LG U+の加入者識別番号（IMSI）の運用を巡り、電話番号とひも付く設計が問題視されている。これを受け、同社はIMSIの乱数化導入とUSIMの全面交換に踏み切る。業界では今回の事案を機に、通信セキュリティの点検や制度見直しの動きが広がっている。

業界関係者によると、LG U+はLTE導入初期の2011年以降、IMSIの付与に当たり加入者の電話番号を組み合わせる方式を採用してきた。IMSIは、移動通信網で加入者を識別するためUSIMに記録される固有番号だ。

同社はこれまで、IMSIに対して追加の乱数化を施していなかった。このため、特定の利用者の電話番号を知る第三者がIMSIを取得した場合、その利用者がどのエリアにいたかを推定できる可能性があるとの指摘が出ている。

朴春植（パク・チュンシク）元亜州大学サイバーセキュリティ学科教授は、「電話番号とIMSIがひも付いていれば、IMSIの接続記録と照合することで、利用者がどの基地局エリアにいたかを把握し得る構造だ」と説明。「極めて高精度ではないとしても、基地局単位での位置把握は可能だ」と述べた。

一方で、実際の脅威の大きさを巡っては見方が分かれている。LG U+は、これまでIMSIの流出事例は確認されておらず、IMSIは識別子の一つであって、単体で複製端末の開通や通話の乗っ取りといった被害に直結する性質のものではないと説明している。IMSIの体系自体も国際標準から逸脱していないとしている。

通信セキュリティの専門家からも、同様の見方が示されている。ある専門家は「IMSIだけで金融情報の窃取や通話の盗聴にまで発展する可能性は低い」としつつ、「利用者の識別につながり得る点は懸念材料だ」と指摘した。

LG U+は対策を急ぐ。USIMのセキュリティ体制を見直し、IMSI設計にも乱数化方式を導入する。4月13日からは、全顧客を対象にUSIM交換と再設定を開始する予定だ。

ただ、利用者の不安はなお強い。昨年発生したSK TelecomのUSIM不正アクセス事案や、KTの無断少額決済事案と重なり、通信インフラ全体への信頼が揺らいでいるとの見方も出ている。

今回の事例を、通信業界全体の構造的な改善につなげるべきだとの声もある。SK TelecomとKTが昨年、全顧客を対象としたUSIM交換を実施したのに続き、LG U+も交換に踏み切ることで、主要3社の利用者の多くがUSIM交換の対象に含まれる形となった。大規模な交換を通じて、旧型USIMが抱える脆弱性の解消につながるとの期待もある。

国会でも制度整備の動きが出ている。国会の科学技術情報放送通信委員会委員長を務める崔敏姫（チェ・ミンヒ）共に民主党議員は、IMSIが顧客の電話番号とひも付く設計を防ぐため、電気通信事業法の改正案を近く発議する考えを明らかにした。繰り返される通信セキュリティを巡る論争を踏まえ、最低限の保護基準を法制化する必要があるとの立場だ。

次世代ネットワークでは、より抜本的な対策も進む。5Gスタンドアロン（SA）環境では、加入者識別情報を暗号化して送信するSUCI（Subscriber Concealed Identifier）技術が適用される。IMSIをそのまま露出させず、暗号化した形で処理する方式だ。科学技術情報通信部が年内の5G SA構築を義務化する中、より強固なセキュリティ体制の整備が進む見通しだ。

朴春植（パク・チュンシク）氏は「今回を機に、より先手を打った継続的なセキュリティ投資を後押しすべきだ」とした上で、「通信各社は絶えずセキュリティ体制の改善とシステム補強に取り組まなければならない」と強調した。