LG유플러스가 오는 4월 13일 전 고객을 대상으로 한 유심(USIM) 무상 교체를 발표한 가운데, 이미 3개월 전부터 협력사에 대규모 유심을 선주문한 것으로 확인됐다.
19일 통신업계에 따르면 LG유플러스는 올해 초 주요 유심 공급업체에 대규모 유심 교체를 위한 물량을 주문했다.
LG유플러스 관계자는 “1년 전 통신사 해킹 사태에 따른 내부 보안 검토에 착수해, 새로운 망 체계 등 개발에 돌입했다”며 “가입자식별번호(IMSI) 등 구조적 취약점 개선에 나섰으며, 올해 4월 교체를 확정하고 선주문에 나선 것”이라고 말했다.
IMSI는 단말이 네트워크에 최초 접속할 때 가입자를 식별하는 15자리 고유번호로, 국가 코드(MCC), 이동통신사 코드(MNC), 가입자 식별 코드(MSIN)로 구성된다. LG유플러스는 2011년 LTE(4G) 도입 시점부터 최근까지 IMSI 생성 과정에서 MSIN 부분에 고객의 실제 휴대전화 번호 일부를 그대로 포함하는 방식으로 발급해왔다.
이 구조적 문제로 인해 IMSI 값이 외부에 노출될 경우, 특정 전화번호를 아는 제3자가 해당 IMSI를 포착하면 이용자가 특정 기지국 범위 내에 있었는지 식별할 수 있다는 우려가 제기됐다.
LG유플러스는 이 같은 유심의 취약점을 지난해 인지하고 1년여간의 보안 강화 체계 개발에 돌입했다. 특히 통화 내역 및 음성 등 보안 위험성을 방지하고, 5G 단독모드(SA) 상용화에 대비해 전 고객 유심 교체라는 강수를 뒀다는 것이 LG유플러스 측의 설명이다.
실제 피해 사례는 아직 확인되지 않았으나, LG유플러스는 5G 단독모드(SA) 상용화를 앞두고 IMSI 암호화 기술을 100% 의무 적용하고, 기존 체계에도 난수화를 도입하기로 결정했다. SUCI는 IMSI를 그대로 노출하지 않고 공개키 암호화 방식으로 가려 전송하는 5G 보안 기술로, 가입자 정보 유출 가능성을 원천 차단한다. 이에 따라 유심 교체 또는 재설정 시 자동으로 강화된 IMSI가 적용된다.
유심 선주문에 따라 1120만 명에 달하는 고객 유심 교체는 차질 없이 진행될 예정이라고 LG유플러스 관계자는 전했다. 일괄 교체가 아닌 특정 모델 및 고객에 한해 유심 교체가 진행됐기 때문에, 필요 물량은 가입자 절반에 못 미치는 것으로 알려졌다.
LG유플러스에 유심을 공급하는 한 협력사는 “고객 정보기 때문에 자세한 내용을 공유하기 어렵다”면서도 “발주물량은 차질 없이 공급할 것이며, 공급자가 한 곳이 아닌 만큼 유심 물량이 크게 부족하지는 않을 것”이라고 설명했다.
한편 지난해 4월 이후 1년 동안 통신 3사(SK텔레콤, KT, LG유플러스)가 모두 유심 교체를 진행했다. SK텔레콤은 지난해 4월 홈 가입자 서버(HSS) 등에 BPF도어 악성코드에 감염되면서 전 가입자를 대상으로 유심교체를 단행했으며, KT는 지난해 9월 불법 펨토셀 악용 + IMSI 유출 의심으로 전 가입자 대상 유심 교체를 진행한 바 있다.
Copyright ⓒ 아주경제 무단 전재 및 재배포 금지
본 콘텐츠는 뉴스픽 파트너스에서 공유된 콘텐츠입니다.
다음 내용이 궁금하다면?
광고 보고 계속 읽기
원치 않을 경우 뒤로가기를 눌러주세요
