입법조사처, LGU+ IMSI 구조 논란에 "개보법 위반 가능성"
||2026.04.14
![LG유플러스가 가입자 식별번호(IMSI) 설계 문제로 전 고객 대상 유심 교체를 진행하는 가운데 지난 12일까지 18만560명이 사전 방문을 예약했다. [사진: LG유플러스]](https://contents-cdn.viewus.co.kr/image/2026/04/CP-2023-0397/image-05ec5126-a465-4394-b6ad-d1a45f0f2fb4.jpeg)
[디지털투데이 이진호 기자] 국회입법조사처가 LG유플러스의 가입자식별번호(IMSI)체계 운영 방식이 개인정보보호법 위반 소지가 있다는 취지의 검토 의견을 내놨다.
14일 김장겸 국민의힘 의원이 입법조사처로부터 제출받은 'LGU+ IMSI 관련 개인정보보호법 검토'에 따르면, IMSI는 단독으로는 특정 개인을 식별하기 어렵지만 통신사의 가입자 정보와 결합될 경우 개인 식별 가능성이 높아질 수 있다. 특히 LG유플러스처럼 IMSI에 전화번호를 반영하는 구조라면 개인정보에 해당할 가능성이 크다는 판단이다.
IMSI는 이동통신망 접속 시 가입자를 식별하는 값이다. LG유플러스는 2011년부터 고객 전화번호를 반영해 IMSI를 부여해 왔다. 입법조사처는 "IMSI는 전화번호와 사실상 동등한 식별력을 가지게 된다"며 "통신사가 아닌 개인정보처리자에게도 개인정보로 평가될 가능성이 있다”고 밝혔다.
개인정보보호위원회도 김 의원실에 보낸 회신에서 단말기 식별값인 IMEI의 개인정보성을 인정한 판례 취지가 IMSI에도 적용될 수 있다는 입장을 전달했다. 이는 IMSI 자체는 개인정보가 아니라는 LG유플러스 측 설명과는 배치되는 부분이다.
입법조사처는 또 LG유플러스의 IMSI 설계에 대해 "개인정보보호법상 안전조치 의무를 충분히 이행하지 않은 것으로 평가될 수 있다"고 밝혔다. 개인정보처리자는 분실·도난·유출 등을 방지하기 위한 보호 조치를 취해야 한다. 하지만 LG유플러스의 IMSI 설계 구조는 개인정보를 안전하게 저장·전송하기에 미흡할 수 있다는 지적이다. 안전조치 의무 위반이 인정되면 최대 3000만원 이하의 과태료 부과 대상이 될 수 있다.
전화번호를 IMSI에 사용하는 행위가 개인정보의 목적 외 이용에 해당할 수 있다는 해석도 나왔다. 번호이동 가입자의 전화번호를 IMSI에 활용할 경우 당초 수집 목적을 벗어난 이용으로 볼 여지가 있다는 해석이다. 입법조사처는 "통신 서비스 제공 목적 범위 안으로 볼 여지가 있지만 IMSI 설계에 반드시 전화번호를 사용해야 할 기술적 필요성이 없다는 점에서 목적을 초과한 이용으로 해석될 가능성도 있다"고 밝혔다.
다만 입법조사처는 신규 가입자에게 전화번호와 IMSI를 부여하는 행위 자체는 외부에서 개인정보를 취득하는 '수집'이 아니라 통신사가 번호를 생성하는 과정으로 볼 수 있기 때문에 개인정보 수집 관련 규정 적용 여부는 별도 검토가 필요하다고 설명했다..
한편 LG유플러스는 지난 IMSI 값을 난수화하기 위해 전 고객 대상 유심 무상 교체 또는 업데이트 조치를 진행 중이다. 그러나 입법조사처는 회사가 2025년 6월부터 IMSI 전환 방안을 검토해 온 점을 들어, 이미 해당 문제를 이미 인지하고 있었을 가능성이 있다고 지적했다.
김 의원은 "LG유플러스는 보안 우려라는 명분으로 개인정보 관리 책임을 회피하고 있다"며 "입법조사처와 개인정보보호위원회에서도 침해 가능성을 확인한 만큼 더 이상의 변명은 통하지 않는다"고 말했다.
이에 LG유플러스는 "IMSI는 일반적인 개인정보에는 해당되지만 외부에 유출되거나 노출된 것이 아닌 만큼 개인정보보호법 위반 사항이 있다고 보기 어렵다"며 "노출된다 하더라도 암호화된 인증키(KI)가 유출되지 않은 경우라면 복제폰 등의 위험이 없으므로 개인정보보호법상 안전조치의무 위반에 해당하지 않는다"고 밝혔다.
