[이데일리 김현아 기자] LG유플러스(032640) IMSI(가입자 식별번호) 논란의 본질은 복제폰 공포가 아니다. 전화번호가 반영된 가입자 식별 구조가 특정인을 식별하고 동선을 추적하기 쉽게 만들었다는 점이 핵심이다.

이용자 눈에 보이지 않아야 할 통신망 내부 식별값이 오히려 감시의 단서가 될 수 있는 구조였다는 뜻이다. 이번 사안이 단순 보안 논란을 넘어 프라이버시 리스크로 번지는 이유도 여기에 있다.

출처=생성형AI

<이미지를 클릭하시면 크게 보실 수 있습니다>

복제보다 무서운 건 추적…문제는 동선 파악 가능성

IMSI는 통신망 안에서 가입자를 구분하는 내부 식별번호다. 원칙적으로는 외부에서 포착되더라도 개인과 곧바로 연결되지 않아야 한다. 하지만 이 값이 충분히 무작위화되지 않고 전화번호와 연결 가능한 구조라면 이야기는 달라진다. 특정인의 전화번호를 알고 있는 제3자는 현장에서 포착한 IMSI를 공개된 번호와 대조해 실제 인물을 더 쉽게 특정할 수 있기 때문이다.

김승주 고려대 정보보호대학원 교수도 이번 사안의 핵심 위험은 복제가 아니라 ‘추적’이라고 짚었다. 그는 “IMSI는 일종의 로그인 아이디에 가까운 값이어서 이것만으로 시스템 복제가 이뤄지는 것은 아니지만, 값이 예측 가능해지면 특정인의 동선을 더 쉽게 파악할 수 있다”고 설명했다. 전화번호가 공개된 공직자, 정치인, 유명 인사 등은 상대적으로 더 취약할 수 있다고 했다.

IMSI만으로 복제폰은 어려워…공포는 과장, 위험은 현실

IMSI만으로 곧바로 복제폰 제작이 가능한 것은 아니다. 화이트해커 출신들이 설립한 단말기 보안업체 솔더포레스트 관계자는 “단말 복제 수준의 악용을 하려면 IMSI 외에 단말기 고유식별값인 IMEI 같은 추가 정보가 더 필요하다”고 설명했다. IMEI는 단말 내부에 저장된 값이어서 실제 기기에 물리적으로 접근하거나 별도 해킹이 뒤따라야 한다. IMSI 하나만으로 휴대전화를 바로 복제할 수 있다는 식의 공포는 과장에 가깝다는 얘기다.

하지만 추적 위험은 훨씬 현실적이다. 이 관계자는 “IMSI 캐처로 LG유플러스 가입자의 IMSI 값을 따면 그 사람의 전화번호가 나오는 건 맞다”고 설명했다.

핵심 위험은 단말 복제가 아니라 특정인이 어디에 있었는지, 어떤 장소를 지나갔는지, 어떤 동선으로 움직였는지를 더 쉽게 파악할 수 있다는 데 있다. 통신망 내부 식별값이 프라이버시 취약점으로 전락하는 순간이다.

IMSI 캐처는 주변 단말의 식별정보(IMSI)를 수집해 특정 단말의 추적이나 위치 특정에 악용될 수 있는 장비다. 그림=생성형 AI

<이미지를 클릭하시면 크게 보실 수 있습니다>

군·정보용 장비였던 IMSI 캐처…표적 감시에 악용 우려

더 섬뜩한 대목은 IMSI 캐처라는 장비의 성격이다. 솔더포레스트 관계자는 이 장비를 “1990년대 말부터 군과 정보·스파이 세계에서 상용화된 장비”라고 설명했다. 애초부터 대중적 편의 도구가 아니라 감시와 추적을 위해 발전해온 기술이라는 의미다. 이번 논란이 단순한 소비자 불편이나 일반 해킹 공포를 넘어 ‘표적 감시 리스크’로 읽히는 이유도 여기에 있다.

물론 누구나 쉽게 다룰 수 있는 장비는 아니다. IMSI 캐처가 실제로 작동하려면 주변 단말이 정상 기지국이 아니라 가짜 기지국에 붙도록 유도해야 한다. 이를 위해서는 LTE와 5G 전파를 끊거나 교란해 단말을 밀어낸 뒤 가짜 기지국에 접속시키는 과정이 필요하다. 일반인이 취미 삼아 손댈 수 있는 수준과는 거리가 멀다는 설명이다.

