확하지 않아 2G 시절 방식이 그대로 적용됐다”고 설명했다.
하지만 보안 전문가들은 이 식별 번호가 외부로 새어 나가 다른 데이터와 결합할 경우, 이른바 '복제폰' 제작 등 2차 피해로 이어질 수 가능성이 있다고 지적한다. 과학기술정보통신부와 한국인터넷진흥원(KISA), 국회 역시 이러한 위험성을 인지하고 최근 LG유플러스 측과 대책 회의를 진행했다.
논란이 커지자 LG유플러스는 대응책 마련에 나섰다. 회사는 4월13일부터 희망 고객을 대상으로 유심 재설정 또는 교체를 무상으로 진행할 계획이다. 교체 대상에는 이동전화 가입자뿐 아니라 스마트워치·키즈폰 등 세컨드 디바이스와 LG유플러스 망을 사용하는 알뜰폰 이용자도 포함된다.
또 오는 11월에는 소프트웨어 업데이트를 통해 물리적 유심 교체 없이도 IMSI를 난수 기반 번호로 변경할 수 있는 기능을 도입할 예정이다. 아울러 올해 상용화를 준비 중인 5G 단독모드(SA)에서는 IMSI 자체를 그대로 전달하지 않고 암호화된 형태로 전송하는 기술을 전면 적용할 예정이다.
