LG유플러스가 2011년 LTE 도입 초기부터 현재까지 약 15년 동안 가입자 식별번호(IMSI)에 고객의 실제 휴대전화 번호를 포함해온 사실이 드러나 오는 4월부터 유심(USIM) 전면교체에 들어간다.

19일 <메트로경제 신문> 취재를 종합해보면, LG유플러스는 오는 4월 13일부터 전 고객을 대상으로 유심 무상 교체 및 재설정을 진행한다.

IMSI는 이동통신 가입자를 식별하기 위해 유심에 부여되는 고유번호로, 통신 서비스 이용을 위한 '아이디(ID)' 역할을 한다. 경쟁사인 SK텔레콤과 KT가 개인정보 유출 및 추적 방지를 위해 이 번호를 예측 불가능한 난수 형태로 관리해온 것과 달리, LG유플러스는 1100만 명에 달하는 가입자의 전화번호를 조합해 이 번호를 생성해왔다.

통상적인 IMSI 체계에서는 번호가 노출되더라도 그 주인이 누구인지 특정하기 어렵다. 그러나 LG유플러스처럼 전화번호를 포함할 경우, 공격자가 가짜 기지국 장비인 'IMSI 캐처'를 이용해 무선 구간에서 오가는 신호를 포착하면 특정 인물이 특정 시점에 어느 기지국 범위 내에 있었는지 실시간으로 파악할 수 있게 된다. 이는 단순한 정보 유출을 넘어 물리적인 위치 추적이나 표적형 감시로 이어질 기술적 토대가 될 수 있는 것이다.

이에 대해 LG유플러스는 해당 방식이 국제 표준을 위반한 것은 아니며, 실제 유심 복제나 해킹으로 이어지기 위해서는 인증키와 같은 추가적인 '비밀번호' 성격의 정보가 필요하기 때문에 위험 수준이 낮다고 해명했다. 또 3G 이전 시절부터 이어져 온 관행이었고, 당시에는 이를 큰 문제로 인식하지 못했다는 입장을 내놨다.

반면 보안 전문가들은 IMSI가 단말기가 네트워크에 처음 접속할 때 암호화되지 않은 상태로 노출된다는 점을 지적하며, 오픈소스로도 구현 가능한 기술 수준에서 위치 식별이 가능하다는 점을 강조했다.

논란이 확산되자 LG유플러스는 뒤늦게 수습에 나섰다. 오는 4월 13일부터 전 고객을 대상으로 유심 무상 교체 및 재설정을 순차적으로 진행하겠다고 발표했다. 이번 조치를 통해 가입자 식별 영역에 난수를 적용한 새로운 IMSI 구조를 도입하고, 5G 단독모드(SA) 환경에서는 IMSI를 암호화하는 기술인 SUCI(구독자 은폐 식별자, IMSI를 암호화하는 기술)를 전면 적용해 보안을 한층 강화할 방침이다.

정치권에서도 이번 사태 해결을 위해 나섰다. 최민희 더불어민주당 의원(국회 과학기술정보방송통신위원회 위원장)은 고객 전화번호가 IMSI에 그대로 연동되는 것을 방지하는 '통신이용자식별정보 보호법(전기통신사업법 개정안)'을 발의할 예정이다. 법안은 현재 과기정통부가 관리하는 '전기통신번호자원 관리계획'에 IMSI 등 식별체계 운영에 관한 사항을 포함하는 것을 골자로 한다. 또 전기통신번호 부여 및 관리 과정에서 고객의 개인정보를 유추할 수 없게 이용자 보호를 강화하는 안이다.

과학기술정보통신부 역시 이번 사안을 엄중하게 보고 신속한 해결을 촉구하며 이용자 보호를 위한 모니터링을 이어가겠다고 밝혔다.