[프라임경제] LG유플러스(032640)가 개인을 식별하는 통신 정보인 '국제이동가입자식별정보(IMSI)' 생성 과정에서 가입자의 휴대전화 번호를 일부 반영했다는 보안 지적이 나오자 전 가입자를 대상으로 유심을 무상 교체하기로 결정했다. 회사 측은 보안 우려에 대해 문제 가능성은 제한적이라는 입장이다.
LG유플러스 용산사옥 전경. ⓒ LG유플러스
LG유플러스는 오는 4월13일부터 보안체계를 강화하고, 전 고객을 대상으로 유심(USIM) 무상 교체와 재설정을 순차적으로 진행한다고 17일 밝혔다.
LG유플러스는 2011년 4세대 이동통신(4G) 도입 당시부터 현재까지 IMSI 값을 생성할 때 가입자의 실제 번호를 일부 포함하는 방식으로 발급한 것으로 알려졌다. IMSI는 가입자마다 부여된 고유의 번호로 유심에 저장되는 개인정보에 해당한다.
SK텔레콤(017670)과 KT(030200)는 개인식별번호를 난수 등을 활용해 예측이 어려운 방식으로 부여하고 있다.
이동통신 3사 중 LG유플러스만 휴대전화 번호를 조합하는 방식을 적용해 통신업계에서 보안 우려가 제기됐다.
통신업계 관계자는 "보통 통신사들은 IMSI 캐처 등 보안 위협으로부터 고객 보호를 위해 IMSI값만으로는 고객을 특정할 수 없도록 휴대폰 번호와는 무관한 난수(랜덤 번호)로 설정한다"면서 "그런데 LG유플러스는 IMSI 노출 시 고객 특정이 가능하도록 돼 보안상 리스크가 큰 사안"이라고 꼬집었다.
그러면서 "고객 전화번호로 IMSI를 발급해온 것은 너무 당연한 보안의 ABC도 무시한 설계다. 보안 설계의 가장 기초적인 원칙인 '식별자와 인증자 분리'라는 기본조차 지키지 않았다"며 "IMSI 캐처로 주변 IMSI값을 캐처하면 고객 전화번호를 알 수 있어 스미싱 등 대량 스팸도 살포할 수 있다"고 우려했다.
이에 LG유플러스는 현행 규정에 위반되지 않는다는 입장이다.
LG유플러스 관계자는 "2G 시절 고객번호로 가입자 식별을 했는데 LTE로 넘어가면서 사용하면서 익숙했던 방식을 그대로 채용했던 것"이라며 "글로벌 기준에 부합하고 문제가 없었기 때문에 바꾸지 않았다"고 말했다.
아울러 "지난해 SK텔레콤의 개인정보 유출 사고가 난 이후 키값이 암호화됐음에도 불구하고 보안을 강화할 방안으로 가입자 번호로 된 걸 난수로 바꾸자는 얘기가 나오게 됐다"며 "문제가 있어 진행한 게 아니다"고 첨언했다.
LG유플러스는 이날 암호화 기술을 포함한 고객 정보 강화 방침을 발표했다.
먼저 올해 상용하는 5G 단독모드(SA)에서는 IMSI를 그대로 노출하지 않고 암호화하는 기술(SUCI)을 100% 의무 적용한다.
또한 이번 유심 무상교체 이후에도 유심 무상교체 프로그램을 운영하고, IMSI 체계 난수화 도입도 추진한다.
LG유플러스는 유심 교체 물량을 확보해 내달 13일부터 희망 고객을 대상으로 무상 유심 재설정 또는 교체를 시작할 계획이다.
고객들이 매장에서 대기하는 시간을 최소화하하기 위해 '매장방문 예약 시스템'을 운영한다. 시스템 운영 시점은 추후 안내할 예정이다.
대상은 LG유플러스 이동전화 서비스를 이용하는 전 고객이다. 스마트워치 등 세컨드디바이스와 키즈폰, LG유플러스망을 이용하는 알뜰폰 고객도 포함된다.
이상엽 LG유플러스 전무는 "기존 IMSI 체계는 국제 표준에 부합하는 것으로 안전하게 운영돼 왔다"며 "특히 고객을 인증할 때 암호화된 키 값 등을 추가로 확인하기 때문에 보안 사고로 이어질 가능성은 매우 낮다"고 강조했다.
Copyright ⓒ 프라임경제 무단 전재 및 재배포 금지
본 콘텐츠는 뉴스픽 파트너스에서 공유된 콘텐츠입니다.
다음 내용이 궁금하다면?
광고 보고 계속 읽기
원치 않을 경우 뒤로가기를 눌러주세요
