깃허브에는 IMSI를 통해 LG유플러스 가입자의 전화번호를 확인하는 시연 영상이 게시됐고, 서울YMCA는 위약금 없이 해지를 허용해야 한다는 성명까지 발표했다. 이용자 불안이 커지는 가운데 실제 기술적 위험은 어느 수준일까.
약 25년간 IMSI에 전화번호를 그대로 사용해온 취약한 구조가 이데일리 보도를 통해 알려지며 논란은 시작됐다. LG유플러스는 지난 13일부터 유심(USIM) 교체에 나섰지만, 이를 고객 프라이버시 보호 조치로 명확히 설명하지 않으면서 혼란은 이어지고 있다. 결과적으로 이번 유심 교체는 IMSI 구조 변경을 통해 이용자 식별 가능성을 낮추기 위한 조치로 풀이된다.
이에 대해 김용대 KAIST 전기 및 전자공학부 교수는 “가능한 기술과 실제 위험이 혼재되며 과도한 공포가 형성된 측면이 있다”면서도 “이용자 보호 관점에서 충분한 설명이 부족했던 점은 문제”라고 지적했다.
깃허브에 오른 ‘IMSI = 전화번호?’ LG유플러스 취약성 영상. 그는 “한국의 주요 통신사 중 하나인 LG유플러스(LGU+)와 관련된 심각한 보안 문제를 알리고자 한다”면서 “현재 LG유플러스는 보안 이슈를 이유로 전 가입자를 대상으로 유심(SIM) 교체를 진행하고 있지만, 정작 그 이유에 대해서는 명확한 설명을 하지 않고 있다. 그 결과, 대부분의 이용자들은 자신이 얼마나 취약한 상태에 놓여 있는지조차 알지 못하고 있다”고 적었다. 이어 “LG유플러스가 이용자의 IMSI를 전화번호와 동일하게 설정해 간단한 IMSI 캐처(가짜기지국)를 이용하면 주변 기기들의 IMSI를 수집할 수 있는데, 만약 IMSI가 곧 전화번호라면 표적 범죄 가능성, 위치 추적 가능성이 있다”며 “저는 이러한 취약성을 직접 확인하기 위해 단 하루 만에 IMSI 캐처를 제작했고, 그 결과를 영상으로 촬영해 공유했다”고 밝혔다. 이어 “LG유플러스는 모호한 기업식 표현 뒤에 숨을 것이 아니라, 이용자들에게 투명하고 구체적인 설명을 제공해야 한다. 또한, 이러한 문제가 재발하지 않도록 한국 정부 역시 개입해 책임을 명확히 할 필요가 있다”고 언급했다. 출처=깃허브 캡처
결론부터 말하면 ‘완전한 위치 추적’은 어렵다.
김용대 KAIST 교수는 “IMSI는 단말을 껐다 켤 때만 노출된다. 같은 기지국 안에서는 ‘있는지 없는지’ 정도는 확인할 수 있다”고 설명했다.
IMSI는 단말기가 꺼졌다가 다시 켜질 때, 네트워크가 단말을 처음 인식하는 과정에서 일시적으로 전달되는 정보다. 평상시에는 임시 식별자인 TMSI가 사용되기 때문에 IMSI가 지속적으로 노출되지는 않는다.
이 때문에 단말을 재부팅하는 순간, 동일한 기지국 내 근거리 환경에서는 특정 단말의 존재 여부를 확인할 수 있다. 그러나 원거리에서 위치를 추적하거나 실시간으로 이동 경로를 파악하는 것은 사실상 불가능에 가깝다.
김 교수는 “현재 대한민국에서 멀리 있는 사람을 확인할 방법은 없다”고 강조했다.
김용대 KAIST 교수. 사진=KAIST
기술적 위험과 별개로 설계 측면의 문제는 존재한다는 지적이다.
김용대 KAIST 교수는 “프라이버시 보호를 고려하면 IMSI와 전화번호를 같게 쓰면 안 된다”고 말했다. 이동통신은 IMSI 대신 임시 식별자인 TMSI를 사용하는 구조로 설계돼 있으며, IMSI는 제한적인 상황에서만 사용하는 것이 원칙이다.
그는 “TMSI를 사용하는 이유는 프라이버시 보호 때문”이라고 설명했다. 하지만 IMSI와 전화번호가 동일한 구조라면, 제한적인 조건에서도 특정 사용자를 식별할 가능성이 높아질 수 있다. 이는 위치 정보 자체보다 ‘누가 그 위치에 있는지’가 연결될 수 있다는 점에서 프라이버시 취약 요소로 지적된다.
◇팩트체크③ 왜 논란 커졌나 → “설명 부재가 혼란 키웠다”
논란이 확산된 배경에는 설명 부족이 있었다는 분석이다.
김용대 KAIST 교수는 “회사의 설명이 없으니까 온갖 종류의 해석이 나오고 있다”고 지적했다.
유심 교체가 왜 필요한지, 어떤 위험을 줄이기 위한 조치인지에 대한 충분한 설명 없이 대응이 이뤄지면서 이용자 혼란이 커졌다는 것이다. 이 과정에서 ‘전면적인 위치 추적’이라는 과장된 해석까지 확산됐다는 분석이다.
논란의 출발점이 된 4월 8일 닷핵 컨퍼런스 시연은 LG유플러스와 직접적인 관련이 없다는 설명이다. 김용대 교수는 “경찰청 과제로 진행된 보이스피싱 단말 위치 추적 기술 시연”이라며 “특정 통신사의 취약점을 입증하려는 목적은 아니었다”고 밝혔다.
해당 시연에 활용된 ‘KAIST 스니퍼’는 이동통신 과정에서 발생하는 암호화되지 않은 무선 신호를 수신해 분석하는 장비다. 기지국과 단말 사이 신호를 ‘듣는’ 방식으로 정보를 확인하며, 별도의 전파를 송출하지 않는 수동형 장비라는 점에서 가짜 기지국과는 구별된다.
김 교수는 “스니퍼는 수신만 하는 장비로, 공격 장비가 아니라 분석 도구에 가깝다”고 설명했다.
이어 “같은 기지국 내에서 단말을 껐다 켤 때 IMSI가 노출되는 순간에 한해 존재 여부를 확인할 수 있다”며 “기술적 조건이 매우 제한적”이라고 강조했다.
그는 당시 스니퍼를 활용해 운동장과 건물 내부에 배치된 단말의 위치를 식별하는 시연 영상을 공개한 바 있다. 다만 이 기술은 무선 신호 분석을 통해 위치를 파악하는 방식으로, IMSI 구조 문제와는 별개의 영역이라는 설명이다.
김 교수는 “발표에서 여러 공격 방법(시나리오)을 설명했는데 일부만 부각되며 오해가 생겼다”고 덧붙였다.
끝으로 그는 이번 논란에 대해 “위치 확인 자체는 가능한 기술이지만, 전국민 실시간 추적 수준으로 이해되는 것은 과장된 측면이 있다”고 밝혔다.
이어 “논란을 키운 것은 회사의 소통 부재 측면도 있다”고 지적했다.
