[이데일리 윤정훈 기자]서울YMCA가 가입자식별번호(IMSI) 관리를 부실하게 한 LGU+를 향해 위약금 면제를 실시하라고 목소리를 높였다.

최근 전문가들의 시연을 통해 LGU+의 IMSI(국제 이동통신 가입자 식별번호, International Mobile Subscriber Identity) 관리 부실로 인한 보안 위협이 현실화되고 있다. 지난 4월 8일 닷핵 컨퍼런스 2026(.Hack Conference 2026)에서 김용대 KAIST 교수는 오픈소스로 공개된 LTE 스니퍼(Sniffer)를 활용하여 특정 LGU+ 단말의 위치를 확인하는 영상을 공개했다. 시연 결과 운동장과 건물 5층에 배치된 단말의 위치를 정확히 파악한 바 있다. 전화번호만 알면 그와 연동된 IMSI 신호를 포착해 해당 단말 위치를 알 수 있다는 의미다.

또 전날 온라인 커뮤니티에 따르면 익명의 보안 전문가가 IMSI 캐처(Catcher)를 구성하여 LGU+ 단말의 IMSI 값을 알아내고, 실제 IMSI 값에 활용된 가입자 전화번호 8자리를 확인 후 전화를 거는 영상을 공개했다. 이처럼 전문가들은 전화번호 기반의 IMSI 값이 실시간 위치 추적, 통화 내용 및 문자 메시지 탈취 등에 활용될 수 있음을 잇따라 경고하고 있다.

이에 대해 서울YMCA는 “과기정통부는 LGU+의 행위가 법률적으로 문제가 있는 것은 아니라는 입장”이라며 “IMSI 관리 부실은 정보통신망법 제3조 ‘안전한 서비스를 제공하여 이용자의 권익을 보호해야 할 책무’의 해태로 명백한 법 위반에 해당한다고 볼 수 있다”고 지적했다.

이어 “LGU+ 5G 이용약관 제38조 제4호는 ‘회사의 귀책 사유’로 인해 계약을 해지할 경우 위약금을 면제하도록 규정하고 있다”며 “지난해 과기정통부의 통신사 위약금 면제 법률 검토를 고려하면, IMSI 관리 부실이 약관상 위약금 면제 사유에 해당하는지 여부는 ‘LGU+의 IMSI 체계 관리 부실’, ‘안전한 서비스 제공 위반 여부’를 중심으로 판단해야 한다”고 덧붙였다.

또 “IMSI 값 구성 시 난수를 사용하는 방식은 고도의 기술력을 요하지 않는 간단한 보안 조치에 불과하다”며 “이를 해태함에 따라 발생 가능한 2차 피해와 파급 효과는 가늠하기 어려울 만큼 광범위하다. LGU+는 통신사에게 합리적으로 기대할 수 있는 정도의 보호조치를 다하지 않았으므로 IMSI 체계 관리에 현저한 과실이 존재한다”고 말했다.

LGU+는 IMSI로 인한 보안 위험을 해결하기 위해 지난 13일부터 유심교체를 단행하고 있다.

서울YMCA는 “과기정통부는 LGU+ 전 고객에 대해 충분한 기간 위약금 면제 행정지도를 실시하라”며 “과기정통부와 LGU+는 이용자가 위약금 부담 없이 서비스 해지 여부를 선택하고 보안 위협으로부터 즉각 벗어날 수 있도록 해야 한다”고 요청했다.

이어 “경찰은 관련 서버와 로그, 외주 협력사 기기 등 증거를 최우선으로 확보하고, 증거 인멸 행위에 대해 엄정 수사해야 한다”며 “수사 경과 및 밝혀진 사실을 투명하게 공개하여 합당한 조치를 취해야 한다”고 경찰의 신속한 조사도 촉구했다.