[데스크칼럼] 유심 전면교체 LG유플러스의 결정에 박수를 치는 이유

스마트폰용 유심 모습 / 사진 뤼튼으로 생성

LG유플러스가 전체 가입자 1100만명의 유심을 무상 교체하기로 했다. 사고가 터진 것도 아니고, 당국의 명령이 있었던 것도 아니다. 스스로 내부 점검을 통해 잠재적 취약 가능성을 발견하고 선제적으로 결단을 내렸다.

유심 교체 결정의 발단은 IMSI 구조 논란에 있다. IMSI는 유심에 내장된 15자리 가입자 식별번호다. 이동통신망에서 단말기를 인식하는 핵심 값으로, 외부에 노출되더라도 특정인과 연결짓기 어렵도록 난수 형태로 설계하는 것이 업계의 일반적 관행이다. 그런데 LG유플러스는 4G LTE 상용화 초기부터 이 값에 실제 전화번호 일부를 포함하는 방식을 사용해온 것으로 알려지면서 일부에서 문제를 제기했다.

그러나 LG유플러스 방식이 국제 표준을 위반한 것은 아니다. LTE 도입 초기에는 IMSI 설계 방식에 관한 국제 규약이 명확하게 정립돼 있지 않았다. LG유플러스는 2G 시절부터 이어온 IMSI 설계 방식을 그대로 LTE와 5G에도 적용했으며, 기준에 따르면 이례적인 것은 아니다. 이 때문에 일각의 IMSI 관련 지적이 단순한 기업 흠집내기에 가깝다는 시각도 분명히 존재한다.

다만 LG유플러스는 IMSI 구조와 관련한 논쟁에서 한발짝 물러나 잘잘못을 따지는 대신 다른 선택을 했다. 지금의 보안 환경에서 이 구조가 어떤 위험 가능성을 내포할 수 있는지를 먼저 따졌다. 해킹 수법은 날로 정교해지고 있고, IMSI 캐처 같은 무선 신호 수집 장비는 이미 해외에서 악용 사례가 확인되고 있다. IMSI 값 하나만으로 즉각적인 해킹이 성립하진 않더라도, 다른 정보와 결합될 경우 복제폰 제작이나 표적 추적 등으로 이어질 수 있다는 우려를 완전히 배제하기 어려운 환경이다.

유심 교체 결정은 그 판단에서 나왔다. LG유플러스는 지난해부터 이미 새 IMSI 체계 설계와 개발을 진행해왔다. 가입자 코드 부분을 난수화하는 방식으로 구조 자체를 바꾸는 작업이었다. 논란이 불거진 뒤 급하게 수습에 나선 것이 아니라, 논란 이전부터 자체적으로 문제 가능성을 인식하고 움직여온 것이다. 올해 하반기에는 소프트웨어 업데이트만으로 물리적 유심 교체 없이도 IMSI 값을 난수 기반으로 전환할 수 있는 기술도 적용할 계획이다.

1100만명의 가입자 유심 전량을 무상 교체한다는 결정은 결코 가볍지 않다. 단순한 비용의 문제가 아니다. 가입자 1100만명에게 개별적으로 안내하고, 유심을 수급하고, 교체 과정을 지원하는 일은 운영 부담만 따져도 상당하다. 그럼에도 이 결정을 내린 건, 피해가 현실화된 후 사과문을 쓰는 것보다 피해가 생기기 전에 방어선을 치는 쪽을 선택했다는 의미다.

보안 전문가들의 시각도 비슷하다. 해킹 수법이 고도화되는 상황에서 사고가 터진 이후 수습하는 건 항상 늦다. 유심 무상 교체는 과잉 대응처럼 보일 수 있어도, 통신사업자가 가입자 보호를 위해 취할 수 있는 가장 적극적인 형태의 선제 조치라는 평가가 나온다.

IMSI 구조를 둘러싼 논쟁은 계속될 수 있다. 규정 위반이 아니라는 주장도, 구조적 약점을 지적하는 시각도 모두 완전히 틀린 말은 아니다. 하지만 그 논쟁이 어느 방향으로 결론 나든, LG유플러스가 선택한 방향 자체는 비난보다 인정이 먼저다. 사고가 나기 전에 막은 것, 그리고 그 비용을 가입자에게 전가하지 않은 것. 통신사업자에게 요구되는 책임의 무게를 이번엔 제대로 짊어졌다 할 수 있다.