LGU+가 13일부터 무상 유심교체를 단행한다. 이날 서울 중구 한 매장 전경(사진=윤정훈 기자)
또 전날 온라인 커뮤니티에 따르면 익명의 보안 전문가가 IMSI 캐처(Catcher)를 구성하여 LGU+ 단말의 IMSI 값을 알아내고, 실제 IMSI 값에 활용된 가입자 전화번호 8자리를 확인 후 전화를 거는 영상을 공개했다. 이처럼 전문가들은 전화번호 기반의 IMSI 값이 실시간 위치 추적, 통화 내용 및 문자 메시지 탈취 등에 활용될 수 있음을 잇따라 경고하고 있다.
이에 대해 서울YMCA는 “과기정통부는 LGU+의 행위가 법률적으로 문제가 있는 것은 아니라는 입장”이라며 “IMSI 관리 부실은 정보통신망법 제3조 ‘안전한 서비스를 제공하여 이용자의 권익을 보호해야 할 책무’의 해태로 명백한 법 위반에 해당한다고 볼 수 있다”고 지적했다.
이어 “LGU+ 5G 이용약관 제38조 제4호는 ‘회사의 귀책 사유’로 인해 계약을 해지할 경우 위약금을 면제하도록 규정하고 있다”며 “지난해 과기정통부의 통신사 위약금 면제 법률 검토를 고려하면, IMSI 관리 부실이 약관상 위약금 면제 사유에 해당하는지 여부는 ‘LGU+의 IMSI 체계 관리 부실’, ‘안전한 서비스 제공 위반 여부’를 중심으로 판단해야 한다”고 덧붙였다.
또 “IMSI 값 구성 시 난수를 사용하는 방식은 고도의 기술력을 요하지 않는 간단한 보안 조치에 불과하다”며 “이를 해태함에 따라 발생 가능한 2차 피해와 파급 효과는 가늠하기 어려울 만큼 광범위하다. LGU+는 통신사에게 합리적으로 기대할 수 있는 정도의 보호조치를 다하지 않았으므로 IMSI 체계 관리에 현저한 과실이 존재한다”고 말했다.
LGU+는 IMSI로 인한 보안 위험을 해결하기 위해 지난 13일부터 유심교체를 단행하고 있다.
서울YMCA는 “과기정통부는 LGU+ 전 고객에 대해 충분한 기간 위약금 면제 행정지도를 실시하라”며 “과기정통부와 LGU+는 이용자가 위약금 부담 없이 서비스 해지 여부를 선택하고 보안 위협으로부터 즉각 벗어날 수 있도록 해야 한다”고 요청했다.
이어 “경찰은 관련 서버와 로그, 외주 협력사 기기 등 증거를 최우선으로 확보하고, 증거 인멸 행위에 대해 엄정 수사해야 한다”며 “수사 경과 및 밝혀진 사실을 투명하게 공개하여 합당한 조치를 취해야 한다”고 경찰의 신속한 조사도 촉구했다.
