[지디넷코리아]
최민희 과학기술정보방송통신위원회 위원장은 17일 가입자식별번호(IMSI)에 고객 전화번호가 그대로 연동되는 문제를 방지하기 위해 전기통신사업법 개정안을 발의하겠다고 밝혔다.
의원실은 “지난 1월 화이트해커로부터 LG유플러스의 가입자 IMSI 값에 휴대전화 번호가 그대로 연동됐다는 제보를 받았다”며 “이통 3사에 제출받은 자료에 따르면 SK텔레콤은 IMSI에 랜덤 수열을 부여하고 KT는 유심 제조사가 랜덤으로 부여하는 일렬번호를 활용하지만 LG유플러스는 고객 휴대전화 번호를 그대로 IMSI 값에 반영한 것으로 확인했다”고 설명했다.
이어, “LG유플러스에 신속한 대응조치를 요구했고, 4월13일부터 번호이동을 하거나 신규로 가입하는 고객들의 경우에는 변경된 체계가 새로운 유심에 자동으로 적용됨을 밝혀왔고 기존 이용 중인 고객 대상으로도 유심 재설정을 통해 보안을 한층 더 강화하면서 추가로 유심교체를 원하는 고객에게는 무상으로 교체를 진행하겠다는 답을 받았다”고 설명했다.
그러면서 “올해 11월까지는 원격 재설정을 통해 모든 고객의 IMSI 값 난수화 도입을 마무리하도록 기술적 조치를 하겠다고 답을 받았다”고 덧붙였다.
최민희 의원은 과학기술정보통신부와 함께 추후 동일한 사태가 발생하지 않도록 법 개정에 나섰다.
법안의 주요 내용은 현재 과기정통부가 관리하는 전기통신번호자원 관리계획에 IMSI 같은 식별체계와 운영에 관한 사항을 포함하도록 하고 전기통신번호 부여 및 관리 과정에서 고객의 개인정보를 유추할 수 없도록 하는 게 골자다.
최 의원은 “민감한 고객정보가 가입자식별번호에 단순 값으로 연동된 LG유플러스 사례는 3GPP 등 국제기준이나 법률을 위반한 것은 아니지만 해커에게 공격의 빌미를 제공할 수 있는 보안체계의 허점이 분명하다”며 “1000만명 넘는 이용자의 IMSI 값이 그대로 노출됨에 따라 어떤 일이 벌어질지 예상할 수 없고 특히 전화번호 사실상 알려진 공인이나 유명인의 경우 악성 공격의 타겟이 될 가능성을 배제할 수 없다”고 우려했다.
최 의원은 또 “재발방지를 위해 준비한 이번 통신이용자식별정보 보호법을 조속히 발의해 통과시킬 것”이라며 “LG유플러스는 최대한 빨리 고객들의 불안을 해소할 수 있는 조치를 서둘러야 하고, 과기정통부 역시 피해가 발생하지 않도록 상황을 철저하게 관리해야 할 것”이라고 말했다.