[서울=뉴스핌] 송은정 기자 = LG유플러스가 전화번호 기반으로 가입자식별번호(IMSI)를 구성해 온 사실이 알려지면서 보안 논란이 불거졌다. 전화번호만으로 IMSI를 유추할 수 있는 구조에서는 식별번호 노출 위험이 커질 수 있다는 지적이다.

31일 업계에 따르면 LG유플러스는 이동통신 3사 가운데 유일하게 IMSI를 전화번호 조합 형태로 구성해 왔다. IMSI는 유심에 저장되는 15자리 고유 식별번호로, 통신망에서 가입자를 식별하는 핵심 정보다.

문제는 이 구조가 외부에 노출된 전화번호와 결합될 경우 IMSI 추정 가능성을 키울 수 있다는 점이다. SK텔레콤은 IMSI를 난수화해 사용하고, KT는 무작위 번호를 부여하는 방식이다. 반면 LG유플러스는 전화번호 기반 체계를 유지하면서 설계 방식에서 차이가 발생했다.

이 경우 해커가 특정 이용자의 전화번호를 알고 있다면 IMSI를 유추할 가능성이 제기된다. IMSI가 노출될 경우 복제폰 생성, 위치 추적, 통신 감청 등 보안 사고로 이어질 수 있다는 우려도 나온다. 다만 이러한 시나리오는 기술적 가능성에 기반한 것으로, 실제 공격으로 이어지기 위해서는 불법 기지국 장비 등 추가 조건이 필요하다는 분석도 있다.

이 같은 설계는 과거 통신망 구축 과정에서 비롯된 것으로 풀이된다. LG유플러스는 3G 도입 초기 경쟁사와 다른 동기식(CDMA2000) 기반 사업을 선택했고, 이후에도 해당 구조를 일정 부분 유지해 왔다. 이 과정에서 가입자 식별 체계 역시 기존 방식을 연속적으로 활용한 것으로 보인다.

반면 SK텔레콤과 KT는 비동기식(WCDMA) 기반으로 이동통신망을 구축하며 유심 중심 구조를 도입했고, 이후 보안 강화를 위해 IMSI 난수화 체계를 적용해 왔다. 통신망 진화 과정에서의 구조적 차이가 현재 설계 방식의 차이로 이어졌다는 분석이다.

LG유플러스는 IMSI 체계가 국제 표준을 준수하고 있으며 특정 방식이 본질적으로 더 취약한 것은 아니라는 입장이다. 회사 측은 "기존 시스템을 연속적으로 활용하는 과정에서 현재 구조가 유지된 것"이라며 "위치 추적 등은 불법 기지국 장비를 활용해야 가능한 수준으로 현실적인 발생 가능성은 낮다"고 설명했다.

다만 LG유플러스도 보안 우려를 반영해 IMSI 체계 개편에 나섰다. 핵심은 기존 구조를 유지하면서도 난수화·암호화 기반으로 전환하는 것이다.

우선 4월 13일부터 전 고객을 대상으로 유심 업데이트와 교체를 순차적으로 진행한다. 다음달 8일부터는 예약 사이트를 운영해 교체 절차를 지원한다.

중장기적으로는 5G 단독모드(SA) 환경에서 IMSI 암호화 기술(SUCI) 적용을 확대한다. SUCI는 IMSI를 암호화해 전송하는 방식으로 외부 노출 가능성을 줄이는 기술이다.

또 올해 11월에는 유심 교체 없이 소프트웨어 업데이트만으로 IMSI를 난수화하는 기술을 적용할 계획이다. 기존 가입자도 별도 장비 변경 없이 보안 수준을 끌어올릴 수 있다는 설명이다.

LG유플러스 관계자는 "내부 보안 점검 조직과 외부 전문기관을 통해 지속적으로 시스템을 점검하고 있다"며 "IMSI 체계 개선을 포함해 보안 강화를 위한 조치를 단계적으로 확대할 계획"이라고 말했다.

yuniya@newspim.com