이번 검토는 김장겸 국민의힘 의원이 LG유플러스 IMSI 노출 문제와 관련해 개인정보 보호법 위반 여부 등을 질의하면서 이뤄졌다.
보고서는 LG유플러스가 2011년부터 IMSI를 국가코드와 사업자코드 뒤에 휴대전화번호를 덧붙여 생성하는 방식을 사용해왔다고 짚었다. 이에 따라 “휴대전화번호를 알면 IMSI 값을 쉽게 알 수 있도록 운영”되는 구조라는 점도 지적했다.
통신사별로는 SK텔레콤이 IMSI에 랜덤값을 추가하는 방식을 도입했고, KT 역시 일부 랜덤값을 활용하고 있다. 반면 LG유플러스는 상대적으로 단순한 구조를 유지해왔으며, 최근 IMSI 난수화 및 재설정 기능 도입, USIM 교체 방안을 밝혀 시행 중인 상태다.
입법조사처는 IMSI의 개인정보 해당성과 관련해 “그 자체만으로 특정 개인을 직접 식별하기는 어려울 수 있다”면서도 “다른 정보와 결합될 경우 특정 개인을 알아볼 수 있는 정보가 될 가능성이 있다”고 밝혔다. 특히 통신사의 경우 “IMSI와 결합된 가입자 정보(성명, 전화번호, 주소 등)를 이미 보유하고 있어 개인을 알아볼 수 있는 정보에 해당할 가능성이 높다”고 분석했다.
또 “통신사가 가입정보와 IMSI를 관리하고 이를 고객 데이터베이스에 입력하는 행위는 개인정보 처리에 해당할 수 있으며, 해당 정보가 외부로 유출될 경우 개인정보 침해 문제로 이어질 수 있다”고 지적했다.
특히 “IMSI의 결합정보를 사용하는 행위는 개인정보 보호법상 안전조치 의무와 관련되며, 이를 다하지 않을 경우 위법 소지가 있다”고 명시했다.
다만 비식별화 여부에 대해서는 신중한 판단이 필요하다고 강조했다. 입법조사처는 “보안 기술 적용 등으로 일정 수준 이상 비식별화가 이루어진 경우 개인정보에 해당하지 않을 가능성도 존재한다”면서도 “단순 난수화만으로는 충분한 비식별화로 보기 어렵고, 추가적인 보호조치 및 결합 가능성 차단 여부 등을 종합적으로 고려해야 한다”고 밝혔다.
아울러 “통신 서비스 제공 과정에서 IMSI 활용과 개인정보 처리 간 관계를 면밀히 검토할 필요가 있다”고 덧붙였다.
