[뉴스토마토 이지은 기자] LG유플러스(032640)의 가입자식별번호(IMSI)에 전화번호가 반영된 구조를 둘러싼 논란이 확산되는 가운데, 시민단체를 중심으로 신규 가입자 모집을 중단해야 한다는 주장까지 제기됐습니다.

 

한석현 서울YMCA 시민중계실장은 19일 국회의원회관에서 열린 '해킹 은폐 제로: 고의적 해킹 은폐 구조 개선 토론회'에서 "LG유플러스는 2G 시절부터 LTE, 5G까지 IMSI에 전화번호를 반영해 왔다"며 "문제 있는 구조를 인정하고도 4월13일까지 기존 유심을 계속 발급할 것이 아니라 신규 가입을 중단할 필요가 있다"고 말했습니다. 선제 대응 차원에서 기존 유심을 통한 신규 가입을 막을 필요가 있다는 의미입니다.

 

IMSI는 국가코드와 사업자코드, 가입자식별번호로 구성되는 이동통신 가입자 고유 식별값입니다. 일반적으로 외부에서 유추하기 어려운 난수 기반으로 설계됩니다. 다만 국회 과학기술정보방송통신위원회 최민희 위원장실에 따르면 SK텔레콤(017670)과 KT(030200)는 각각 난수 기반 또는 제조사 일련번호 방식으로 IMSI를 운영하는 반면, LG유플러스는 가입자의 휴대전화 번호를 IMSI에 반영해온 것으로 확인됐습니다.

 

이 같은 구조에서는 전화번호만으로 IMSI를 추정할 수 있어 보안 취약성이 제기됩니다. IMSI 노출만으로 직접적인 피해 가능성은 제한적이지만, 위치 추적이나 표적형 공격 등 2차 피해로 이어질 가능성은 배제할 수 없습니다.

 

LG유플러스는 기존 IMSI 체계가 국제 표준에 부합해 안전하게 운영돼 왔다면서도, 보안 우려를 고려해 대응에 나섰습니다. 회사는 오는 4월13일부터 전 고객을 대상으로 유심 무상 교체와 재설정을 진행하고 IMSI 체계를 난수 기반으로 전환할 계획입니다. 올해 11월까지 원격 재설정을 통해 전체 가입자 적용을 완료한다는 방침입니다. 올해 상용화 예정인 5G 단독모드(SA)에서는 IMSI를 암호화해 전달하는 SUCI(Subscriber Concealed Identifier)를 100% 적용할 계획입니다. 

 

시민단체는 이번 사안을 보상 문제로도 확대하고 있습니다. 과학기술정보통신부 무선통계에 따르면 LG유플러스의 지난해 말 기준 휴대폰 가입자는 1120만9164명, LG유플러스 망을 사용하는 알뜰폰 가입자는 459만6768명에 달합니다. 

 

한석현 실장은 "통신사가 안전한 서비스를 제공하지 못했다면 이용자가 매달 내는 요금을 감면하는 방식의 실질적 보상이 필요하다"며 "마케팅 비용을 활용한 보상이 아니라 직접적인 요금 인하가 이뤄져야 한다"고 강조했습니다. 소비자주권시민회의도 "전 가입자를 대상으로 피해 위험과 대응 방안을 포함한 문자 고지를 즉시 실시하고, 유심 교체 이전 해지 고객에 대해서는 선제적 위약금 면제 등 실질적인 보호 조치가 필요하다"고 주장했습니다.

 

 

다만 위약금 면제나 신규 영업 중단과 같은 조치가 실제 행정 제재로 이어질 가능성은 높지 않다는 관측이 나옵니다. 

 

과기정통부는 신중하게 살펴본다는 입장입니다. 정부 관계자는 "IMSI에 전화번호가 반영된 구조만으로 곧바로 위치 추적이나 개인정보 유출로 이어지는 것은 아니지만, 극단적 사례까지 배제할 수 없다는 점을 알고 있다"며 "정부로서도 해결하려고 노력하고 있다"고 말했습니다. 

 

앞서 SK텔레콤과 KT 사례에서도 제재는 이용자 보호 관점에서 제한적으로 이뤄졌습니다. 당시 류제명 과기정통부 제2차관은 "SK텔레콤은 유심 공급이 부족한 상황에서 신규 가입을 병행한 점이 확인돼 행정 조치가 이뤄진 것"이라며 "징벌적 조치라기보다 이용자 보호를 위한 조치였다"고 밝혔습니다. 양사의 위약금 면제에 대해서는 "통신사가 안전한 서비스 환경을 제공하지 못한 경우 위약금 면제 등 조치가 가능하다"고 덧붙였습니다.

  

이지은 기자 jieunee@etomato.com