LG유플러스가 휴대폰의 주민등록번호 격인 'IMSI'(가입자식별번호)에 무작위로 추출된 난수 대신 전화번호를 활용한 것으로 드러나 보안 우려가 커진다. 특히 이같은 체계를 약 25년간 유지하다 지난해 뒤늦게 개선에 나섰다는 점에서 비판의 목소리가 높다. 이를 계기로 이통3사의 노후 시스템을 재점검해야 한다는 지적도 나온다.
19일 이해민 조국혁신당 의원이 주최한 '해킹 은폐 제로: 고의적 해킹 은폐 구조 개선 토론회'에서 보안전문가 김상윤 씨는 "어디서 해킹이 발생했는지보다 해당 취약점이 '언제' 발생했는지를 짚는 것이 더 중요하다"며 "문제가 발생해도 근본적인 시스템 개선으로 이어지지 않으면서 다수의 취약점이 그대로 방치됐다"고 지적했다. 이어 "시스템 전반을 점검하는 차원의 정책적 지원이 필요하다"고 강조했다.
LGU+가 2000년대 초반 2G 시절 쓰던 IMSI 체계를 지금까지 사용한 것을 겨냥한 발언이다. 다른 보안 전문가도 "LGU+의 IMSI 체계는 통신업계에선 다 알고 있던 대표적인 레거시"라며 "5G에선 IMSI를 암호화된 형태로 전달하는 SUCI 기반 식별체계가 표준화돼 있어, 5G SA(단독모드) 전환시 LGU+의 IMSI 체계 허점도 자연스럽게 해소된다. 그러다 보니 조치가 늦어진 것으로 풀이된다"고 말했다.
LGU+는 오는 4월13일부터 IMSI에 난수를 적용하기로 했다. 새롭게 바뀐 IMSI 체계를 적용하기 위해 알뜰폰을 포함해 전 가입자 대상 유심 교체·재설정을 진행한다. 향후에는 이용자가 별도의 조처를 하지 않아도 OTA(무선통신 자동 업데이트) 방식의 원격 재설정도 진행할 예정이다. 다만 대규모 OTA 진행시 네트워크 중간에 오류가 발생해 '벽돌폰'이 대거 발생할 우려도 제기된다.
시민사회계에선 유심 교체가 시작될 때까지 LGU+의 신규가입을 중단해야 한다고 촉구한다. 한석현 서울YMCA 실장은 이날 토론회에서 "4월13일까지 신규가입자는 보안이 취약한 유심을 그대로 발급받아야 한다"며 이같이 주장했다. 앞서 과기정통부는 SK텔레콤 해킹 당시 유심 교체 물량을 확보하기 위해 '신규가입 정지' 행정지도를 내린 바 있다.
이에 대해 과기정통부는 LGU+가 해킹된 건 아닌 만큼 적극적인 행정지도를 내리는 건 적절하지 않다고 판단하는 것으로 보인다. 과기정통부 관계자는 "LG유플러스가 이 사안을 신속히 해결하도록 촉구했다"며 "LG유플러스의 세부 대책을 살펴보고 이용자 불편이 발생하지 않도록 챙길 예정"이라고 말했다.