LG유플러스, 2023년 해킹조사하고도 IMSI 취약성 문제 놓쳤다

당시 민관합동조사단, 유출 원인 및 경로 분석에 집중…IMSI 체계 검토 못해 LG유플러스, IMSI 체계 문제 지난해 6월에서야 인지 김장겸 “2023년 조사 부실이 3년 만의 2번째 유심교체 사태 자초” LG유플러스가 전화번호 기반으로 생성된 IMSI 대신 난수가 부여된 유심을 ‘선제적 보안조치 강화’ 차원에서 교체하기로 한 가운데, 이미 지난 2023년 해킹사고 당시 구조적 취약성을 바로잡을 기회가 있었다는 지적이 제기됐다. 당시 가입자 30만명의 이름, 전화번호, 생년월일, 주소, IMSI가 함께 유출됐는데, 당시 유출된 정보를 면밀히 분석했다면 IMSI체계가 보안에 취약해 문제가 될 수 있다는 점을 충분히 파악할 수 있었을 것이란 주장이다. 10일 국회 과학기술정보방송통신위원회 소속 김장겸 국민의힘 의원실에 따르면, 2023년 민관합동조사단에 참여했던 KISA 관계자는 의원실에 “당시 조사에서는 사고 원인과 유출 경로를 중심으로 분석이 이루어져 (LG유플러스의) IMSI 체계 문제까지는 들여다보지 못했다”고 말했다. 앞서 LG유플러스는 지난 2023년 1월 해킹으로 대규모 개인정보가 유출되고, 통신망에 대한 디도스 공격으로 접속 장애가 발생하는 사고가 발생했다. 당시 8938대의 서버 정보와 4만2256개의 계정, 직원 정보 등이 유출되었으며, 유출된 개인정보는 해커의 손에 넘어가 불법 거래 사이트에 공개됐다. 또 해커 집단은 유플러스 외주 보안업체인 시큐어키 내부자 계정관리 시스템 서버를 해킹해 유플러스 내부망에 침투할 수 있었던 것으로 알려졌다. 김장겸 의원실은 당시 전화번호와 IMSI가 함께 유출됐다는 점에 착안해 “유출된 IMSI와 전화번호의 연관성만 살폈더라도 구조적 문제를 확인하고 개선에 착수할 수 있었다”고 했다. 이는 그동안 LG유플러스가 사용해온 ‘IMSI_M’ 방식이 전화번호 기반의 2G 시절의 규격이고, 오랜기간 SKT와 KT는 사용하지 않았던 방식이기 때문이다. LG유플러스는 2G통신망 서비스 과정에서 SKT와 KT가 WCDMA 방식의 3G망을 구현한 것과 달리, 사실상 3G망 없이 LTE로 건너뛰는 전략적 선택을 했다. 그런데 이 3G로 갈아타는 과정에서 SKT와 KT는 당시 국제 표준에 맞춰 IMSI를 난수 기반으로 생성하는 방식을 도입해 보안성을 확보한 반면, LG유플러스는 3G망을 도입하지 않으면서 IMSI 내에 실제 전화번호의 일부가 여전히 반영됐다는 것이다. 결국 IMSI가 암호화되지 않고 전화번호와 연동되면서, 위조된 기지국을 통해 가입자 식별 정보를 탈취당할 위험이 2G 수준으로 낮아졌다는 지적이 나온다. 하지만 LG유플러스와 민관합동조사단 모두 2023년에도 이를 놓쳤다는 게 김장겸 의원실의 설명이다. 김장겸 의원실은 “LG유플러스는 해당 문제를 지난해 6월에서야 인지, 대규모 유심 교체라는 방식으로 고객 불편과 혼란을 떠넘기게 된 셈”이라고 했다. 김장겸 의원실은 통신사업자는 가입자 정보를 안전하게 보호할 법률상 의무를 지고 있음에도 LG유플러스가 ‘국제 표준을 따랐다’는 식의 설명만 되풀이하며 회피에 급급하다고 비판하기도 했다. 또 지난해 지난해 해킹 관련 흔적 삭제·은폐 의혹도 언급하면서 “실제로 어떤 정보가 외부로 유출됐고 어떤 방식으로 악용될 수 있는지에 대한 국민 불안은 더욱 커지고 있다”고 했다. 김 의원은 “2023년 LG유플러스 해킹사고 당시 단순히 침투 경로와 유출 원인만 볼 것이 아니라, 유출된 정보가 갖는 구조적 위험성까지 함께 점검했어야 했다”며 “그때 IMSI 체계 문제를 제대로 들여다봤다면 지금과 같은 두 번째 유심 교체 사태는 막을 수 있었을 것”이라고 지적했다. 이어 “정부도 이제는 사고 원인과 책임 소재를 따지는 데 그칠 것이 아니라, 정보 설계 단계부터 위험을 최소화하는 보안 내재화 관점에서 조사 체계 자체를 점검해야 한다”며 “유출정보의 구조적 취약성과 제도 개선 필요성까지 함께 진단할 수 있도록 조사 전문성과 인력 체계를 보강해야 한다”고 강조했다.