LGU+ 가입자번호 그대로 노출…최민희, ‘통신이용자식별정보 보호법’ 추진

ⓒ최민희 의원실

국회 과학기술정보방송통신위원회 최민희 위원장은 17일 가입자식별번호(IMSI)에 고객 전화번호가 그대로 연동되는 문제를 방지하기 위해 '전기통신사업법 개정안'(통신이용자식별정보 보호법)을 발의하겠다고 밝혔다.

이통 3사는 3GPP(3rd Generation Partnership Project) 기준에 따라 국가코드(MCC, 3자리 )+사업자코드(MNC, 2자리 )+가입자식별번호 (MSIN, 10자리)로 구성된 IMSI 체계를 사용하고 있다 .

최민희 의원실이 이통 3사로부터 제출받은 자료에 따르면 SKT 는 IMSI 값에 랜덤 수열을 부여하는 방식으로 난수를 도입하고 있으며, KT는 유심 제조사가 랜덤으로 부여하는 일련번호를 활용하고 있다.

이와 달리 LGU+는 고객의 휴대전화 번호를 그대로 IMSI 값에 반영해 운영하고 있는 것으로 나타났다. 이는 지난 1월 한 화이트해커의 제보 이후 확인된 사항이라는 설명이다.

이에 LGU+는 4월 13일부터 번호이동을 하거나 신규로 가입하는 고객들의 경우 변경된 체계가 새로운 유심에 자동 적용되도록 조치하기로 했다.

기존 이용 중인 고객 대상으로도 유심 재설정을 통해 보안을 한층 더 강화하면서 추가로 유심교체를 원하는 고객에게는 무상으로 교체를 진행하겠다고 밝혔다.

또 올해 11월까지 원격 재설정을 통해 모든 고객의 IMSI 값 난수화 도입을 마무리하도록 기술적 조치를 마무리 하겠다는 계획이다.

최민희 의원은 동일 사태가 발생하지 않도록 ‘통신이용자식별정보 보호법’을 발의할 예정이다. 해당 법안은 현재 과기부가 관리하는 ‘전기통신번호자원 관리계획’ 에 IMSI 같은 식별체계 및 운영에 관한 사항을 포함하도록 하고, 전기통신번호 부여 및 관리 과정에서 고객의 개인정보를 유추할 수 없도록 해 이용자 보호를 강화하는 것이 골자다.

이를 통해 IMSI 뿐 아니라 향후 다양한 통신 식별번호 체계에서도 이용자 개인정보 보호 수준이 강화될 것으로 기대하고 있다.

최민희 위원장은 “민감한 고객정보가 가입자식별번호에 단순 값으로 연동된 이번 LGU+ 사례는 3GPP 등 국제기준이나 법률을 위반한 것은 아니지만 해커에게 공격의 빌미를 제공할 수 있는 보안체계의 허점이 분명하다”며 “천만명 넘는 이용자의 IMSI 값이 그대로 노출됨에 따라 어떤 일이 벌어질지 예상할 수 없고 특히 전화번호 사실상 알려진 공인이나 유명인의 경우 악성 공격의 타겟이 될 가능성을 배제할 수 없다” 고 지적했다.

이어 “ 재발방지를 위해 준비한 이번 ‘ 통신이용자식별정보 보호법 ’ 을 조속히 발의해 통과시킬 것” 이라며 “LGU+는 최대한 빨리 고객들의 불안을 해소할 수 있는 조치를 서둘러야 하고 과기정통부 역시 피해가 발생하지 않도록 상황을 철저하게 관리해야 할 것”이라고 덧붙였다.