국회입법조사처, LGU+ IMSI 체계 '개인정보법 위반 소지' 지적

[아이뉴스24 서효빈 기자] 국회입법조사처가 LG유플러스의 IMSI 체계 운영 방식에 대해 개인정보보호법 위반 소지가 있다는 검토 의견을 내놨다.

국민의힘 김장겸 의원(국회 과학기술정보방송통신위원회)이 14일 입법조사처로부터 제출받은 'LGU+ IMSI 관련 개인정보보호법 검토'에 따르면 IMSI가 통신사 가입자 정보와 결합되거나 전화번호를 직접 알 수 있는 구조일 경우 개인정보에 해당할 가능성이 높다고 봤다. LG유플러스는 2011년부터 국가코드와 사업자코드 뒤에 휴대전화번호를 그대로 사용하는 방식으로 IMSI를 부여해 왔다.

이에 입법조사처는 LG유플러스의 IMSI 부여 체계와 관련해 "MSI는 전화번호와 사실상 동등한 식별력을 가지게 되므로 개인정보처리자가 통신사가 아닌 경우에도 해당할 가능성이 높다"고 판단했다. 개인정보보호위원회도 IMEI의 개인정보성을 인정한 판례 취지가 IMSI에도 적용될 수 있다고 회신했다. 이는 IMSI가 개인정보가 아니라는 LG유플러스 설명과 배치된다.

입법조사처는 LG유플러스의 IMSI 설계가 안전조치 의무를 충분히 이행하지 않았을 가능성도 제기했다. 개인정보 분실·도난·유출 방지를 위한 조치가 미흡했을 수 있다는 판단이다. 위반이 인정될 경우 3000만원 이하 과태료 대상이 될 수 있다고 설명했다.

또 전화번호를 IMSI에 사용하는 행위가 목적 외 이용에 해당할 가능성도 언급했다. 번호이동 가입자의 전화번호를 IMSI에 활용할 경우 문제가 될 수 있다는 지적이다. 입법조사처는 "기술적 필요성이 없는 상황에서 처리 목적을 초과한 이용으로 해석될 여지도 있다"고 했다.

LG유플러스는 오는 13일부터 IMSI 값을 난수화하고 전 이용자를 대상으로 유심 무상 교체 또는 재설정을 진행할 계획이다. 입법조사처는 LG유플러스가 2025년 6월부터 IMSI 전환 방안을 검토한 점을 들어 해당 문제를 인지하고 있었던 것으로 보인다고 지적했다.

김장겸 의원은 "LG유플러스는 '보안 우려'라는 명분을 내세워 개인정보 관리 책임을 회피하고 있다"며 "관련 사실을 투명하게 공개하고 관계기관은 위반 여부를 확인해 엄단해야 한다"고 말했다.