LG유플러스가 가입자식별번호(IMSI) 논란 이후 보안 체계 전면 개편에 나섰지만 유심(USIM) 교체 조치가 즉각적으로 이뤄지지 않는 배경에 관심이 쏠린다. 회사 측은 유심 교체 및 난수화 체계 구축에 시간이 필요하다는 입장이다.
21일 업계에 따르면 LG유플러스는 4월 13일부터 전 고객을 대상으로 유심 무상 교체와 재설정을 진행한다. 최근 IMSI에 휴대전화 번호를 일부 반영한 것이 논란이 되면서 이를 개선하기 위한 조치를 내놓은 것이다. 해당 시점 이후 번호이동을 하거나 신규로 가입하는 고객에게는 변경된 체계가 자동 적용된다.
IMSI는 이동통신 가입자 식별을 위해 유심에 부여되는 고유번호다. 단말이 네트워크에 접속할 때 이용되며 통신망에서 이용자를 식별하는 데 활용된다. LG유플러스는 4세대 이동통신(LTE) 도입 초기인 2011년부터 현재까지 IMSI를 부여할 때 가입자의 전화번호를 조합하는 방식을 사용했다. SK텔레콤과 KT가 외부에서 식별하기 어렵게 난수화한 것과 대비된다.
LG유플러스는 “기존 IMSI 체계는 국제 표준에 부합하며 고객을 인증할 때 암호화된 키 값 등을 추가로 확인하기 때문에 보안사고로 이어질 가능성은 매우 낮다”는 입장이다. 다만 5세대 이동통신(5G) 단독모드(SA) 환경에서는 IMSI를 암호화하는 기술인 SUCI(Subscriber Concealed Identifier)를 적용하겠다고 밝혔다.
문제는 적용 시점이다. IMSI 논란으로 보안에 대한 국민 불안감이 높아졌지만 시스템 전환 및 유심 교체는 4월 13일부터 이뤄진다. 이전까지 LG유플러스에 신규 가입할 경우 여전히 기존 IMSI 체계가 적용된다.
이에 공백 기간 리스크에 대한 우려도 나온다. 한석현 서울YMCA 실장은 최근 국회에서 진행된 ‘해킹 은폐 제로: 고의적 해킹 은폐 구조 개선 토론회’에서 “4월 13일 전까지 신규 가입자는 보안이 취약한 유심을 그대로 발급받을 수밖에 없다”며 “(난수화 전까지) 신규 가입을 중단할 필요가 있다”고 지적했다.
LG유플러스는 “지난해 6월 문제를 인지한 이후 IMSI 체계 개편을 위한 시스템 설계와 개발, 상용 검증을 진행해 왔다”며 “난수화 체계를 전 네트워크에 적용하는 것은 시스템 전반을 바꾸는 작업이라 시간이 소요된다”고 설명했다. 개선 작업을 마무리하고 새로운 시스템을 도입할 수 있는 가장 빠른 시일이 4월 13일이라는 것이다.
황석진 동국대 국제정보보호대학원 교수는 “IMSI 난수화가 강제 규정은 아니지만 노출될 경우 다른 개인정보와 결합하면 문제가 커질 수 있다”며 “최대한 빠르게 조치를 취하려면 유심 물량을 충분히 확보해야 한다”고 말했다.
