4월 13일부터 전 고객 대상 유심 무상 교체
 |
| (사진=연합뉴스) |
[알파경제 = 이준현 기자] LG유플러스가 4세대 이동통신(4G) 상용화 이후 15년간 가입자 식별번호(IMSI)에 고객의 실제 전화번호를 반영해온 것으로 나타났다.
이에 따라 LG유플러스는 오는 4월 13일부터 전 고객을 대상으로 유심 무상 교체를 실시하는 등 전면적인 보안 고도화에 나선다.
경쟁사인 SK텔레콤은 IMSI에 랜덤 수열을 부여하는 난수 기반을, KT는 유심 제조사 무작위 일련번호 방식을 택한 것과 대비된다.
LG유플러스는 최근 타사 정보 유출 사태 이후 과학기술정보통신부 및 국회의 지적과 올해 하반기 5G 단독모드(SA) 상용화 일정에 맞춰 이 같은 작업을 결정했다.
◇ 2G부터 이어진 번호 체계…2차 피해 우려 차단
IMSI(국제이동가입자식별정보)는 유심에 저장되는 15자리 고유 식별번호로, 통신망에서 가입자를 구분하는 핵심 ID 역할을 한다.
국가 코드와 이동통신사 식별번호, 가입자 식별번호로 구성되며 단말이 네트워크에 접속할 때마다 인증에 사용된다.
통상 IMSI의 가입자 식별 영역은 외부에서 특정 개인을 추적하기 어렵게 무작위 값으로 구성된다.
그러나 LG유플러스는 2011년 LTE 상용화 당시, 3G(WCDMA) 망을 거치지 않고 2G(CDMA) 망에서 바로 4G로 넘어가는 과정에서 과거의 전화번호 기반 식별 체계를 그대로 계승했다.
보안 업계에서는 IMSI 단독 노출만으로 즉각적인 피해가 발생하기는 어렵지만, IMSI 캐처(가짜 기지국)를 활용한 특정인 위치 추적이나 전화번호와 매칭된 표적형 스미싱 등 2차 피해에 악용될 수 있다고 지적해왔다.
LG유플러스는 "해당 방식은 4G 도입 초기 관련 국제 표준이 명확하지 않던 시기에 2세대 이동통신 때부터 이어진 방식"이라며 국제 표준 위반이 아니라는 입장이다.
보안 업계에서는 표준 강제 규정 여부와 별개로 개인정보를 식별 가능한 형태로 15년간 유지해온 것 자체가 관리 부실이라는 지적이 나온다.
 |
| (사진=연합뉴스) |
◇ "보안사고 가능성 낮지만"…선제적 구조 개편 도입
이상엽 LG유플러스 최고기술책임자(CTO) 전무는 17일 "기존 IMSI 체계는 국제 표준에 따라 안전하게 운영돼 왔으며, 암호화된 키 값을 통한 추가 인증으로 보안사고 가능성은 매우 낮다"고 밝혔다.
이어 "5G SA 환경에서는 IMSI를 암호화해 고객 정보 보호 수준을 더욱 높일 것"이라고 덧붙였다.
이를 위해 LG유플러스는 지난해 6월부터 신규 IMSI 체계 설계와 상용 검증을 진행해왔다. 가입자 코드 영역을 난수화한 새로운 구조를 도입했으며, 이는 4월 13일 이후 유심 교체 시 자동 적용된다.
이재원 LG유플러스 Consumer부문장(부사장)은 "이번 새로운 보안체계 적용은 고객들이 더욱 안전하게 이동통신서비스를 이용할 수 있도록 하기 위해 진행하게 됐다"며 "적용 과정에서 고객의 불편함을 최소화하겠다다"고 말했다.
 |
| 유플러스. (사진=연합뉴스) |
◇ 4월 13일부터 유심 무상 교체…11월엔 매장 방문 없이 전환
LG유플러스는 4월 13일 0시 기준 이동전화 서비스를 이용 중인 전 고객을 대상으로 유심 무상 교체와 재설정을 순차적으로 진행한다.
스마트워치 등 세컨드 디바이스와 키즈폰, LG유플러스 망을 이용하는 알뜰폰(MVNO) 가입자까지 포함하면 교체 대상은 약 1120만명에 달한다.
4월 13일 이후 번호이동이나 신규 가입 고객에게는 변경된 IMSI 체계가 적용된 유심이 자동 발급된다. 교체와 재설정 과정에서 기존 데이터나 서비스 이용에는 영향이 없다.
고객 대기를 줄이기 위한 매장 방문 예약 시스템도 운영할 예정이며, 구체적인 일정은 추후 안내된다.
알뜰폰 고객은 알뜰폰닷컴(uplusmvno.com) 원격 유심 재설정 기능을 이용하거나, 홈플러스 내 알뜰폰플러스 매장을 방문하면 된다.
올해 11월에는 소프트웨어 업데이트를 통해 매장 방문 없이도 IMSI를 난수 기반으로 변경하는 기술도 적용할 계획이다.
5G 단독모드(SA)가 상용화되면 IMSI를 직접 노출하지 않고 암호화된 형태로 전달하는 SUCI(Subscriber Concealed Identifier) 기술도 100% 의무 적용한다.
이번 전면적인 식별 체계 개편과 향후 도입될 첨단 보안 기술을 통해, LG유플러스가 그동안 제기된 보안 우려를 씻어내고 고객 신뢰를 한층 더 굳건히 다질 수 있을지 주목된다.
알파경제 이준현 기자(wtcloud83@alphabiz.co.kr)
