SK텔레콤, KT에 이어 LG유플러스까지 유심(USIM) 교체에 나서면서 이동통신 3사가 모두 가입자 유심 교체를 진행하게 됐다.
19일 통신업계에 따르면 LG유플러스는 지난해 통신사 보안 사고 이후 약 1년간 유심 교체를 준비, 확보한 물량을 바탕으로 내달부터 자사 이용자를 대상으로 무상 교체를 실시할 예정이다.
LG유플러스는 “지난해 3월 타사 유출 사고 이후 자체 보안 점검 과정에서 가입자 식별번호(IMSI) 설계 방식에 대한 잠재적 우려를 인지했다”며 “이후 전산 시스템 개발과 기술적 보안 업데이트를 병행하며 대응을 준비해왔다”고 밝혔다.
앞서 SK텔레콤은 지난해 해킹 공격으로 유심 정보 유출 사고를 겪은 이후 전 가입자를 대상으로 무상 교체를 완료했다. KT도 보안 취약점 우려에 따라 순차적인 유심 교체를 진행 중이다.
이동통신 3사 모두 유심 교체에 나서게 되면서 유심 보안 관리 체계 전반에 대한 점검 필요성도 제기되고 있다.
특히 LG유플러스의 경우 IMSI 설계 구조가 주요 쟁점으로 부각되고 있다. 업계에 따르면 LG유플러스는 IMSI 생성 과정에서 전화번호를 일부 반영하는 구조를 사용해온 것으로 알려졌다. IMSI는 유심 인증과 네트워크 접속에 활용되는 핵심 식별값으로, 외부에 노출될 경우 유심 복제 등 보안 위협으로 이어질 수 있다.
경쟁사들이 무작위 값 기반 식별 체계를 적용해온 것과 달리 해당 구조가 유지돼 왔다는 점에서 보안 설계 적정성에 대한 논의가 이어지고 있다. LG유플러스는 “관련 규정이 없었다”는 입장을 밝혔다.
그러나 LG유플러스가 해당 우려를 인지한 이후 실제 전면 교체 시행까지 약 1년이 소요됐다는 점에서 대응 시기가 늦었다는 지적이 나온다.
보안 전문가는 이번 사안을 단순한 정보 유출이 아닌 통신 서비스 설계 구조의 문제로 해석할 필요가 있다고 분석했다. IMSI는 원래 외부에 노출되지 않는 내부 식별값이지만, 다른 가입자 정보와 결합될 수 있는 구조일 경우 보안 전제 자체가 약화될 수 있다는 설명이다.
또 최근 사이버 공격이 여러 정보를 결합해 개인을 특정하는 ‘조합형 공격’ 형태로 진화하고 있는 점을 고려하면 IMSI 역시 단독 정보가 아닌 ‘재식별 가능 정보’로 봐야 한다고 짚었다. 이 경우 일부 정보만으로도 이용자 특정이나 인증 우회 가능성이 발생할 수 있다는 것이다.
이기혁 중앙대학교 융합보안학과 교수는 “이번 문제는 개별 정보의 민감성보다 정보들이 어떻게 연결되는 구조인지가 핵심”이라며 “유심 교체는 단순한 예방 조치가 아니라 이러한 연결고리를 차단하기 위한 대응으로 볼 필요가 있다”고 말했다.
이어 “향후에는 정보가 일부 유출되더라도 실제 피해로 이어지지 않도록 통신 서비스 설계 전반을 재정립하는 방향의 보안 체계가 필요하다”고 덧붙였다.
Copyright ⓒ 아주경제 무단 전재 및 재배포 금지
