[이데일리 윤정훈 기자]국회 과학기술정보방송통신위원회 24일 전체회의에서 야당 의원들이 LG유플러스(032640)의 가입자식별번호(IMSI) 노출 사태를 집중 질타하며 신규 가입 중단 등 강도 높은 조치를 촉구했다.

이에 대해 배경훈 부총리 겸 과학기술정보통신부 장관은 “법률적으로 문제가 있는 것은 아니다”라면서도 “철저히 대응하겠다”고 밝혔다.

이날 이해민 조국혁신당 의원은 “휴대폰에서 기지국으로 전송되는 가입자 식별정보는 암호화가 되지 않아 난수화·랜덤화가 필수인데, LG유플러스는 이를 전화번호로 그대로 사용해왔다”며 문제의 심각성을 지적했다.

특히 그는 “IMSI 값 표준이 마련된 2004년과 LTE 도입 시기, 두 차례 업데이트 기회가 있었음에도 이를 외면했다”며 “의도적으로 인지하고도 무시한 것 아니냐”고 의혹을 제기했다.

김장겸 국민의힘 의원도 “LGU+가 2G 시절 규격을 유지하면서 전화번호만으로 가입자 식별번호를 유추할 수 있게 된 것은 명백한 보안 무감각”이라며 “1100만 명의 정보가 노출될 위기인데도 법률적 문제가 없다는 식으로 대응하는 것은 주무 부처의 직무 유기”라고 강하게 비판했다.

그는 또 “배경훈 부총리가 LG 출신이라 소극적으로 대응한다는 의혹까지 나오고 있다”며 부총리가 직접 나서 국민 불안을 해소할 것을 촉구했다.

두 의원 모두 신규 가입자가 또 다시 유심을 교체해야 하는 불편함을 지적하며, 4월 13일 이전까지 LGU+의 한시적 신규 가입 중단을 검토해줄 것을 정부에 요청했다. 이 의원은 신규 가입 중단 외에도 IMSI 값 변경 이후 제3자 검증, ISMS(정보보호 관리체계) 인증 강화 반영 등을 요청했다.

정부는 침해사고가 일어나지 않았기 때문에 신규 가입 중단이 아닌 LGU+에 고객 보호 조치를 요청하는 방식으로 대응하겠다는 방침을 전했다.

배경훈 부총리 겸 과학기술정보통신부 장관은 “난수 방식에 비해 번호가 직접 들어갔다는 게 보안 수준이 낮을 수는 있지만 법률적으로 문제는 아니다”라면서 “저희도 문제를 인식하고, LGU+도 4월 13일부터 유심(USIM) 교체 등 추가 대응을 하기로 했다”고 답했다.

IMSI 노출로 인한 2차 피해 가능성에 대해서는 “위치 추적을 위해서는 IMSI-캐처 장비 등 여러 조건이 수반돼야 해 현저히 낮다”고 밝혔다.

최민희 위원장은 “(LGU+는) 4월 13일부터 번호이동 또는 신규 가입 고객의 경우 변경된 체계가 새 유심에 자동 적용된다고 대책을 세우겠다고 한다”며 “4월 13일인 것은 기술적인 시간이 필요했기 때문으로 확인했다”고 정부 주장에 힘을 보탰다.

또 “전기통신번호자원관리계획에서 식별체계 운영에 관한 사항이 빠져 있었는데, 이를 포함하는 법안을 이미 발의했다”며 “화이트해커로부터 이 사안을 제보를 받았는데, 조치를 취하지 않은 상태에서는 더 혼란을 야기할 수 있어서 법안을 발의하고 대책 마련을 했다”고 관련 사안을 1월에 제보 받았지만 공개하지 않은 이유에 대해서 밝혔다.

LGU+는 이번 사태로 인해 2000만개에 육박한 유심 교체가 필요할 전망이다. 1100만명 가입자에 세컨드 디바이스 150만대, 알뜰폰 약 500만대 회선까지 포함될 수 있기 때문이다. 다만 유심 확보 물량과 교체 일정, 유통망 운영계획 등은 구체적으로 밝히지 않은 상태다.

한편 홍범식 LG유플러스 대표이사는 이날 서울 용산사옥에서 열린 제30기 정기 주주총회 직후 기자들이 “IMSI 논란과 관련해 신규 가입 중단을 검토하느냐”는 질문에 아무런 답변 없이 자리를 떠났다.