LG유플러스(032640)가 가입자 식별번호(IMSI)를 생성하는 과정에서 휴대전화 번호를 일부 반영해 온 것으로 확인되면서 보안 우려가 제기됐다.

논란이 되자 LG유플러스는 4월 13일부터 유심 무상 교체를 실시하겠다며 가입자 보안 체계 강화를 약속했다. 전문가들은 보안 강화를 위해 설계 개선 필요성에는 공감하면서도 실제 핸드폰 복제 등 직접적인 공격·피해로 이어질 가능성은 작다고 평가했다.

가입자 식별번호에 전화번호 반영…보안 우려 제기
18일 업계에 따르면 LG유플러스는 4세대 이동통신(LTE) 도입 초기인 2011년부터 현재까지 IMSI를 부여할 때 가입자의 전화번호를 조합하는 방식을 사용해 온 것으로 파악됐다.

IMSI는 이동통신 가입자 식별을 위해 유심(USIM)에 부여되는 고유번호다. 단말이 네트워크에 접속할 때 이용되며 통신망에서 이용자를 식별하는 데 활용된다. 쉽게 말해 인터넷 서비스의 로그인 ID와 같은 개념이다.

통상적으로는 이 번호가 포착되더라도 개인이나 전화번호를 특정할 수 없게 난수값으로 설계된다. 실제 SK텔레콤(017670)은 ISMI를 가입자 전화번호와 연동되지 않는 독립적인 랜덤 값으로 부여·관리 중이다.

그런데 LG유플러스는 2011년부터 1100만 명의 가입자 IMSI 값에 고객의 실제 휴대전화 번호를 일부 반영하는 식으로 설계했다. 이 경우 A 씨의 휴대전화 번호를 알고 있는 제3자가 IMSI 값을 포착하면 해당 이용자가 특정 시점에 특정 기지국 범위 내에 있었는지를 식별할 수 있다.

LG유플러스는 해당 IMSI 체계가 국제 표준을 벗어난 것은 아니라는 입장이다. 실제 국제 이동통신 표준에서는 IMSI를 난수 형태로 구성하는 것을 강제 규정이 아닌 권고하고 있다.

LG유플러스 관계자는 "3G 이전에는 유심이 없어 휴대전화 번호로 가입자를 식별해 왔고 이후 유심 체계가 도입된 이후에도 국제 표준에서 난수화를 의무화하지 않아 기존 방식을 유지해 온 것"이라며 "당시에는 해당 구조가 문제로 인식되지 않았다"고 설명했다.

"위치 식별 가능해" vs "핸드폰 복제 등 공격 위험은 낮아"
전문가들은 LG유플러스의 IMSI 설계가 개인정보 보호 측면에서 바람직하지 않다는 데는 공감하면서도 실제 위험 수준을 두고는 엇갈린 평가를 내놨다.

LG유플러스는 IMSI 설계 구조 결함만으로 해킹이나 유심 복제 등 직접적인 피해로 이어지기는 어렵다고 주장하고 있다. 이들은 IMSI는 가입자 식별을 위한 값일 뿐 실제 통신 이용에는 별도의 인증 정보가 필요하며 이를 활용해 이용자를 추적하려면 별도의 장비(IMSI 캐처, 가짜기지국)를 설치해야 한다고 설명한다.

그러나 김용대 카이스트 정보보호대학원 교수는 "이동통신 구조상 단말이 최초로 네트워크에 접속할 때(전원을 켤 때) IMSI는 암호화되지 않은 상태로 무선 구간에 노출된다"며 "그렇기에 IMSI는 난수로 설계해야 하는 것인데 이 값에 전화번호 정보가 포함돼 있다면 특정 이용자가 특정 기지국 범위 내에 있었는지 식별될 수 있다"고 설명했다.

IMSI 캐처 등 별도 장비를 전국적으로 구비해야 식별이 가능하다는 LG유플러스 측의 주장에 대해서는 "IMSI를 수집하는 기술 자체는 이미 널리 알려져 있고 오픈소스로도 구현이 가능하다"며 "특정 장비를 전국 단위로 구축해야만 가능한 수준으로 보는 것은 과장된 측면이 있다"고 반박했다.

다른 전문가는 설계 결함을 이용해 이용자 ID 격인 IMSI를 알아내더라도 이를 가지고 핸드폰 복제 등 피해로 이어질 가능성이 작다고 분석했다.

김승주 고려대 정보보호대학원 교수는 "IMSI는 로그인할 때 ID 같은 개념이라 ID를 안다고 해서 비밀번호까지 아는 건 아니지 않느냐. 유심 복제나 통화·문자 탈취로 이어질 수 있는 상황은 아니다"며 "IMSI를 이용한 위치 파악도 특정 장비가 설치된 주변을 지나갔는지 확인하는 수준"이라고 설명했다.

염흥열 순천향대 정보보호학과 교수는 "현재 구조에서는 IMSI 정보만으로 유심 복제나 단말기 복제가 이뤄지기는 매우 어렵다"며 "실제 공격이 가능해지려면 인증키(Ki)와 같은 추가 정보가 필요하다. 또 5G에서는 IMSI를 암호화한 SUCI 형태로 전송하기 때문에 위치 추적이 어렵다"고 했다.


위험 수준 낮지만…"유심 교체 받는 게 바람직"
다만 유심 교체나 IMSI 변경 등 보안 조치는 필요에 따라 선택적으로 진행하는 것이 바람직하다고 조언했다.

염 교수는 "위험 수준이 높다고 보기는 어렵지만 다른 공격과 결합할 가능성을 고려하면 유심 교체나 IMSI 변경 서비스를 받는 것이 바람직하다"며 "다소 불편하더라도 대리점 등을 방문해 교체나 재설정을 진행하는 것을 권고한다"고 했다.

LG유플러스는 보안 수준을 한층 강화하기 위해 4월 13일부터 전 고객을 대상으로 유심(USIM) 무상 교체 및 재설정을 순차적으로 진행할 계획이다.

LG유플러스는 5세대 이동통신 단독모드(SA) 환경에서 IMSI를 암호화하는 기술인 SUCI(Subscriber Concealed Identifier)를 적용한다. SUCI는 IMSI를 그대로 노출하지 않고 암호화된 값으로 변환해 전달하는 방식이다.

IMSI 체계도 개편한다. 가입자 식별 영역에 난수를 적용한 새로운 구조를 도입해 예측 가능성을 낮추고 보안성을 강화할 방침이다. 변경된 IMSI는 유심 교체 또는 재설정 시 자동으로 적용된다.

이재원 LG유플러스 컨슈머부문장 부사장은 "이번 보안체계 강화는 고객들이 보다 안전하게 이동통신 서비스를 이용할 수 있도록 하기 위한 조치"라며 "적용 과정에서 불편을 최소화할 수 있도록 준비하겠다"고 말했다.

한편 과학기술정보통신부는 "LG유플러스에 IMSI값이 쉽게 유추되지 않도록 해당사안을 신속하게 해결하도록 촉구했다"며 "사안이 해결될 때까지 이용자에게 불편이 발생하지 않도록 세심하게 살펴보겠다"고 말했다.

minju@news1.kr