"IMSI로는 위치 추적 불가능" LG유플러스 보안체계 재점검

IMSI, 암호화 표준으로 보호…인증키 없인 망 접속 불가
AI 피해방지·FDS 가동·모의해킹 등 ‘3중 보안망’ 완성

[한국금융신문 정채윤 기자] 최근 일부 온라인 커뮤니티를 중심으로 “가입자식별번호(IMSI) 유출로 개인 위치 추적과 개인정보 해킹이 가능하다”는 의혹이 제기됐지만, 실제 통신망 구조상 그 가능성은 거의 ‘제로’에 가까운 것으로 나타났다.

17일 LG유플러스 측은 “IMSI는 단순한 가입자 식별정보일 뿐, 네트워크 접속 권한이나 개인정보 접근 능력을 포함하지 않는다”며 “IMSI 노출만으로는 어떤 형태의 해킹도 불가능하다”고 밝혔다.

‘IMSI 해킹’은 구조적으로 불가…‘인증키’ 없이는 망 접속조차 못해

관련기사 #LG유플러스 #가짜기지국 #IMSI #해킹 #홍범식

LG유플러스, ‘AI 얼라이언스’로 통신 새 질서 연다 LG유플러스, 구글 한국 데이터센터 구축하나 진격의 LG유플…‘13년만에 AA+’LG유플러스, MWC서 ‘원 LG’ AI 데이터센터 전략 공개 LG유플러스, MWC26서 미래형 AI 에이전트 ‘익시오 프로’ 공개

가입자식별번호 IMSI(International Mobile Subscriber Identity)는 통신망 접속 시 본인 확인을 위해 사용되는 번호지만, 3GPP 국제 표준에 따라 철저히 암호화돼 관리된다. 최초 접속 인증 시에만 확인 절차를 거치며, 이후 모든 데이터 전송 구간에서는 난수 기반의 암호화 식별자로 대체된다.

즉, 본래의 번호가 망 내에서 반복적으로 노출되는 일 자체가 없는 것이다. 이 구조는 4G·5G를 포함한 전 세계 이동통신 표준의 근간으로, 이용자 정보 보호의 핵심 역할을 한다.

LG유플러스 측은 “통신망에 접속하기 위해서는 유심(USIM) 내부에 저장된 고유의 ‘인증키(Ki)’가 반드시 필요한데, 이는 USIM 내 별도 보안 영역에 저장돼 있어 복제나 외부 접근이 불가능하다”고 말했다.

따라서 설령 외부에서 가짜 기지국(IMSI Catcher) 등을 통해 식별자 정보가 일부 노출되더라도, 실제 통신 연결이나 데이터를 탈취하는 것은 원천적으로 차단되는 구조다.

위치 추적 불가능…기술적·물리적 한계가 명확

이러한 구조적 안전성에도 불구하고, IMSI를 통한 실시간 위치 추적 논란은 여전히 남아있다. 이에 대해 LG유플러스 측은 “현실적으로 구현 자체가 불가능하다”고 설명했다.

특정 개인 단위의 위치를 실시간으로 특정하기 위해서는 전국 단위의 이동통신망 접속기록, 기지국 간 삼각 측위 시스템, 대규모 데이터 분석 인프라가 동시에 필요하다. 이는 이동통신사 수준의 기술력과 장비 없이는 구축할 수 없는 영역이다.

위치정보는 통신사 내부 보안 시스템의 최고 등급으로 관리되며, 외부기관 접근은 법적·기술적 절차를 모두 거쳐야 한다.

LG유플러스는 이상 접근 시도를 탐지하는 실시간 모니터링 체계도 운영 중이다. 회사가 가동 중인 통합관제센터는 빅데이터·AI 기반으로 전국 네트워크의 장애와 이상 상황(비정상 접근 포함)을 24시간 실시간 모니터링하며, 이를 자동 탐지·대응하는 역할을 한다.

LG유플러스 측은 “통신망은 단일 장비로 뚫을 수 있는 구조가 아니다”라며 “위치 정보는 통신사의 엄격한 보안 통제하에 관리되며 외부의 비정상적인 접근은 실시간으로 차단된다”고 강조했다.

AI 중심 ‘3중 방어 시스템’으로 신뢰 고도화

이러한 네트워크 방어의 연장선에서 LG유플러스는 AI 기술을 접목한 3중 보안체계를 가동하고 있다.

첫째 AI 기반 고객 피해 방지 시스템을 통해 악성 문자·스미싱을 실시간 분석하고, 의심 패턴을 사전 차단한다. 둘째 부정사용 방지 시스템(FDS)이 비정상적인 접속 시도나 불가능한 이동 거리에서 발생한 인증 요청을 자동 탐지해 즉시 차단한다.

셋째 보안 인프라 모의 해킹 및 점검 체계를 운영하며, 소형 기지국·IoT(사물인터넷) 게이트웨이 등 잠재 취약 지점을 정기 분석한다. 이와 함께 통신망에서 감지된 이상 징후는 즉시 AI 모니터링 센터로 전송돼, 필요시 고객에게 카카오톡(알림톡)이나 문자로 즉시 경고 메시지를 발송한다.

LG유플러스 관계자는 “프라이버시는 통신 신뢰의 출발점”이라며 “IMSI와 같은 가입자 식별체계 외에도 AI 기술로 스팸·피싱·보이스피싱을 24시간 감시해 고객 보호 수준을 산업 최고 수준으로 유지하겠다”고 말했다.

특히 IMSI 보안 논란에 대응해 LG유플러스는 다음 달 13일부터 한층 강화된 보안 체계를 가동하고, 전 고객을 대상으로 유심 무상 교체와 재설정을 순차적으로 진행하는 등 이용자 보호를 강화할 방침이다.

유심 무상 교체와 재설정은 LG유플러스 이동전화 서비스를 이용하는 전 고객이 대상이다. 스마트워치 등 세컨드디바이스는 물론 키즈폰, LG유플러스 망을 상용하는 알뜰폰 고객들도 포함된다.

정채윤 한국금융신문 기자 chaeyun@fntimes.com