 |
| ▲ (사진=연합뉴스) |
[mdtoday = 유정민 기자] LG유플러스가 최근 전화번호 기반의 국제모바일가입자식별번호(IMSI) 체계를 난수 기반 유심으로 교체하는 보안 강화 조치에 나섰다. 그러나 일각에서는 지난 2023년 발생한 대규모 해킹 사고 당시 해당 구조적 취약성을 바로잡을 기회가 있었음에도 이를 놓쳤다는 비판이 제기되고 있다.
10일 국회 과학기술정보방송통신위원회 소속 김장겸 국민의힘 의원실에 따르면, 2023년 당시 구성된 민관합동조사단은 해킹 사고의 원인과 유출 경로 분석에 집중하느라 IMSI 체계의 보안 결함은 검토하지 못한 것으로 나타났다. 당시 조사에 참여했던 한국인터넷진흥원(KISA) 관계자는 의원실을 통해 “사고 원인과 유출 경로 분석에 주력하느라 IMSI 체계 문제까지는 들여다보지 못했다”고 밝혔다.
LG유플러스는 2023년 1월 해킹으로 가입자 30만 명의 개인정보가 유출되고 디도스 공격으로 인한 접속 장애를 겪은 바 있다. 당시 유출된 정보에는 이름, 전화번호, 생년월일, 주소와 함께 IMSI가 포함되어 있었다. 김장겸 의원실은 유출된 IMSI와 전화번호의 연관성만 분석했더라도 구조적 취약성을 파악하고 개선에 착수할 수 있었을 것이라고 지적했다.
전문가들은 LG유플러스가 사용해온 ‘IMSI_M’ 방식이 전화번호를 기반으로 하는 2G 시절의 규격이라는 점을 문제로 꼽는다. SK텔레콤과 KT는 3G망 도입 당시 국제 표준에 따라 난수 기반의 IMSI 생성 방식을 채택해 보안성을 확보했다. 반면 LG유플러스는 3G망을 거치지 않고 LTE로 전환하는 과정에서 전화번호 일부가 포함된 기존 체계를 유지했다. 이로 인해 IMSI가 암호화되지 않고 전화번호와 연동되면서, 위조 기지국을 통한 가입자 식별 정보 탈취 위험이 상존해왔다는 분석이다.
 |
| ▲ (사진=김장겸 의원 페이스북) |
김장겸 의원실은 LG유플러스가 해당 문제를 지난해 6월에서야 인지하고 대규모 유심 교체를 결정함에 따라 고객 불편과 혼란을 초래했다고 비판했다. 또한, LG유플러스가 그간 ‘국제 표준을 따랐다’는 입장만을 반복하며 책임을 회피해왔다고 지적했다.
김 의원은 “2023년 해킹 사고 당시 유출된 정보가 갖는 구조적 위험성까지 점검했다면 현재의 유심 교체 사태는 막을 수 있었을 것”이라며 “정부 역시 사고 원인 규명을 넘어 정보 설계 단계부터 보안을 내재화하는 방향으로 조사 체계를 개편해야 한다”고 강조했다.
한편, LG유플러스는 이날부터 가입자 식별번호 체계에 난수를 도입하는 보안 강화 조치를 적용하기 위해 연말까지 전 고객을 대상으로 유심 무상 교체 및 업데이트를 실시한다.
메디컬투데이 유정민 기자([email protected])
[저작권자ⓒ 메디컬투데이. 무단전재-재배포 금지]
