'IMSI 캐처' 갖다 대면 번호가 술술, LG유플러스 식별번호 보안 논란 작성일 03-18 36 목록 <div id="layerTranslateNotice" style="display:none;"></div> <strong class="summary_view" data-translation="true">SKT·KT와 달리 유추 가능…LGU+, '난수 시스템·유심 교체' 대책 마련</strong> <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> <section dmcf-sid="233gg6jJZ0"> <figure class="figure_frm origin_fig" contents-hash="53824271d0b7387dc8c1801f48b574ef2df4afa3fb2aad3471ac888dc648747a" dmcf-pid="V00aaPAi13" dmcf-ptype="figure"> <p class="link_figure"><img alt="LG유플러스가 IMSI 식별 과정에서 가입자 휴대폰 번호를 사용해온 사실이 드러나 보안 우려가 커진다. /출처=각 사·최민희 의원실, 그래픽=구글 제미나이" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202603/18/moneyweek/20260318113257491mnsu.jpg" data-org-width="680" dmcf-mid="98eYYrXS5p" dmcf-mtype="image" height="auto" src="https://img2.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202603/18/moneyweek/20260318113257491mnsu.jpg" width="658"></p> <figcaption class="txt_caption default_figure"> LG유플러스가 IMSI 식별 과정에서 가입자 휴대폰 번호를 사용해온 사실이 드러나 보안 우려가 커진다. /출처=각 사·최민희 의원실, 그래픽=구글 제미나이 </figcaption> </figure> <div contents-hash="cd5069de355755ba056a45fd57450bb169ba01fc7044ac52cc139395618423b7" dmcf-pid="fppNNQcnZF" dmcf-ptype="general"> LG유플러스가 이동통신 가입자의 고유 식별 정보인 '국제이동가입자식별정보(IMSI)'를 생성하는 과정에서 가입자의 실제 휴대폰 번호를 조합해 사용해온 것으로 드러났다. 개인정보 유추가 용이한 구조를 장기간 유지해온 점이 확인되면서 보안 관리 체계에 대한 비난이 커진다. </div> <p contents-hash="89e600c26414a14bd0ca08b7b555090dfe3873b2cef58cf23eaedd42cbd71d79" dmcf-pid="4oo11h3GGt" dmcf-ptype="general">18일 이동통신업계에 따르면 LG유플러스는 4세대 이동통신(LTE) 도입 초기인 2011년부터 현재까지 가입자의 IMSI를 부여할 때 실제 휴대폰 번호를 포함하는 방식을 유지해왔다.</p> <p contents-hash="debf3b1a6040e3b593486aaeaf6b05fdd1ae623cae19ec599891fe1183e0abb6" dmcf-pid="8ggttl0HG1" dmcf-ptype="general">IMSI는 이동통신망에서 가입자를 구분하기 위해 유심(USIM)에 부여되는 15자리의 고유 번호다. 일종의 '주민등록번호' 역할로 보안을 위해 휴대폰 번호와 독립된 무작위 난수로 생성·관리하는 것이 일반적이다. SK텔레콤과 KT는 IMSI 구성 시 국가번호와 통신사 식별번호 이외에 무작위 난수, 유심 제조사 일련번호 등을 부여하는 방식을 채택하고 있다.</p> <p contents-hash="c78141706875f82ccb8c6141d2ac2fc8e88e5b5fc3f88814ac481856385a70da" dmcf-pid="6aaFFSpXG5" dmcf-ptype="general">LG유플러스는 대한민국 국가번호(450)와 LG유플러스 식별번호(06), 개인 휴대폰 번호를 조합해 IMSI를 구성해왔다. 가입자의 번호가 '010-1234-5678'일 경우 IMSI는 '45006 1012345678'로 설정되는 식이다. 