LG유플러스가 다음달 13일부터 가입자 약 1120만 명 전체를 대상으로 유심(USIM)을 무상 교체해주기로 했다. 지난해부터 외부 기관 등과 조사한 결과 가입자식별번호(IMSI)에서 개인 전화번호 일부가 노출될 위험이 있다고 판단한 데 따른 조치다.
LG유플러스는 17일 이 같은 내용의 가입자 보안 체계 강화안을 발표했다. IMSI는 통신망에서 가입자를 식별하기 위해 사용하는 일종의 ‘아이디’로 전화번호 같은 개인정보가 반영됐을 경우 노출 시 가입자가 특정될 수 있고, 휴대폰고유식별번호(IMEI) 등과 함께 유출되면 피해가 더 커질 우려가 있다. IMSI를 난수화해 부여한 KT, SK텔레콤과 달리 LG유플러스는 전화번호 조합 방식을 사용하고 있다.
LG유플 가입자, 내달 13일부터 유심 교체
고객 전화번호로 IMSI 발급 허점…특정인 위치 추적 악용될 가능성
LG유플러스 가입자들이 전화번호가 노출될 우려가 있는 유심(USIM)을 쓰고 있는 건 국내 통신망 구축 과정과 관련이 있다. 유심은 3세대(3G) 이동통신부터 휴대폰에서 분리돼 따로 장착됐다. SK텔레콤과 KT는 2G→3G→LTE로 단계별로 전환하는 과정에서 유심 보안을 정비할 수 있었다. 반면 LG유플러스는 ‘2G→LTE’로 바로 건너뛰어 전화번호 중심의 기계식 유심 체제를 유지했다. LG유플러스 가입자들이 가입자 식별번호(IMSI)에 전화번호가 노출될 우려를 안게 된 이유다.고객 전화번호로 IMSI 발급 허점…특정인 위치 추적 악용될 가능성
LG유플러스 가입자의 스마트폰이 당장 해킹이나 개인정보 유출로 이어진 것은 아니다. 다만 전화번호 방식의 IMSI가 특정인을 대상으로 악용될 경우 위치나 동선 추적 등 부작용이 발생할 가능성이 있다. 한 보안 전문가는 “단말기 고유식별번호(IMEI), 인증키 등이 함께 유출되면 복제폰 등 해킹 피해로 이어질 수 있다”고 말했다.
LG유플러스도 지난해 SK텔레콤 정보 유출 사고 이후 이 같은 문제를 인식하고 자체 조사를 벌였다. 과학기술정보통신부, 한국인터넷진흥원(KISA), 국회 과학기술정보방송통신위원회에도 지난해 이 같은 내용을 보고했다. 회사 관계자는 “국제 표준에 맞춰 안전하게 운영해왔지만 미진한 점이 있어 개선책을 내놓은 것”이라며 “해킹이나 정보 유출 등에 따라 유심을 교체한다고 발표한 건 아니다”고 강조했다.
LG유플러스는 보안 강화를 위해 다음달 13일부터 가입자가 원하면 유심을 무상으로 교체해주기로 했다. 대상은 1120만 명에 달하는 전체 가입자다. LG유플러스 망을 이용하는 알뜰폰 가입자를 합치면 대상은 더 많아진다. LG유플러스 망은 알뜰폰 사업자가 가장 많이 사용한다. 비용 부담도 적지 않을 전망이다. 1120만 명이 유심을 교체할 경우 산술적으로 800억~900억원의 비용이 든다.
여기에 수백만 명의 고객이 매장을 방문해야 하는 만큼 긴 대기 시간과 혼잡 등 고객 불편이 작지 않을 것으로 예상된다. LG유플러스는 고객 불편을 줄이기 위해 교체 기한을 따로 두지 않기로 했다. 유심을 교체하지 않은 가입자에겐 11월까지 유심 교체 없이도 소프트웨어 업데이트를 통해 IMSI를 난수로 바꿀 수 있는 기술을 개발해 적용한다는 계획이다. 이재원 LG유플러스 컨슈머부문장(부사장)은 “적용 과정에서 가입자의 불편함을 최소화할 수 있도록 준비하겠다”고 말했다.
이영애/박한신 기자 0ae@hankyung.com