개인정보 유출 사고가 빈발하는 가운데 이동통신사의 ‘국제이동가입자식별번호’(IMSI)에 대한 보안 강화가 추진된다. IMSI는 개별 통신 사용자를 구별하는 고유번호다. 유심(USIM)에 국가번호, 이동통신사 식별번호, 개인식별번호 등을 묶어 15자리로 저장한다. 17일 국회·업계 등에 따르면 회사마다 IMSI를 부여하는 방식은 다르다. SK텔레콤은 난수, KT는 제조사의 무작위 일련번호를 IMSI에 활용해 고객정보 유추를 어렵게 하고 있다. 반면 LG유플러스는 4세대 이동통신(4G) 도입 당시부터 고객 휴대전화 번호를 그대로 부여해 온 것으로 나타났다. LG유플러스측은 4G 도입 당시 국제 표준이 명확하지 않아 2G 시절 사용하던 방식을 그대로 채택했으며 규정 위반은 아니라는 입장이다. IMSI 값 단독 유출이 즉각적인 해킹으로 이어지지는 않지만, 다른 정보와 결합할 경우 복제폰 제작 등 보안 위협으로 이어질 가능성이 있다는 게 전문가들의 지적이다.

LG유플러스는 유심 교체와 소프트웨어 업그레이드 등 시정 대책을 추진키로 했다. LG유플러스는 유심 교체 물량을 확보해 다음 달 13일부터 희망 고객을 대상으로 무상 유심 재설정 또는 교체를 시작하고, 오는 11월 소프트웨어 업데이트를 통해 물리적인 교체 없이도 IMSI를 난수로 변경할 수 있는 기술을 개발해 적용할 방침이다. 대상은 LG유플러스 이동전화 서비스를 이용하는 전 고객이다. 스마트워치 등 세컨드디바이스와 키즈폰, LG유플러스망을 이용하는 알뜰폰 고객도 포함된다. 올해 상용하는 5G 단독모드(SA)에서는 IMSI를 그대로 노출하지 않고 암호화된 형태로 전달하는 기술(SUCI)을 의무 적용할 예정이다.

한편 IMSI 문제를 인지한 과학기술정보통신부와 한국인터넷진흥원(KISA), 국회 과학기술정보방송통신위원회도 LG유플러스와 두 차례 회의를 열고 대책을 논의했다.

국회 과학기술정보방송통신위원회 위원장인 최민희 더불어민주당 의원은 17일 ‘통신이용자식별정보 보호법’을 발의할 예정이라고 밝혔다.

이재걸 기자 claritas@naeil.com