LG유플러스가 가입자 식별번호(IMSI)에 실제 전화번호를 포함해온 구조가 드러나며 보안 논란이 확산되는 가운데, 유심 교체 조치에도 불구하고 기술적·법적 쟁점이 이어지고 있다.

19일 <메트로경제 신문> 취재에 따르면 LG유플러스가 IMSI 논란과 관련해 지난 13일부터 전 고객을 대상으로 유심(USIM) 교체 및 업데이트를 진행하고 있지만 논란은 쉽게 가라앉지 않고 있다.

이번 사태는 LG유플러스가 2011년 LTE 도입 이후 약 15년간 가입자 식별번호에 고객의 실제 휴대전화 번호를 포함해온 구조에서 비롯됐다. SK텔레콤과 KT가 예측이 어려운 난수 기반 체계를 적용한 것과 달리, LG유플러스 IMSI는 국가코드(450)와 통신사코드(06) 뒤에 전화번호가 결합된 형태였다.

LG유플러스는 해당 방식이 국제 표준을 위반한 것은 아니며, 실제 해킹이나 유심 복제에는 추가 인증 정보가 필요해 위험 수준은 제한적이라는 입장을 밝혔다. 또한 3G 이전부터 이어진 관행으로 당시에는 보안 문제로 인식되지 않았다고 설명했다.

그러나 이러한 설명에도 불구하고 보안 취약 가능성을 둘러싼 검증과 반박이 이어지며 논란은 기술적 쟁점으로 확산되는 양상이다.

지난 8일 김용대 카이스트 교수는 LTE 스니퍼를 활용해 특정 LG유플러스 단말 위치를 추적하는 시연 영상을 공개했다. 운동장과 건물 내부 단말 위치를 식별했으며, 전화번호 기반으로 IMSI 신호를 포착해 위치 확인이 가능하다는 점이 제시됐다.

다만 김 교수는 해당 시연이 특정 통신사를 겨냥한 것이 아니며, 동일 기지국 내 단말 재부팅 시에만 확인 가능한 등 기술적 조건이 제한적이라고 설명했다.

이후 추가 문제 제기도 이어졌다. 15일에는 깃허브(GitHub)에 익명의 보안 전문가가 IMSI 캐처를 활용해 인근 LG유플러스 가입자의 IMSI를 수집하고 전화번호를 추출하는 과정을 공개한 영상이 게시됐다.

그는 "한국의 주요 통신사 중 하나인 LG유플러스 가입자들이 표적형 보이스피싱과 스미싱, 심지어 물리적 위치 추적 위험에 노출되어 있다"고 지적하며, 기업이 취약성을 축소하고 있다고 비판했다.

법적 쟁점도 제기됐다. 국회입법조사처는 IMSI가 전화번호와 유사한 식별력을 가질 경우 개인정보로 판단될 수 있다고 봤다. 이는 IMSI가 고유식별정보가 아니라는 LG유플러스 측 주장과 상충된다. 전화번호를 포함한 구조가 개인정보보호법상 안전조치 의무를 충분히 이행하지 않았을 가능성과 함께, 목적을 초과한 정보 활용으로 해석될 여지도 있다는 지적이다.

정부는 2차 피해 가능성에 대해서는 선을 긋고 있다. 배경훈 부총리 겸 과학기술정보통신부 장관은 "위치 추적은 IMSI 캐처 장비와 여러 조건이 충족돼야 가능하다"며 "난수 기반 대비 보안 수준이 낮을 수는 있지만 법적 문제는 없다"고 밝혔다.

논란이 확대되면서 이용자 보호 요구도 커지고 있다. 서울YMCA시민중계실은 "LG유플러스는 전 고객에게 IMSI 관리 부실과 보안 위험을 즉각 고지하고, 과기정통부는 충분한 기간 위약금 면제 행정지도를 실시하라"고 주장했다.

업계 관계자는 "공격이 복잡하고 범위가 제한적인 만큼 이론적으로 가능하더라도 현실성은 낮다"고 말했다.