'보안 논란' LG유플, 유심교체율 4%…시민단체 "대응 불충분"

시민단체 "교체율 낮은 수준…안내 충분치 않아"
LG유플러스 "유심 교체로 보안 한층 강화할 것"

LG유플러스가 보안 체계 논란에 유심(USIM) 교체 및 업데이트를 단행하고 있지만, 대응이 불충분하다는 불만이 나오면서 잡음이 사그라지지 않고 있다. 시민단체는 유심 미교체 시 발생하는 위험성 고지와 함께 보상 조치 등이 필요하다고 주장한다.

서울 용산구 LG유플러스 용산 사옥의 모습. 연합뉴스

20일 시민단체 소비자주권시민회의는 성명을 통해 "LG유플러스가 국제이동통신가입자식별번호(IMSI)를 난수화하지 않고 전화번호 기반으로 운영해 소비자를 보안 위협에 노출시킨 것과 관련해 유심 교체 조치를 긍정적으로 평가한다"면서도 "해당 조치가 모든 이용자에게 충분히 안내되지 않았고 실제 교체율이 매우 낮은 수준에 머물렀다는 점에서 심각한 우려와 유감을 표한다"고 밝혔다.

아울러 "IMSI는 외부에 노출되더라도 개인 식별로 이어지지 않도록 보호돼야 하는 핵심 정보로 보다 엄격한 관리가 요구된다"며 "물론 IMSI 정보만으로 스마트폰 해킹이나 소액결제 등 직접적인 범죄로 이어질 가능성은 제한적일 수 있지만 위치추적과 같은 형태의 악용 가능성은 여전히 존재한다"고 주장했다.

LG유플러스의 유심 교체 및 업데이트 안내가 충분하지 않다고도 강조했다. 소비자주권시민회의는 "알뜰폰 소비자에 대한 안내와 지원은 현저히 부족한 상황"이라며 "동일한 통신망을 이용하는 소비자 간 보호 수준에 차이가 발생하고 있음을 보여주는 것으로 명백한 이용자 차별"이라고 밝혔다.

시민단체 서울YMCA는 지난 17일 LG유플러스의 위약금 면제를 촉구했다. 단체는 "IMSI 관리 부실은 정보통신망법 제3조 '안전한 서비스를 제공해 이용자의 권익을 보호해야 할 책무'의 해태로 명백한 법 위반에 해당한다"며 "LG유플러스는 전 고객에게 IMSI 관리 부실과 보안 위험을 문자로 즉각 고지하고, 과학기술정보통신부는 LG유플러스 전 고객에 대해 충분한 기간 위약금 면제 행정지도를 실시하라"고 밝혔다.

최근 글로벌 개발 협업 커뮤니티 깃허브(GitHub)에는 가짜 기지국 역할을 하는 IMSI 캐처로 LG유플러스 IMSI를 수집하고 가입자에게 전화를 거는 영상이 게재되기도 했다. 게시물 작성자는 IMSI 값과 전화번호를 동일하게 설정하면 해커가 단말의 IMSI를 수집할 수 있다고 주장했다. 이에 대해 LG유플러스 관계자는 "IMSI 캐처를 활용해 휴대전화 임시값을 확보하는 것은 특정 통신사와 상관없이 가능하다"며 "LG유플러스의 경우 임시값에 휴대폰 번호가 사용되었다는 것일 뿐, 다른 정보들이 유출된 것이 아니기 때문에 상대적으로 위험성이 낮다"고 말했다.

LG유플러스 는 가입자 식별에 쓰이는 IMSI에 가입자의 실제 전화번호를 포함해 발급한 것으로 드러나 지난 13일부터 전 고객 대상 유심 업데이트 및 무료 교체를 진행하고 있다. 전날 기준 유심 업데이트는 2만419건, 유심 교체는 2만3232건이 진행됐다. 누적 처리율은 약 4.6%다. LG유플러스 관계자는 "이번 유심 무료 교체 및 업데이트를 통해 보안이 한층 더 강화할 것"이라고 밝혔다.

공병선 기자 mydillon@asiae.co.kr