그렇다고 안심할 수는 없다. 솔더포레스트 관계자는 장비값 자체가 과거보다 낮아져 “싸게 만들면 수백만원 수준에서도 가능하다”고 말했다. 범용 범죄 도구라고 단정하긴 어렵지만, 실력 있는 해커나 자금과 목적을 가진 집단이라면 충분히 검토할 수 있는 수단이라는 뜻이다.

결국 이 장비는 불특정 다수를 겨냥한 대량 범죄보다 공직자, 정치인, 대기업 최고경영자, 연예인처럼 추적 가치가 큰 인물을 노린 표적 감시에 더 위협적이라고 볼 수 있다.

해외선 군사 표적 추적부터 민간 범죄까지 현실화

해외에서도 IMSI 캐처가 실제 감시와 표적형 공격에 활용된 사례가 나왔다. 2024년 12월 영국 법원 재판 과정에서는 러시아 연계 조직이 독일 미군기지의 우크라이나 군인 휴대전화를 추적하기 위해 IMSI 캐처 사용을 모의한 정황이 공개됐다. 같은 조직은 크렘린 비판 성향의 탐사보도 기자 크리스토 그로제프를 겨냥한 감시 작전에도 연루된 정황이 제시됐다.

프랑스에서는 IMSI 캐처가 민간 범죄에 악용된 사례도 확인됐다. 2026년 2월 파리에서는 차량형 IMSI 캐처로 주변 휴대전화에 피싱 문자를 대량 발송한 사건이 재판에 넘겨졌고, 3월 법원은 관련 피고들에게 실형을 선고했다.

미국 비영리단체 전자프런티어재단(EFF) 역시 IMSI 캐처가 주변 휴대전화의 IMSI를 수집하고 위치를 더 정밀하게 특정하는 데 활용될 수 있다고 설명하고 있다.

IMSI 캐처가 더 이상 영화 속 장비가 아니라 군사·정보 영역은 물론 민간 범죄에도 악용될 수 있는 현실적 도구라는 점을 보여주는 대목이다.

<이미지를 클릭하시면 크게 보실 수 있습니다>

고의가 아니어도 책임은 남는다

LG유플러스의 IMSI 설계 문제를 두고 의도적 외면으로 단정하긴 어렵다. 솔더포레스트 관계자는 “LG유플러스가 처음 IMSI 값을 설계할 당시에는 관련 3GPP 규약이 없었다”며 “다만 3G에서 LTE로 넘어오는 과정에서도 기존의 잘못된 설계를 바로잡지 않은 점은 분명한 약점”이라고 말했다. 이어 “IMSI를 난수 형태로 구성하라는 기준도 아직까지 강제 규정이 아니라 권고 수준에 가깝다”며 당시 기술 환경의 한계도 함께 언급했다.

다만 의도성이 없었다고 해서 책임까지 사라지는 것은 아니다. 그는 “현실적으로 보면 LG유플러스 가입자 약 1100만명이 위험에 노출된 것은 사실”이라고 지적했다. 결국 초기 설계 환경의 한계는 참작 사유가 될 수 있어도, 구조적 취약점이 장기간 유지됐다면 사업자의 책임론은 피하기 어렵다는 얘기다.

LG유플러스 IMSI 논란은 복제폰 공포를 자극하는 사건이 아니라, 통신망 내부 식별체계가 어떻게 특정 개인의 추적 가능성으로 이어질 수 있는지를 드러낸 사건이다.

무차별 해킹보다 더 무서운 것은 특정인을 골라 따라붙는 정밀한 감시다. 통신사의 식별 체계는 편의보다 비식별성과 예측 불가능성을 우선해야 한다. 이번 논란이 무거운 이유도 바로 그 기본 원칙이 흔들렸기 때문이다.

LG유플러스는 4월부터 유심교체와 함께 유심 설계 변경 기술을 개발해 연말까지 순차로 OTA(무선 자동 업데이트) 방식으로 제공할 예정이다.