"1100만 가입자 전부 유심 교체"…LGU+, IMSI 결함에 초강수 대응(종합)

(서울=뉴스1) 이민주 기자 = LG유플러스(032640)가 4월 13일부터 이동전화 서비스를 이용하는 전 고객 1100만 명을 대상으로 무상 유심 교체를 진행한다.

가입자 식별번호(IMSI)를 생성하는 과정에서 휴대전화 번호를 일부 반영해 온 사실이 확인되면서 보안 우려가 제기된 데 따른 조치다.

17일 LG유플러스는 보안 수준을 한층 강화하기 위해 오는 4월 13일부터 전 고객을 대상으로 유심(USIM) 무상 교체 및 재설정을 순차적으로 진행할 계획이라고 밝혔다.

LG유플러스는 새 유심에 5세대 이동통신 단독모드(SA) 환경에서 IMSI를 암호화하는 기술인 SUCI(Subscriber Concealed Identifier)를 적용한다. SUCI는 IMSI를 그대로 노출하지 않고 암호화된 값으로 변환해 전달하는 방식이다.

IMSI 체계도 개편한다. 가입자 식별 영역에 난수를 적용한 새로운 구조를 도입해 예측 가능성을 낮추고 보안성을 강화할 방침이다. 변경된 IMSI는 유심 교체 또는 재설정 시 자동으로 적용된다.

이번 조치는 내부 정보보호 체계 점검 과정에서 개선 필요성이 확인된 데 따른 조치다.

앞서 LG유플러스가 IMSI 생성 과정에서 휴대전화 번호를 일부 반영해 온 사실이 알려지면서 정보 결합 시 식별 및 악용 가능성이 있다는 지적이 제기됐다.

업계에 따르면 LG유플러스는 4세대 이동통신(LTE) 도입 초기인 2011년부터 현재까지 IMSI를 부여할 때 가입자의 전화번호를 조합하는 방식을 사용해 온 것으로 파악됐다.

IMSI는 이동통신 가입자 식별을 위해 유심(USIM)에 부여되는 고유번호다. 단말이 네트워크에 접속할 때 이용되며 통신망에서 이용자를 식별하는 데 활용된다. 쉽게 말해 인터넷 서비스의 로그인 ID와 같은 개념이다.

통상적으로는 이 번호가 포착되라도 개인이나 전화번호를 특정할 수 없게 난수값으로 설계된다. 실제 SK텔레콤은 ISMI를 가입자 전화번호와 연동되지 않는 독립적인 랜덤 값으로 부여·관리 중이다.

그런데 LG유플러스는 2011년부터 1100만 명의 가입자 IMSI 값에 고객의 실제 휴대전화 번호를 일부 반영하는 식으로 설계했다. 이 경우 A 씨의 휴대전화 번호를 알고 있는 제3자가 IMSI 값을 포착하면 해당 이용자가 특정 시점에 특정 기지국 범위 내에 있었는지를 식별할 수 있다.

LG유플러스는 해당 IMSI 체계가 국제 표준을 벗어난 것은 아니라는 입장이다. 실제 국제 이동통신 표준에서는 IMSI를 난수 형태로 구성하는 것을 강제 규정이 아닌 권고하고 있다.

논란이 불거지자 LG유플러스는 가입자 식별번호(IMSI) 운용 방식과 관련한 보안 우려에 대해 문제 가능성은 제한적이라는 입장을 밝히면서 유심 교체와 체계 개편을 진행한다고 발표했다.

유심 교체 및 재설정 대상은 4월 13일 기준 LG유플러스 이동전화 이용자 전체다. 가입자 규모를 고려하면 대상자는 1100만 명 규모로 점쳐진다.

스마트워치 등 세컨드디바이스와 알뜰폰(MVNO) 이용자도 포함된다. 이후 신규 가입자나 번호이동 고객은 변경된 체계가 적용된 유심을 받게 된다.

LG유플러스는 향후 매장 방문 예약 시스템과 원격 유심 재설정 기능을 통해 고객 불편을 최소화한다는 계획이다.

이재원 LG유플러스 컨슈머부문장 부사장은 "이번 보안체계 강화는 고객들이 보다 안전하게 이동통신 서비스를 이용할 수 있도록 하기 위한 조치"라며 "적용 과정에서 불편을 최소화할 수 있도록 준비하겠다"고 말했다.

minju@news1.kr