LG유플러스의 전화번호 기반 가입자식별번호(IMSI) 체계가 개인정보보호법 위반 행위에 해당할 수 있다는 국회 입법조사처 판단이 나왔다. “법 위반이 아니다”라고 밝힌 LG유플러스와 과학기술정보통신부 입장과 배치된다.
14일 국민의힘 김장겸 의원실이 입법조사처로부터 받은 자료를 보면, 통신사의 경우 IMSI와 가입자 정보를 쉽게 결합해 개인을 식별할 수 있기 때문에 IMSI가 개인정보에 해당할 가능성이 크다는 게 입법조사처의 판단이다. IMSI는 유심에 저장하는 15자리 번호로 단말기가 네트워크에 접속할 때 가입자를 식별하는 데 쓰인다. LG유플러스는 2011년부터 가입자 전화번호를 IMSI에 반영하는 방식을 쓰다가 최근 보안 우려가 제기되자 전 고객을 대상으로 유심 무상 교체와 업데이트 서비스를 진행하고 있다.
입법조사처는 성명과 주소, 전화번호 등 가입자 정보를 가진 통신사의 경우 IMSI와 결합해 개인을 알아볼 수 있기 때문에 IMSI를 개인정보보호법상 개인정보에 해당할 수 있다고 봤다.
개인정보보호위원회(개보위)도 “단말기식별번호(IMEI)를 보호받아야 할 개인정보로 본 2011년 법원 판결이 IMSI에도 적용될 수 있다”고 했다.
LG유플러스와 과기정통부는 IMSI가 규제 대상이 아니라고 밝혀왔는데, 이와 배치된 해석이 나오면서 법 위반 가능성을 따져봐야 한다는 지적이 나온다. LG유플러스는 IMSI가 개인정보보호법 규제를 받지 않는다는 입장이고, 배경훈 부총리 겸 과기정통부 장관은 지난달 24일 국회에서 LG유플러스 IMSI 체계에 대해 “보안 수준이 낮을 수는 있지만 법률적으로 문제가 아니다”라고 말한 바 있다.
하지만 입법조사처는 다르게 봤다. 개인정보보호법은 개인정보처리자가 개인정보 유출 등을 막기 위해 기술·관리·물리적 조치를 하도록 규정한 만큼, 전화번호를 사용한 행위가 안전조치 의무를 충실히 이행하지 않은 것으로 볼 수 있다는 것이다.
이에 대해 LG유플러스는 “IMSI가 외부로 노출된다 하더라도 암호화된 인증키(KI)가 유출되지 않은 경우라면 복제폰 등의 위험이 없어 안전조치의무 위반으로 보기 어렵다”고 밝혔다.