LG유플러스의 가입자식별번호(IMSI) 설계 취약점으로 이용자 위치 식별 가능성이 제기됐다. LG유플러스는 LTE 국제 표준을 준수했고, 추가적인 암호 인증 절차가 있어 안전하다는 입장이지만, 보안 전문가들은 100% 안전을 보장하긴 어렵다는 시각이다.
정부는 암호화 강화 등을 의무화하는 법령 개정에 착수했다. 이용자 불안을 해소하기 위해 네트워크 구조(아키텍쳐) 전반에 대한 치밀한 점검과 동시에, 가장 많은 가입자가 이용하는 5G망의 단독모드(5G SA) 전환을 서둘러야 한다고 전문가는 조언했다.
IMSI는 이동통신 가입자 식별을 위해 유심(USIM)에 부여되는 고유번호로 단말이 네트워크에 접속할 때 활용된다. 일반적으로는 외부에서 식별값이 포착돼도 개인이나 전화번호를 특정할 수 없도록 난수값으로 설계된다.
문제는 단말기 전원을 켰을 때 최초 망 접속시에는 IMSI가 암호화되지 않은 평문 상태로 무선 구간을 통해 전송된다는 점이다. 김용대 한국과학기술원(KAIST) 교수는 “LTE망에서는 휴대폰을 켤 때 IMSI가 암호화되지 않고 에어 구간에 노출되는게 이동통신 표준”이라며 “따라서 IMSI 값은 무작위성을 띄는 난수로 설계해 특정 사용자와 매핑하기 어려워야 한다”고 말했다.
하지만, LG유플러스는 2011년부터 약 1100만명의 가입자 IMSI 값에 고객의 실제 휴대전화 번호가 직접 반영되도록 설계했다는 점이 드러났다. 특정인 전화번호를 확보하면 IMSI 값과 매칭해 가입자 위치를 특정할 수 있는 보안 취약점이 될 수 있다.
김 교수는 “전화번호와 IMSI가 매핑돼 있다면 불법장비인 IMSI 캐처(가짜기지국)로 단말기에 식별값을 강제로 요구하지 않더라도, 단순히 무선구간의 트래픽을 수집하는 것만으로 특정 가입자가 해당 기지국 셀 반경 내에 존재하는지 파악할 수 있다”고 지적했다.
특히 LTE 망은 암호화 매커니즘에서 취약하다. LTE에서는 평문 노출을 줄이기 위해 임시 식별자인 GUTI를 발급해 통신한다. 그러나 초기 접속시나 GUTI 값이 소실됐을 때는 실제 IMSI 값을 평문으로 전송해야 한다. 공격자가 IMSI 캐처 등을 통해 지속적으로 연결 재설정을 유도하면 IMSI 탈취가 가능하다. LTE를 코어망으로 활용하는 5G 비단독모드(5G NSA)도 동일한 위협에 노출돼 있다.
반면 5G SA는 이같은 보안 취약점을 해결하기 위해 IMSI를 단말기단에서 암호화한 SUCI 형태로 전송한다. 따라서 기지국 접속 초기 단계부터 식별자가 철저히 은닉된다. LG유플러스는 올해 상용화할 5G SA에서는 IMSI를 암호화하는 SUCI를 의무 적용해 보안을 강화할 계획이다. 또한 가입자 전원 유심교체 또는 재설정을 통해 난수화된 새로운 IMSI 값을 부여할 방침이다.
이용자 불안이 가시지 않은 만큼, 정부의 관리감독과 동시에 법령 개정으로 이어질 전망이다. 과기정통부 관계자는 “LG유플러스에 대해 IMSI값이 쉽게 유추되지 않도록 해당사안을 신속하게 해결하도록 촉구했다”며 “관련 법령 개정도 국회와 함께 추진중에 있으며, 사안이 해결될 때까지 이용자에게 불편이 발생하지 않도록 세심하게 살펴보겠다”고 밝혔다.
보안업계 관계자는 “국내 통신보안 체계는 도감청 방지에만 집중돼있어 식별자 정보 노출에는 상대적으로 취약했다”면서 “보안 위협을 막기 위해서는 단말기부터 코어망까지 종단간 암호화가 적용되는 5G SA 전환을 빠르게 추진해야 한다”고 말했다.