앞 5자리가 고정된 값임을 고려하면 식별 정보 외부 유추가 가능하도록 설계됐다.</p> <p contents-hash="d12d4708c759c5a29243d0e62b590a37a9e2916245ff518bb5477fb7a24cf669" dmcf-pid="PNN33vUZtZ" dmcf-ptype="general">통신업계는 식별번호 노출과 'IMSI 캐처'(가짜 기지국 장비)가 결합할 경우 2차 피해로 이어질 수 있다고 지적한다. IMSI 캐처는 인근 단말기의 IMSI 정보를 강제로 수집하는 장비다. LG유플러스의 현행 체계에서는 IMSI에서 전화번호를 역으로 계산해 특정 지역 내 가입자를 선별하고 스미싱·보이스피싱을 수행하는 기술적 토대가 될 수 있다는 지적이다.</p> <p contents-hash="133cf4503cefdf85a1048cae9c7cdf93b1d3389b084aba60a286d91fcf4d4db9" dmcf-pid="Qjj00Tu5HX" dmcf-ptype="general">국회 과학기술정보방송통신위원회 최민희 위원장은 지난 17일 "이번 사례는 해커에게 공격의 빌미를 제공할 수 있는 보안체계의 명백한 허점"이라며 과기정통부와 개인정보보호위원회, 한국인터넷진흥원 및 LG유플러스와 함께 대책 마련에 착수했다고 밝혔다.</p> <p contents-hash="2200bc0253578732f5714a86045d5eb726ba73829c102eaaac1399bb79daacfa" dmcf-pid="xAAppy711H" dmcf-ptype="general">이어 "LG유플러스는 신속히 고객들의 불안을 해소할 수 있는 조치를 서둘러야 한다"며 "과기정통부 역시 피해가 발생하지 않도록 상황을 철저하게 관리해야 할 것"이라고 강조했다. 최 의원은 재발 방지를 위한 '통신이용자 식별정보 보호법'(전기통신사업법 개정안)을 발의해 정부 차원에서의 관리감독을 강화한다는 방침이다.</p> <p contents-hash="12d747ca781155d80d8fa2bdd4badefa419fdb9f58243119c0d5a540db3ce0b2" dmcf-pid="yUUjjxkLHG" dmcf-ptype="general">소비자주권시민회의 역시 17일 성명을 통해 "이는 단순한 관리 부실을 넘어 가입자를 잠재적 범죄 위험에 노출시킨 구조적 문제"라고 비판하며 해지를 원하는 고객에게 선제적으로 위약금을 면제할 것을 촉구했다.</p> <p contents-hash="36c64123ee8706faee2110d7ca365533b2cd8d2997c96149be0d23482cba4556" dmcf-pid="WuuAAMEotY" dmcf-ptype="general">LG유플러스는 대책 마련에 나섰다. 오는 4월 13일부터 번호이동 및 신규 가입자에게 휴대폰 번호가 아닌 난수가 부여되는 시스템을 자동 적용한다. 기존 가입자에게는 유심 무상 교체를 지원하며 11월에는 소프트웨어 업데이트를 통해 물리적 교체 없이도 IMSI를 난수로 변경하는 기술을 적용할 방침이다.</p> <p contents-hash="aa62e39fb5996ddbc93cbda0888a64d0ccaa6a53d1457b30a41c975b8fb85410" dmcf-pid="Y77ccRDgGW" dmcf-ptype="general">회사 관계자는 "이미 내부적으로 인지하고 준비해오던 사안이나 유심 교체의 물리적 한계로 4월부터 시행하게 된 것"이라며 "IMSI 탈취만으로는 악용이 어렵고 별도의 키값이 필요해 현재까지 확인된 악용 사례는 없으나 보안 강화 차원에서 체계 개편을 결정했다"고 설명했다.</p> <p contents-hash="58185d25a8da0ecf993f861385a49874c9bf96a86b9a3864b86e42b222a065f4" dmcf-pid="GzzkkewaXy" dmcf-ptype="general">김미현 기자 m222h@sidae.com</p> </section> </div> <p class="" data-translation="true">Copyright © 동행미디어 시대 & sidae.com, 무단 전재 및 재배포 금지</p> 관련자료 이전 ‘칩플레이션’에 폴더블폰 400만원 시대 03-18 다음 충남, 'AI 대전환' 100대 과제 5.8조 투입…AI 인재 3만 명 양성 등 제시 03-18 댓글 0 등록된 댓글이 없습니다. 로그인한 회원만 댓글 등록이 가능합니다.
