LG유플러스 유심 식별번호에 내 전화번호가? 서울YMCA "보안 위협 현실화"

윤수현 기자 2026. 4. 25. 17:26
음성재생 설정 이동 통신망에서 음성 재생 시 데이터 요금이 발생할 수 있습니다. 글자 수 10,000자 초과 시 일부만 음성으로 제공합니다.
닫기
번역beta Translated by kaka i
닫기
글자크기 설정 파란원을 좌우로 움직이시면 글자크기가 변경 됩니다.

이 글자크기로 변경됩니다.

(예시) 가장 빠른 뉴스가 있고 다양한 정보, 쌍방향 소통이 숨쉬는 다음뉴스를 만나보세요. 다음뉴스는 국내외 주요이슈와 실시간 속보, 문화생활 및 다양한 분야의 뉴스를 입체적으로 전달하고 있습니다.

닫기

LG유플러스, 가입자 식별번호 난수화 안 해… "위약금 면제 필요"
통신3사 보안 문제 연쇄 발생… 교체 대상 유심카드만 수천만 장

[미디어오늘 윤수현 기자]

▲2026년 4월13일 서울 시내의 한 LG유플러스 매장에서 직원들이 고객의 유심(USIM)을 무상으로 교체해주고 있다. LG유플러스는 가입자 식별번호(IMSI) 체계에 난수를 도입하는 보안 강화 조치를 적용하기 위해 연말까지 전 고객을 대상으로 유심 무상 교체 및 업데이트를 실시한다. 연합뉴스

▲2026년 4월13일 서울 시내의 한 LG유플러스 매장에서 직원들이 고객의 유심(USIM)을 무상으로 교체해주고 있다. LG유플러스는 가입자 식별번호(IMSI) 체계에 난수를 도입하는 보안 강화 조치를 적용하기 위해 연말까지 전 고객을 대상으로 유심 무상 교체 및 업데이트를 실시한다. 연합뉴스

LG유플러스가 최근 보안상의 이유로 유심 전면 교체를 단행하면서 지난해 SK텔레콤·KT에 이어 통신3사 모두 전 이용자를 대상으로 한 유심 교체 작업에 나서게 됐다. 특히 LG유플러스가 2011년부터 최근까지 가입자 식별번호인 IMSI를 암호화하지 않은 것으로 드러나면서 비판이 이어지고 있다. 국회 입법조사처는 LG유플러스가 개인정보보호법을 위반했을 가능성이 있다고 지적했다.

LG유플러스는 지난 13일부터 모든 이용자를 대상으로 유심 교체 작업을 진행 중이다. 유심에 저장된 가입자 식별번호 IMSI를 암호화하지 않았기 때문이다. LG유플러스는 LTE 도입 초기인 2011년부터 최근까지 약 14년간 IMSI 15자리 중 뒤 10자리를 전화번호와 동일하게 설계해왔다. IMSI에 국가 식별 코드(450)와 통신사 코드(06) 뒤 이용자 전화번호를 그대로 삽입한 것이다. 반면 SK텔레콤·KT는 IMSI를 식별할 수 없게 암호화하고 있다.

LG유플러스는 지난달 이 문제가 밝혀지자 이용자 유심을 교체하겠다고 밝혔다. LG유플러스는 지난달 17일 보도자료에서 “기존 IMSI 체계는 국제 표준에 부합하는 것으로 안전하게 운영돼 왔고, 특히 고객을 인증할 때 암호화된 키 값 등을 추가로 확인하기 때문에 보안사고로 이어질 가능성은 매우 낮다”고 자평하면서 (유심 교체는) “대규모 보안 사고가 빈발하는 최근 상황을 감안한 것”이라고 밝혔다.

하지만 IMSI 번호를 암호화하지 않은 것에 대해 비판이 이어지고 있다. 배경훈 과학기술정보통신부 장관은 “보안 수준이 낮을 수 있지만 법률상 문제는 아니다”라고 했으나, 국회 입법조사처는 김장겸 국민의힘 의원실에 보낸 검토보고서에서 개인정보보호법 위반 소지가 있다고 판단했다.

개인정보보호법에 따르면 개인정보처리자가 정보유출을 막기 위해 기술·관리·물리적 조치를 하도록 규정하고 있는데, IMSI를 전화번호로 구성한 것은 안전조치 의무 불이행에 해당할 수 있다는 것이다.

IMSI 번호만으로 복제폰을 만드는 건 불가능하지만, 가짜 기지국을 활용해 위치추적을 당할 가능성이 있다는 분석도 나온다. 지난 15일엔 개발 커뮤니티 깃허브에선 가짜 기지국 역할을 하는 'IMSI캐처'를 통해 LG유플러스 가입자 전화번호를 수집하는 시연 영상이 올라왔다. SK텔레콤·KT의 경우 IMSI가 암호화돼 IMSI를 통해 가입자 번호를 알아낼 수 없지만, LG유플러스의 경우 IMSI가 암호화되지 않아 번호 수집이 가능했던 것이다. 또 김용대 카이스트 전기전자공학부 교수는 지난 8일 '닷핵 컨퍼런스'에서 LG유플러스 단말기 위치를 추적하는 시연 영상을 공개하기도 했다.

이와 관련 소비자주권시민회의는 지난 20일 성명을 통해 “유심 교체 조치를 긍정적으로 평가하지만 모든 이용자에게 충분히 안내되지 않았고, 교체율 또한 매우 낮은 수준에 머물러 있다”고 지적하면서 “유플러스는 위험성을 분명하게 알리고 반드시 유심 교체 및 재설정을 해야 한다는 안내를 진행했어야 했으나, 이를 명확히 알리지 않았다”고 지적했다.

서울YMCA시민중계실은 지난 17일 LG유플러스에 위약금 면제를 요구하고 나섰다. 시민중계실은 “IMSI 관리 부실로 인한 보안 위협이 현실화되고 있다”며 “IMSI 관리 부실은 정보통신망법상 '안전한 서비스를 제공해 이용자의 권익을 보호해야 할 책무'의 해태”라고 지적했다. 이어 시민중계실은 “IMSI 관리 부실이 약관상 위약금 면제 사유에 해당하는지 여부는 LG유플러스의 IMSI 체계 관리 부실, 안전한 서비스 제공 위반 여부를 중심으로 판단해야 한다”며 “과기정통부는 LG유플러스 전 고객에 대해 충분한 기간 위약금 면제 행정지도를 실시하라”고 강조했다.

이런 가운데 서울경찰청 반부패수사대는 LG유플러스가 지난해 해킹 의혹이 불거질 당시 서버를 고의로 폐기했는지 확인하기 위해 지난달 LG유플러스 마곡사옥 압수수색을 진행했으며, 최근 LG유플러스 관계자 3명을 피의자로 입건했다. 민관합동조사단은 지난해 12월 LG유플러스에서 정보 유출 사건이 발생했지만 서버 폐기로 구체적인 내용을 알 수 없었다면서 경찰청에 수사를 의뢰했다.

Copyright © 미디어오늘. 무단전재 및 재배포 금지.

미디어오늘에서 직접 확인하세요. 해당 언론사로 이동합니다.