25년간 전화번호 반영된 IMSI 도마 위
“작년 인지하고도 미고지” 비판
토론회선 신규가입 중단·요금 감면 주장도
이 의원은 19일 자신의 페이스북에 “무려 25년 동안 가입자식별정보에 사용자의 전화번호를 그대로 사용한 상황을 어떻게 이해해야 하느냐”며 “작년에 인지하고도 사용자에게 고지도 하지 않은 상황이 정상인가”라고 비판했다. 이어 “작년에 소프트웨어적 조치부터 급히 취하면서 고객 정보 보호에 선제적으로 대응할 수도 있었다”며 LG유플러스의 늑장 대응을 정조준했다.
그는 특히 LG유플러스가 4월 13일부터 유심 무상 교체를 하겠다고 밝힌 점을 두고, 그 전까지의 공백 구간을 문제 삼았다. 이해민 의원은 “지금부터 4월 13일 사이에는 원래 문제되던 방식 그대로 신규 사용자의 가입자식별정보가 관리되는 것인지 묻지 않을 수 없다”며 “그렇다면 과학기술정보통신부는 적어도 4월 13일까지는 신규가입 유치 금지 등을 검토해야 하지 않겠느냐”고 밝혔다.
 |
이해민 의원(조국혁신당) |
<이미지를 클릭하시면 크게 보실 수 있습니다> |
이데일리 단독 보도로 불거진 IMSI 설계 논란
이번 논란은 이데일리 단독 보도로 본격화됐다. 앞서 이데일리는 LG유플러스 가입자의 IMSI에 휴대전화 번호 정보가 가입자 식별 영역에 반영된 구조가 유지돼 왔다고 보도했다.
IMSI는 이동통신망 내부에서 가입자를 구분하는 고유 식별번호로, 통상 외부에서 포착되더라도 특정 개인이나 전화번호와 직접 연결하기 어렵도록 설계된다. 그러나 LG유플러스는 번호 체계 안에 전화번호 정보를 담아온 것으로 파악되면서, 특정 가입자 식별이나 위치 추적에 악용될 수 있다는 우려가 제기됐다.
보안 전문가들은 이번 사안의 본질이 복제폰 위험보다 표적형 추적 가능성에 있다고 보고 있다. 특정인의 전화번호를 알고 있는 제3자가 IMSI 값을 포착할 경우, 이를 공개된 번호와 대조해 신원이나 동선을 상대적으로 쉽게 파악할 수 있다는 것이다. 특히 전화번호가 널리 알려진 정치인, 고위 공직자, 기업 최고경영자(CEO), 연예인 등은 노출 위험이 더 클 수 있다는 지적이 나온다.
 |
<이미지를 클릭하시면 크게 보실 수 있습니다> |
국회 토론회서도 LGU+ 사례 거론
이런 가운데 이해민 의원이 같은 날 국회 의원회관에서 주최한 ‘해킹 은폐 제로: 고의적 해킹 은폐 구조 개선 토론회’에서도 LG유플러스 사례는 핵심 쟁점으로 다뤄졌다. 이번 토론회는 지난해 주요 통신사와 플랫폼 기업들의 해킹 및 개인정보 유출 사고 이후, 기업들이 사고를 인지하고도 증거를 없애거나 조사에 비협조적인 구조적 문제를 짚기 위해 마련됐다.
이 의원은 환영사에서 “현행 제도는 해킹 사실을 투명하게 공개했을 때 치러야 할 비용보다, 증거를 지우고 버텼을 때 부과되는 과태료가 훨씬 저렴한 기형적 구조”라고 비판했다. 이어 “기업의 해킹 은폐 유인을 원천 차단하려면 징벌적 손해배상, 디스커버리 제도, 집단소송제 도입이 필요하다”고 강조했다.
LG유플러스 IMSI 논란에 대한 보다 직접적인 대응론도 나왔다. 서울YMCA 한석현 실장은 통신이용자 보호 차원에서 “유심 교체 전까지 신규 가입을 중단할 필요가 있다”고 주장했다.
한 실장은 “해킹 사고로 인한 피해 보상이 단순한 데이터 제공 등에 그치고 있다”며 “이용자 입장에서 납득할 수 있는 실질적 보상은 통신 요금 감면”이라고 지적했다. 이해민 의원의 페이스북 문제 제기와 맞물려, 시민사회에서도 단순 유심 교체를 넘어 보다 강한 행정 조치와 실질 보상이 필요하다는 목소리가 커지는 분위기다.
정부도 문제의식에는 공감했지만, 구체적 조치는 없다. 토론회에 참석한 임정규 과기정통부 국장은 “오늘 토론회의 제목과 주제에 대해 깊이 공감한다”며 로그 기록 장기 보관 의무화 등은 해외 사례를 참고해 검토하겠다고 밝혔다. 다만 LG유플러스 IMSI 사안과 관련한 즉각적 행정 조치 여부에 대해서는 명확한 입장을 내놓지 않았다.
이 기사의 카테고리는 언론사의 분류를 따릅니다.
기사가 속한 카테고리는 언론사가 분류합니다.
언론사는 한 기사를 두 개 이상의 카테고리로 분류할 수 있습니다.
언론사는 한 기사를 두 개 이상의 카테고리로 분류할 수 있습니다.
