실시간
뉴스

통신*방송

[단독] LGU+ IMSI 구조 문제, 2023년 정부 조사서 놓쳤다

디지털데일리 발행일 2026-04-09 10:41:09
강소현 기자

IMSI 평문유출에도 불구 조사 대상선 빠져…KISA “당시 인지 못해”

[사진=LG유플러스]
[사진=LG유플러스]

[디지털데일리 강소현 기자] LG유플러스가 전화번호 기반 가입자식별번호(IMSI) 구조 문제로 논란에 휩싸인 가운데 지난 2023년 해킹 사고 당시 민관 합동 조사 과정에서는 해당 구조적 취약성이 제대로 검토되지 않았던 것으로 확인됐다.

IMSI까지 유출됐음에도 설계 구조에 대한 점검이 이뤄지지 않았다는 점에서 사고 대응이 ‘원인 규명’에만 머문 것 아니냐는 지적이 나온다.

9일 국민의힘 김장겸 의원실에 따르면 LG유플러스 해킹 사고를 조사했던 한국인터넷진흥원(KISA)은 2023년 조사 당시 IMSI의 구조적 취약성을 별도로 인지하지 못한 것으로 확인됐다.

LG유플러스는 2023년 1월 사이버 공격으로 IMSI를 포함한 대규모 개인정보가 유출되는 사고를 겪었으며, 상당수가 암호화되지 않은 상태로 외부에 노출된 것으로 파악됐다.

하지만 당시 KISA와 과학기술정보통신부로 구성된 민관 합동 조사단은 사고 원인과 유출 경로 분석에 집중하면서 IMSI의 구조적 위험성은 후순위로 밀린 것으로 파악된다.

당시 민관 합동 조사단에 참여했던 KISA 관계자는 의원실에 “조사 당시에는 사고 원인과 유출 경로를 중심으로 분석이 이뤄져 IMSI의 구조적 문제까진 들여다보지 못했다”는 취지의 발언을 한 것으로 알려졌다.

문제는 해당 구조가 기술적으로 확인이 어려운 수준이 아니었다는 점이다. 전문가들은 IMSI와 전화번호 간 연관성은 관련 데이터를 함께 보면 충분히 파악 가능한 수준이며, 통신 분야에선 이를 기본적인 보안 취약 요인으로 인식하고 있다는 입장이다.

한 보안 전문가는 “조사가 유출 경로와 사고 원인 규명에 집중됐다면 정보 구조까지 깊이 들여다보지 못했을 수 있다”면서도 “통신 구조에 대한 이해가 있는 전문가가 조사단에 있었다면 IMSI와 가입자 전화번호 간 연관성을 확인하고 문제를 제기했을 가능성이 크다”고 밝혔다.

결국 IMSI 유출 사실을 확인하고도 구조적 위험까지는 검토되지 않은 셈으로 당시 조사 범위와 검증 수준이 충분했는지에 대해선 의문이 제기된다.

LG유플러스는 IMSI 구조와 관련해 표준 기반 설계로 법적 문제는 없다는 입장이다. IMSI를 활용한 공격 시나리오 역시 당시에는 현실성이 낮았다는 설명이다.

하지만 업계에선 이번 사안의 핵심이 불법 여부가 아니라 ‘검증 수준’에 있다고 보고 있다. 특히 LG유플러스가 IMSI 구조 문제를 2025년 6월에서야 인지했다고 밝히면서, 이미 유출이 확인된 정보에 대해 충분한 검증이 이뤄졌는지에 대한 의문이 커지고 있다.

결국 LG유플러스는 통신사 중 이례적으로 두 차례에 걸쳐 유심 교체를 진행하게 됐다. 2023년 사고 이후 이뤄진 유심 교체가 구조적 문제를 해소하지 못한 채 다시 전면 교체로 이어지게 된 셈이다.

또 다른 보안 전문가는 “IMSI의 뒤 식별값을 난수 기반이 아닌 개인을 특정할 수 있는 전화번호 형태로 유지한 것 자체가 위험한 설계”라며 “결과적으로 큰 피해로 이어지지 않은 것은 운이 좋았다고 밖에 볼 수 없다”고 지적했다.

그는 “해당 구조가 알려진 상태에서 다른 유출 정보와 결합될 경우 개인 식별이나 추가 공격으로 이어질 가능성도 있었다”며 “충분히 더 큰 보안 사고로 확산될 수 있는 위험이 내재돼 있었다”고 덧붙였다.

전문가들은 이번 사안을 계기로 사고 원인 분석에 그치지 않고, 유출된 정보의 구조적 위험까지 점검할 수 있는 조사 체계가 필요하다고 지적한다.

특히 사후 대응이 아닌 설계 단계부터 보안을 반영하는 ‘보안 내재화(Security by Design)’ 원칙을 강화해야 한다는 목소리가 커지고 있다.

김장겸 의원은 “IMSI는 통신망에서 가입자를 식별하는 핵심 정보임에도 유출 이후에도 그 구조적 위험성이 제대로 검토되지 않았다는 점은 문제”라며 “제로 트러스트 등 보안 원칙을 강조하면서도 실제 사고 이후에는 ‘표준을 따랐다’는 설명으로 대응하는 것은 설득력이 떨어진다”고 지적했다.

이어 “통신사와 정부 모두 사고 원인 파악에 그칠 것이 아니라 정보 설계 단계에서부터 위험을 최소화하는 보안 내재화 체계로 전환해야 한다”며 “특히 정부 조사 과정에서도 해당 문제가 걸러지지 않았다는 점에서 조사 전문성과 인력 체계 전반에 대한 점검이 필요하다”고 강조했다.

Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지

이 기사와 관련된 기사

디지털데일리 네이버 메인추가

당신이 좋아할 만한 뉴스

DD 마이크로 사이트

오피니언