가입자식별번호 관리 허점… LG유플, 보안 우려 제기

LG유플러스가 가입자 식별에 쓰이는 ‘국제이동가입자식별정보(IMSI)’를 가입자 휴대전화 번호를 활용해 부여한 것으로 드러나면서 보안 우려가 제기됐다. 해커가 다른 정보와 예측 가능한 개인식별번호를 결합해 악용할 가능성이 있어서다. LG유플러스는 보안 체계를 강화하고 유심(USIM) 무료 교체 서비스를 제공하기로 했다.

17일 업계에 따르면 LG유플러스는 2011년 4세대 이동통신(4G) 도입 이후 지금까지 IMSI 생성 때 가입자 전화번호를 일부 반영하는 방식을 사용해왔다. IMSI는 유심에 저장되는 15자리 번호로 국가번호와 이동통신사 식별번호, 개인식별번호 등으로 구성된다. 통신망에서 사용자를 식별하는 데 쓰이기 때문에 SK텔레콤과 KT는 난수 등을 활용해 개인식별번호를 예측하기 어렵게 부여하고 있다.

업계에선 유출된 IMSI 값만으론 해킹하기 어렵지만 다른 정보와 결합할 경우 복제폰 제작 등 보안 위협 가능성이 있다고 본다. LG유플러스 측은 4G 도입 초기 당시 국제 표준이 명확하지 않아 2G 시절 사용하던 방식을 그대로 채택했으며 규정 위반은 아니라는 입장이다. 이상엽 LG유플러스 최고기술책임자(CTO)는 “기존 IMSI 체계는 국제 표준에 부합하고, 암호화된 키값 등을 추가로 확인하기 때문에 보안사고로 이어질 가능성은 작다”고 밝혔다.

LG유플러스는 보안 체계를 강화하고, 희망 고객 대상으로 무상 유심 재설정·교체 서비스를 제공하기로 했다.