LG유플러스 최고 기술 관리자(CTO)인 이상엽 전무가 최근 불거진 IMSI 비(非)난수화 논란에 대해 내놓은 해명이다.
보안 사고 가능성이 조금이라도 있다면, 이런 면피성 발언보다 '어떠한 경우에는 이용자 피해가 있을 수 있다'는 취약점을 먼저 안내하고 최대한 예방하려는 노력이 먼저라는 생각이다. LG유플러스는 무려 1100만명이 넘는 고객을 확보한 거대 '기간통신사업자'이고 '암묵적인 신뢰를 없애고, 계속 검증하라'는 제로 트러스트 보안 체계를 추구하지 않았던가.
물론 LG유플러스 해명에 거짓은 없다. SK텔레콤이나 KT와 달리 IMSI 값을 고객 특정이 어려운 '난수'로 처리하지 않고 이용자 전화번호를 조합하는 방식을 써 논란이 된 건데, 난수 처리는 국제 이동통신 표준상 '권고' 요소라 회사 측 설명처럼 문제가 되지는 않는다.
또 이 정보만으로는 일종의 비밀번호 역할을 하는 정보를 유추할 수 없는 만큼 추가적인 보안 사고로 이어질 가능성이 낮은 것도 사실이다. IMSI는 유심에 저장되는 15자리 번호로, 통신망에서 사용자를 식별할 때 쓰이는 일종의 'ID'다.
그러나 이번 사태의 본질은 고객의 주민등록번호, 비밀번호와 같은 다른 고위험 정보가 더 유출됐을 가능성이 제거되지 않은 '불확실성'에 있다. LG유플러스는 지난해 제기된 고객 개인정보 유출 의혹에서 완전히 벗어나지 못했다.
당시 미국 보안 전문지 프랙은 LG유플러스가 계정 권한 관리 시스템 내부 서버 8900여 개와 ▲4만개 계정 ▲직원 167명 정보를 해킹당했다는 정황을 제기했다. 당국은 관련 조사에 나섰지만, 회사가 일부 서버를 먼저 폐기하면서 결론이 안 났다. 이후 정부는 LG유플러스가 서버를 고의로 폐기했다고 판단해 경찰에 수사를 의뢰했고, 개인정보보호위원회 역시 관련 조사에 나섰으나 여전히 진실은 미궁에 빠진 상황이다.
한 시민단체는 이번 사태를 두고 전(全) 가입자에게 보안사고 위험과 대응 방안을 고지하는 한편, 희망자가 아닌 모든 고객 단위 유심(USIM) 교체를 시행해야 한다고 촉구했다. 이에 더해 다른 통신사로 이동하려는 고객의 위약금을 받지 말아야 한다는 요구도 했다.
보안 취약점은 숨긴다고 해서 숨겨지는 게 아니다. 위약금 면제까지는 아니더라도 모든 고객에게 현재 상황과 예측 가능한 피해 사실을 모두 알리는 한편, 조금이라도 문제 소지가 있다면 선제적으로 예방할 수 있는 최대한의 조치를 취해야 한다는 생각이다.
LGU+, 유심 무상 교체 결정···"IMSI 설계에 허점"
뉴스웨이 임재덕 기자
Limjd87@newsway.co.kr
저작권자 © 온라인 경제미디어 뉴스웨이 · 무단 전재 및 재배포 금지
댓글