메뉴 보기
LG유플러스의 전화번호 기반 가입자식별번호(IMSI) 체계가 개인정보보호법 위반 행위에 해당할 수 있다는 국회 입법조사처 판단이 나왔다. “법 위반이 아니다”라고 밝힌 LG유플러스와 과학기술정보통신부 입장과 배치된다. 앞서 통신사들 해킹 사태를 겪고도 고객 개인정보 관리 문제에 안이하게 대응하는 것 아니냐는 지적이 제기된다.
14일 국민의힘 김장겸 의원실이 입법조사처로부터 받은 자료를 보면, 통신사의 경우 IMSI와 가입자 정보를 쉽게 결합해 개인을 식별할 수 있기 때문에 IMSI가 개인정보에 해당할 가능성이 크다는 게 입법조사처의 판단이다. IMSI는 유심에 저장하는 15자리 번호로 단말기가 네트워크에 접속할 때 가입자를 식별하는 데 쓰인다. LG유플러스는 2011년부터 가입자 전화번호를 IMSI에 반영하는 방식을 쓰다가 최근 보안 우려가 제기되자 전 고객을 대상으로 유심 교체와 업데이트 서비스를 진행하고 있다.
입법조사처는 성명과 주소, 전화번호 등 가입자 정보를 가진 통신사의 경우 IMSI와 결합해 개인을 알아볼 수 있기 때문에 IMSI를 개인정보보호법상 개인정보에 해당할 수 있다고 봤다. 특히 LG유플러스 사례처럼 IMSI로 특정인의 전화번호를 알 수 있는 구조라면 “IMSI와 전화번호가 동등한 식별력을 가지므로 (IMSI 처리자가) 통신사가 아니더라도 개인정보에 해당할 가능성이 높다”고 덧붙였다.
개인정보보호위원회(개보위)도 “단말기식별번호(IMEI)에 대해 ‘다른 개인정보와 결합할 경우 보호받아야 할 개인정보에 해당한다’는 2011년 법원 판결이 IMSI에도 적용될 수 있다”고 했다.
LG유플러스와 과기정통부는 IMSI가 규제 대상이 아니라고 밝혀왔는데, 이와 배치된 해석이 나오면서 법 위반 가능성을 따져봐야 한다는 지적이 나온다. LG유플러스는 지난달 김 의원실에 IMSI가 개인정보보호법이 규제하는 개인정보에 해당하지 않는다고 했고, 배경훈 부총리 겸 과기정통부 장관은 지난달 24일 국회 과학기술정보방송통신위원회 전체회의에서 ‘IMSI 값이 법률을 위반한 것이냐’는 질의에 “보안 수준이 낮을 수는 있지만 법률적으로 문제가 아니다”라고 말한 바 있다.
하지만 입법조사처는 다르게 봤다. 개인정보보호법은 개인정보처리자가 개인정보 유출 등을 막기 위해 기술·관리·물리적 조치를 하도록 규정한 만큼, 전화번호를 사용한 행위가 안전조치 의무를 충실히 이행하지 않은 것으로 볼 수 있다는 것이다. 안전조치 의무를 위반한 경우 과태료 3000만원이 부과될 수 있다.
과기정통부 관계자는 “(LG유플러스의 IMSI 관련 문제는) 전기통신사업법상 규제 대상이 아니고, 통신사들이 자율적으로 관리하는 영역”이라고 설명했다. 개인정보보호법은 개보위 소관 법이어서 과기정통부가 고려하지 않은 것으로 풀이된다.
SK텔레콤이나 KT에서 번호이동(통신사 변경)한 고객의 전화번호를 IMSI에 반영한 행위가 개인정보 목적 외 이용에 해당할 수 있다는 의견도 나왔다. 입법조사처는 “IMSI 설계에 반드시 전화번호를 사용해야 할 필요성이 없다”며 “처리 목적을 초과한 이용으로 볼 여지가 있다”고 했다.
이에 대해 LG유플러스는 “IMSI는 개인정보보호법의 규제를 받는 고유식별정보가 아니고 (법 내) 규정이 존재하지 않는다”며 “외부로 노출된다 하더라도 암호화된 인증키(KI)가 유출되지 않은 경우라면 복제폰 등의 위험이 없어 안전조치의무 위반으로 보기 어렵다”고 밝혔다.
