[이데일리 김현아 기자] LG유플러스(032640)가 난수여야 할 번호가 가입자 전화번호와 연동돼 취약하다는 지적을 받아온 가입자식별번호(IMSI) 체계 전환을 위해 8월까지 유심 1370만장을 확보하고, 연내 전환 작업을 마무리하겠다고 국회에 보고했다.

유심 교체뿐 아니라 기존 유심 재설정과 원격 업데이트까지 병행해 가입자 불편을 최소화하겠다는 계획이다. 회사 측은 “과기정통부에 제출할 최종안은 아니며 매일 테스트를 진행하면서 계획을 보완하고 있다”고 밝혔다.

◇취약점 보완과 5G SA 전환 준비 맞물려

26일 국회에 따르면 LG유플러스는 이런 내용을 담은 5쪽 분량의 ‘IMSI 체계 가입자 전환 계획’을 제출했다. 회사는 유심 교체가 시작되는 4월 13일 기준 380만장의 유심을 확보하고, 8월까지 총 1370만장으로 물량을 늘릴 계획이다.

LG유플러스는 전체 가입자 가운데 반드시 교체가 필요한 가입자를 440만명으로 추산했다. 구형 유심을 사용해 업데이트만으로는 새로운 IMSI 체계 적용이 어려운 이용자들이다. 회사는 기간통신 가입자(MNO) 230만명, 알뜰폰 가입자(MVNO) 210만명가량을 새 유심 교체가 필요한 대상으로 보고 있다. 다만 내부 테스트가 진행 중인 만큼 세부 수치는 일부 조정될 가능성이 있다.

회사는 나머지 가입자에 대해서는 매장 방문을 통한 유심 재설정이나 이심(eSIM) 업데이트만으로 대응할 수 있도록 설계했고, 고객이 원할 경우 신규 유심 교체도 제공하겠다는 입장이다.

이번 조치는 5G SA(단독모드) 전환 과정에서 원격 업데이트가 어려운 구형 유심 가입자에 대한 대응인 동시에, 전화번호와 연동된 IMSI 체계의 취약성을 보완하기 위한 조치로 해석된다.

LG유플러스의 기존 IMSI 체계는 다른 통신사들과 달리 난수 기반이 아니라 전화번호와 연동돼 있어, 가입자 식별 가능성이 높다는 지적을 받아왔다. 위험성이 높진 않지만 IMSI 캡차 장비를 이용하면 정치인, 연예인 등 특정인에 대한 위치 추적이 가능하다는 의미다.


◇전 고객 무상 교체…대리점 재설정 병행

전환 작업은 4월 13일부터 본격 시작된다. LG유플러스는 자사 이동전화 서비스 이용자 전원을 대상으로 직영점과 대리점에서 유심·이심 무상 교체 또는 재설정을 진행할 계획이다. 외국인 가입자와 스마트워치 등 세컨드 디바이스, 키즈폰 이용자도 포함된다.

기존 고객은 매장에서 새 유심으로 교체하거나, 기존 유심을 별도 장비로 재설정하는 방식으로 조치받을 수 있다. 4월 13일 이후 번호이동이나 신규 가입 고객은 변경된 체계가 적용된 새 유심을 받게 된다.

고객 쏠림을 줄이기 위한 예약 시스템도 도입한다. 고객센터 앱과 홈페이지, 고객센터를 통해 매장 방문 예약을 받을 예정이며, 예약 시스템은 4월 8일 개통한다. 유심 교체 외에 5분 안팎으로 가능한 재설정 방식도 병행해 대기 시간을 줄이겠다는 것이다.

LG유플러스는 매장 방문 없이 앱과 고객센터를 통한 원격 업데이트도 단계적으로 확대할 계획이다. 우선 비교적 안정적인 단말과 최신 유심 이용자를 중심으로 적용한 뒤, 모니터링을 거쳐 대상을 넓히는 방식이다.

장기적으로는 원격 업데이트 기능(OTA)을 추가 개발해 최종 잔여 고객에 대해서는 11월부터 순차적으로 일괄 전환하는 방안도 검토하고 있다.

노년층 등 디지털 취약계층은 예약 없이 매장을 방문해도 즉시 처리받을 수 있도록 하고, 전국 356개 복지관과 LG전자 베스트샵 거점을 활용한 지원도 추진한다. 거동이 불편한 고객을 위한 방문 서비스도 검토 중이다. 군 장병은 개별 원격 업데이트와 택배 지원을, 해외 체류·거주자와 출입국자에 대해서는 별도 대응 절차를 마련할 방침이다. 알뜰폰 가입자 역시 유심·이심 업데이트와 무상 교체 대상에 포함된다.

◇보안 업계 “기술적으로 가능한 대책”…설명 방식엔 아쉬움

보안업계는 LG유플러스가 제시한 전환 방식 자체는 기술적으로 가능한 시나리오라고 보고 있다. 대리점에서 기존 유심을 별도 장비로 재설정하는 방식은 구현이 가능하고, 구형 유심은 소프트웨어 업데이트만으로 대응이 어려운 경우가 있어 신규 유심 교체가 불가피하다는 것이다.

보안업계 관계자는 “기존 유심이라도 고객이 매장을 방문하면 전화번호와 연동되지 않은 난수 방식의 IMSI 체계로 바꾸는 것이 가능하다. 아마 서버 단에서 난수화해 뒀을 것”이라며 “다만 오래된 유심은 업데이트 기능이나 버전 한계로 원격 적용이 어려울 수 있어, 이 경우에는 물리적 교체가 필요하다”고 말했다.

LG유플러스가 이번 조치를 5G SA 전환에 따른 SUCI 암호화 적용 측면에서만 국회에 설명하는데 대해서는 “5G SA 준비와 허술한 IMSI 체계에 따른 가입자 프라이버시 이슈가 함께 맞물린 사안으로 볼 수 있어 물타기한 측면도 있다”고 지적했다.

LG유플러스는 이와 관련 국회에 별도로 스미싱 차단과 IMSI 오남용 감시 등 추가 보호 대책도 병행하겠다고 밝혔다.