[이데일리 김현아 기자] LG유플러스(032640)의 가입자 식별번호(IMSI) 설계 허점이 드러나면서 1100만 가입자의 프라이버시 보호에 비상이 걸렸다. 이동통신망 내부 식별값이어야 할 IMSI에 고객 전화번호 정보가 반영된 구조가 유지돼 왔다는 점이 확인되면서, 특정 가입자의 식별과 위치 추적에 악용될 수 있다는 우려가 커지고 있다.

LG유플러스는 4월부터 유심 교체에 착수하고 OTA(무선통신 자동 업데이트) 방식의 원격 재설정도 병행할 계획이다. 다만 구조적 취약점이 장기간 유지된 뒤에야 대응에 나섰다는 점에서 늑장 대응 비판은 피하기 어려워 보인다.

숨겨져야 할 식별값에 전화번호가 반영됐다

17일 보안업계에 따르면 LG유플러스 가입자의 IMSI에는 휴대전화 번호 정보가 가입자 식별 영역에 반영된 것으로 확인됐다.

IMSI는 이동통신망에서 가입자를 구분하는 고유 식별번호로, 유심에 저장된다. 통상 이런 식별값은 외부에서 포착되더라도 특정 개인을 곧바로 식별하거나 전화번호와 직접 연결하기 어렵게 난수로 설계된다.

그러나 LG유플러스는 번호 체계 안에 전화번호 정보를 담아온 것으로 파악됐다. 그 결과 통신망 내부 식별값이 사실상 외부 식별의 단서가 될 수 있는 구조가 됐다는 지적이 나온다.

이 경우 특정인의 휴대전화 번호를 알고 있는 제3자가 IMSI 값을 포착하면 해당 인물의 신원이나 이동 경로를 상대적으로 쉽게 파악할 수 있게 된다. 특히 전화번호가 공개된 정치인, 고위 공직자, 기업 최고경영자(CEO), 연예인일수록 노출 위험이 더 커질 수 있다.

복제폰 가능성은 희박, 무서운 건 표적 추적

보안 전문가들은 이번 사안을 단말기 복제 이슈로 보는 것은 맞지 않다고 말한다. IMSI 자체는 로그인 아이디와 유사한 식별값이어서, 이 값만으로 곧바로 복제폰 제작이 가능한 것은 아니라는 설명이다. 하지만 문제의 본질은 다른 곳에 있다. IMSI가 예측 가능한 구조일 경우 특정인을 식별하고 추적하는 문턱이 낮아진다는 점이다.

김승주 고려대 정보보호대학원 교수는 “IMSI는 이 값만으로 복제폰이 가능한 것은 아니다”라면서도 “전화번호가 공개된 사람의 경우 IMSI 캐처로 포착된 값과 공개된 번호를 대조해 특정인을 식별하고 동선까지 파악하기 쉬워진다”고 설명했다. 복제 위험보다 더 현실적인 위협은 표적형 추적이라는 얘기다.

가짜 기지국 장비로 추적…스미싱 정밀화 우려

우려되는 시나리오는 단순하지 않다. 해커가 가짜 기지국 장비인 IMSI 캐처를 활용해 특정 지역 단말기의 IMSI 값을 수집할 경우, 전화번호 유추는 물론 위치 추적까지 가능해질 수 있다. 보안 업계 일각에서는 이런 장비가 수백만원 수준이면 제작 가능하다는 말도 나온다.

문제는 여기서 그치지 않는다. 특정 장소에 모인 단말 정보를 먼저 수집한 뒤, 그 지역 이용자 특성에 맞춘 보이스피싱이나 스미싱 공격으로 이어질 수 있다. 예컨대 학교 주변에서는 수험생 정보나 학사 안내를 사칭한 문자, 기업 밀집 지역에서는 인사·세무·거래처 공지로 위장한 문자 등으로 공격이 더 정교해질 수 있다. 무차별 스팸이 아니라 ‘누가 그 자리에 있었는지’를 노린 표적형 범죄로 진화할 수 있다는 뜻이다.

해외선 군사 표적 추적부터 민간 범죄까지 현실화

해외에서도 IMSI 캐처를 활용한 추적 시도는 실제로 있었다. 2024년 12월 영국 법원에서는 러시아 연계 조직이 독일 미군기지의 우크라이나 군인 휴대전화를 추적하기 위해 IMSI 캐처 사용을 모의한 정황이 공개됐다. 같은 조직은 크렘린 비판 성향의 탐사보도 기자 크리스토 그로제프를 겨냥한 감시 작전에도 연루된 정황이 제시됐다.

민간 범죄로의 확산도 확인됐다. 2026년 2월 프랑스에서는 차량형 IMSI 캐처로 주변 휴대전화 정보를 수집한 뒤 이를 스미싱에 악용한 사건이 재판에 넘겨졌다. 미국 비영리단체 전자프런티어재단(EFF) 역시 IMSI 캐처가 주변 휴대전화의 IMSI를 수집하고 위치를 더 정밀하게 특정하는 데 활용될 수 있다고 설명하고 있다.

IMSI 캐처는 주변 단말의 가입자 식별번호(IMSI)를 수집해 특정 단말의 추적이나 위치 특정에 악용될 수 있는 장비다. 

고의가 아니어도 방치 책임은 가볍지 않다

유플러스가 처음부터 보안을 의도적으로 외면했다고 단정하기는 어렵다. 초기 IMSI 설계 당시에는 지금처럼 관련 국제 규정이 정립되지 않았고, 당시 LG유플러스가 따르던 CDMA2000 기반 2G·3G 체계와 이후 LTE 중심 구조 사이에 과도기가 있었다는 점이 배경으로 거론된다.

화이트해커 출신의 단말기 보안업체 솔더포레스트 관계자는 “초기에는 관련 3GPP 규약이 없었다”면서도 “3G에서 LTE로 넘어오는 과정에서도 기존 설계를 바로잡지 않은 점은 분명한 약점”이라고 지적했다. 이어 “IMSI를 난수 형태로 구성하라는 기준도 강제 규정이라기보다 권고 수준에 가깝다”고 설명했다.

다만 초기 기술 환경의 한계가 있었다고 해도, 구조적 취약점을 장기간 방치한 책임까지 가벼워지는 것은 아니다. LG유플러스 고객 1100만명이 식별·추적 위험에 노출된 것은 기술 표준 변화에 맞춰 손봤어야 할 구조를 그대로 둔 결과라는 지적이 나온다. 그는 “유심을 교체해야 하는 상황”이라고 말했다.

LG유플러스, 4월부터 유심 교체·OTA 재설정 추진

이번 논란은 전형적인 해킹 사고와는 결이 다르다. 하지만 1100만명에 달하는 국내 이동통신 가입자가 개인정보 보호 리스크에 노출됐다는 점에서 가볍게 볼 사안은 아니다. 그럼에도 정부 대응은 아직 원론적 수준에 머물고 있다. 과학기술정보통신부는 향후 조치 계획을 묻는 질의에 “현황을 파악한 뒤 연락드리겠다”는 취지의 답변을 내놨다.

LG유플러스는 4월부터 유심 교체에 착수할 예정이다. 이를 위해 약 200만장의 신규 유심을 확보한 것으로 알려졌다. 유심을 바꾸지 않는 가입자를 위해서는 통신망을 통한 업데이트(OTA) 방식으로 IMSI 값을 원격 재설정하는 기술도 함께 준비 중이다.

LG유플러스 관계자는 “신규 망 업데이트 문제로 유심 교체 시간이 다소 지연됐다”면서 “4월부터 유심 교체를 시작할 예정”이라고 밝혔다.