김장겸 "2023년 LG유플러스 해킹조사, IMSI 취약성 문제 놓쳤다"
입력 2026.04.10 14:28
수정 2026.04.10 14:29
LGU+, IMSI 결함 지난해 6월에서야 인지
金 "부실 조사가 유심 교체 대란 불렀다"
김장겸 국민의힘 의원 ⓒ데일리안 홍금표 기자
최근 LG유플러스가 '선제적 보안조치 강화'를 이유로 유심 교체 준비에 들어간 가운데, 2023년 LG유플러스 해킹사고 당시 IMSI(가입자 식별번호) 체계의 구조적 취약성을 바로잡을 기회가 있었음에도 이를 놓쳤다는 지적이 제기되고 있다.
국회 과학기술정보방송통신위원회 소속 국민의힘 김장겸 의원실에 따르면, 2023년 민관합동조사단에 참여했던 KISA 관계자는 "당시 조사에서는 사고 원인과 유출 경로를 중심으로 분석이 이루어져 (LG유플러스의) IMSI 체계 문제까지는 들여다보지 못했다"고 최근 의원실에 보고했다.
지난 2023년 1월 LG유플러스는 해킹으로 대규모 개인정보가 유출되고, 통신망에 대한 디도스 공격으로 접속 장애가 발생하는 사고를 겪었다. 이 사건으로 LG유플러스 가입자 약 30만명의 성명, 전화번호, 생년월일, 주소, IMSI 등 정보가 유출됐다.
문제는 당시 유출된 정보만 면밀히 분석했어도, LG유플러스의 IMSI 체계가 보안에 취약하다는 점을 충분히 파악할 수 있었다는 데 있다.
LG유플러스가 사용한 IMSI_M 방식은 전화번호 기반의 2G 시절의 규격으로, 현재 SKT와 KT는 사용하지 않는 방식이다. 유출된 IMSI와 전화번호의 연관성만 살폈더라도 구조적 문제를 확인하고 개선에 착수할 수 있었다는 얘기다. 하지만 LG유플러스와 민관합동조사단 모두 이를 놓쳤다.
LG유플러스는 해당 문제를 지난해 6월이 돼서야 인지한 것으로 파악됐다. 2023년 해킹사고 당시 구조적 취약성을 바로잡을 기회를 놓친 결과, 결국 또다시 대규모 유심 교체라는 방식으로 고객 불편과 혼란을 떠넘기게 된 셈이다.
통신사업자는 가입자 정보를 안전하게 보호할 법률상 의무를 진다. 그럼에도 LG유플러스는 오랜 기간 2G 시절의 IMSI_M 방식으로 운영해 위치추적, 보이스피싱·유심·단말 복제 등 위험에 가입자들을 노출시켰다는 비판을 받는다. 심지어 LG유플러스는 '국제 표준을 따랐다'는 식의 설명만 되풀이하며 회피에 급급한 모습이다.
여기에 더해 LG유플러스는 지난해 해킹 관련 흔적 삭제·은폐 의혹까지 불거진 바 있어, 실제로 어떤 정보가 외부로 유출됐고 어떤 방식으로 악용될 수 있는지에 대한 국민 불안은 더욱 커지고 있다.
김장겸 의원은 "2023년 LG유플러스 해킹사고 당시 단순히 침투 경로와 유출 원인만 볼 것이 아니라, 유출된 정보가 갖는 구조적 위험성까지 함께 점검했어야 했다"며 "그때 IMSI 체계 문제를 제대로 들여다봤다면 지금과 같은 두 번째 유심 교체 사태는 막을 수 있었을 것"이라고 지적했다.
이어 "정부도 이제는 사고 원인과 책임 소재를 따지는 데 그칠 것이 아니라, 정보 설계 단계부터 위험을 최소화하는 보안 내재화(Security by Design) 관점에서 조사 체계 자체를 점검해야 한다"며 "유출정보의 구조적 취약성과 제도 개선 필요성까지 함께 진단할 수 있도록 조사 전문성과 인력 체계를 보강해야 한다"고 강조했다.
![[르포] "노인정서도 김부겸이라 칸다" "그래도 국민의힘"…요동치는 '보수의 심장' 대구](https://cdnimage.dailian.co.kr/news/icon/202604/news_1775821154_1632242_c.jpg?v=1775864139){kind=icon}
![12조 상속세 마침표 찍은 이재용, 실리콘밸리서 ‘AX 속도전’ 구광모 [재계-in]](https://cdnimage.dailian.co.kr/news/icon/202604/news_1775798188_1632063_c.jpeg?v=1775858401){kind=icon}
