오지훈 | 기자 작성일 2026년 03월 18일
LG유플러스가 전 고객을 대상으로 유심 무상 교체를 시행하고 IMSI 난수화를 도입해 보안 체계를 강화합니다.
LG유플러스가 실제 가입자 전화번호를 반영해 국제이동가입자식별정보(IMSI)를 부여해 온 것으로 드러났습니다. 단말기 복제나 직접적인 정보 유출 가능성은 낮지만 가입자 위치 등을 식별할 기술적 가능성이 제기되면서, LG유플러스는 내달부터 모든 가입자를 대상으로 유심 무상 교체를 진행하기로 했습니다.
LG유플러스는 다음달 13일부터 강화된 보안 체계를 가동하고, 전 고객을 대상으로 유심 무상 교체와 재설정을 순차적으로 진행한다고 17일 밝혔습니다.
LG유플러스는 연내 상용화하는 5G 단독모드(SA)에 IMSI를 암호화하는 기술을 100% 적용합니다. 기존 IMSI 체계에도 난수화를 도입해 보안을 강화한다는 방침입니다.
4세대 이동통신(4G) 도입 당시부터 현재까지 IMSI 값을 생성할 때 가입자 전화번호를 일부 포함하는 방식으로 발급해 왔다는 사실이 이번에 확인됐습니다.
IMSI는 가입자를 구분하는 고유 식별번호로, 국가 번호·이동통신사 식별번호·개인 식별번호 등 15자리로 유심에 저장됩니다.
문제로 지적된 것은 SK텔레콤이나 KT가 개인식별번호를 난수 등을 활용해 특정하기 어렵게 부여한 것과 달리, LG유플러스는 전화번호를 조합한 방식으로 적용했다는 점입니다. 국제표준을 준수했고 해당 정보가 유출됐다 하더라도 즉각적인 해킹이 이뤄질 가능성은 낮지만, 부가 정보를 조합하면 특정인을 식별하는 '표적형 추적'이 이뤄질 가능성이 존재한다는 전문가 의견이 제시됐습니다.
LG유플러스는 IMSI가 일종의 개인 식별을 위한 '아이디'일 뿐, 실제 정보 탈취를 위해서는 킷값 등 '비밀번호'까지 알아야 한다는 입장입니다. 특정인 조합 역시 해커가 중간에 가짜 기지국을 설치해 정보를 사전 탈취하지 않는 한 불가능하다고 강조했습니다.
다만 LG유플러스가 2011년 4G 도입 당시부터 10년 이상 개인정보를 식별 가능한 형태로 유지해 온 만큼 관리 미흡이라는 비판은 피하기 어려운 상황입니다. LG유플러스는 문제를 인지하고 지난해부터 과학기술정보통신부 등과 개선 방안을 논의해 왔다고 밝혔습니다.
이상엽 LG유플러스 최고기술책임자(CTO)는 "기존 IMSI 체계는 국제 표준에 부합하는 것으로 안전하게 운영돼 왔고, 고객을 인증할 때 암호화된 키 값 등을 추가로 확인하기 때문에 보안사고로 이어질 가능성은 매우 낮다"며 "5G SA에서는 IMSI를 암호화해 고객정보 보호 수준을 한층 강화할 계획"이라고 말했습니다.