“IMSI까지 유출”…KT, 개인정보법 위반 여부 촉각

국제이동가입자식별정보(IMSI) 유출 사고가 통신 산업의 개인정보보호 기준을 다시 도마에 올리고 있다. KT가 불법 초소형 기지국 신호수신 이력을 바탕으로 이용자 5561명의 IMSI 유출 가능성을 확인해 당국에 신고하면서, 개인정보보호 체계에 대한 경각심이 높아지는 중이다. 업계에서는 이번 조치를 개인정보 경쟁의 분수령으로 본다.

KT가 6월 11일 오후 개인정보보호위원회에 IMSI 유출신고를 공식 접수했다. IMSI는 휴대전화 사용자를 국제적으로 고유 식별하는 데이터로, 단독으로는 범죄에 바로 사용되기 어렵지만 국내법상 엄격하게 보호되는 개인정보다. KT는 경기도 광명시와 서울 금천구 등에서 발생한 무단 소액결제 피해의 원인을 추적하는 과정에서 불법 초소형 기지국이 이동통신망에 접근했고, 이로 인해 관련 이용자의 IMSI가 노출됐을 가능성을 파악했다.

기술적으로, 불법 기지국(Micro Base Station)은 휴대폰과 통신사 망 사이의 신호를 중간에서 가로채 IMSI와 같은 식별정보를 수집할 수 있다. 이번 사건은 공식 네트워크 외부에서 신호를 유도하는 방식이 동원됐다는 점에서 기존 망 보안 한계를 드러냈다는 지적이 나온다.

피해자는 모두 불법 기지국 신호 수신 이력이 있으며, KT의 분석에 따르면 피해 가능성이 있는 인원은 5561명에 달한다. 업계 일각에선 IMSI 값 자체만으론 직접적 피해가 어려울 수 있다는 점을 들지만, 결제 및 고객 인증 등이 연결될 경우 잠재 위험도는 높아질 수 있다.

글로벌 시장에서는 이동통신사와 보안기기 제조사가 불법 기지국 탐지 기능 강화, 암호화 통신구간 확대 등으로 대응 중이다. 유럽과 북미에서는 비인가 기지국 접근 시도 탐지 및 자동 망 차단 솔루션 도입이 늘고 있다. 국내에선 대규모 민간 정보유출 사례가 드문만큼, 산업 전반의 보안 가이드라인 보완 요구가 예상된다.

정책적으로 개인정보위는 10일 시민단체와 피해자 민원 접수와 동시에 정식 조사에 착수했으며, 경찰·과학기술정보통신부 등 유관기관과의 공조 체제를 가동하고 있다. IMSI는 개인정보보호법상 보호대상에 포함돼 있어, 관련 법 위반 여부가 쟁점이 될 전망이다.

남석 개인정보위 조사조정국장은 "현재 확보 자료와 기관 공조를 바탕으로 신속하고 정밀하게 조사를 진행하겠다"고 밝혔다. 업계 전문가들은 "이 사건은 통신망·데이터보호 기술체계의 신뢰도를 가르는 분기점이 될 수 있다"며, 향후 국내 산업 전반의 개인정보 보호 정책 강화논의가 가속화될 것으로 보고 있다. 산업계는 이번 사건 대응이 실질적 신뢰 회복으로 이어질지 주시하고 있다.