서지우 | 기자 작성일 2026년 04월 17일
LG유플러스(032640)의 가입자식별번호(IMSI)를 둘러싼 '위치 추적' 논란이 확산되고 있다. 깃허브에는 IMSI를 통해 LG유플러스 가입자의 전화번호를 확인하는 시연 영상이 게시됐고, 서울YMCA는 위약금 없이 해지를 허용해야 한다는 성명까지 발표했다. 이용자 불안이 커지는 가운데 실제 기술적 위험은 어느 수준일까.
약 25년간 IMSI에 전화번호를 그대로 사용해온 취약한 구조가 알려지며 논란은 시작됐다. LG유플러스는 지난 13일부터 유심(USIM) 교체에 나섰지만, 이를 고객 프라이버시 보호 조치로 명확히 설명하지 않으면서 혼란은 이어지고 있다. 결과적으로 이번 유심 교체는 IMSI 구조 변경을 통해 이용자 식별 가능성을 낮추기 위한 조치로 풀이된다.
이에 대해 김용대 KAIST 전기 및 전자공학부 교수는 "가능한 기술과 실제 위험이 혼재되며 과도한 공포가 형성된 측면이 있다"면서도 "이용자 보호 관점에서 충분한 설명이 부족했던 점은 문제"라고 지적했다.
팩트체크① 위치추적 가능? → "일부 맞지만, 범위는 제한적"
결론부터 말하면 '완전한 위치 추적'은 어렵다. 김용대 KAIST 교수는 "IMSI는 단말을 껐다 켤 때만 노출된다. 같은 기지국 안에서는 '있는지 없는지' 정도는 확인할 수 있다"고 설명했다.
IMSI는 단말기가 꺼졌다가 다시 켜질 때 네트워크가 단말을 처음 인식하는 과정에서 일시적으로 전달되는 정보다. 평상시에는 임시 식별자인 TMSI가 사용되기 때문에 IMSI가 지속적으로 노출되지는 않는다. 이 때문에 단말을 재부팅하는 순간, 동일한 기지국 내 근거리 환경에서는 특정 단말의 존재 여부를 확인할 수 있지만, 원거리에서 위치를 추적하거나 실시간으로 이동 경로를 파악하는 것은 사실상 불가능에 가깝다고 전문가들은 설명한다.
팩트체크② 프라이버시 위험? → "구조적 문제는 존재"
기술적 위험과 별개로 설계 측면의 문제는 존재한다는 지적이다. 김용대 KAIST 교수는 "프라이버시 보호를 고려하면 IMSI와 전화번호를 같게 쓰면 안 된다"고 말했다. IMSI와 전화번호가 동일한 구조라면, 제한적인 조건에서도 특정 사용자를 식별할 가능성이 높아질 수 있다.
팩트체크③ 왜 논란 커졌나 → "설명 부재가 혼란 키웠다"
김용대 KAIST 교수는 "회사의 설명이 없으니까 온갖 종류의 해석이 나오고 있다"고 지적했다. 유심 교체가 왜 필요한지, 어떤 위험을 줄이기 위한 조치인지에 대한 충분한 설명 없이 대응이 이뤄지면서 이용자 혼란이 커졌다는 것이다. 이 과정에서 '전면적인 위치 추적'이라는 과장된 해석까지 확산됐다는 분석이다.
팩트체크④ "4월 8일 시연, 취약점 입증?" → "범죄 추적 기술 시연"
논란의 출발점이 된 4월 8일 닷핵 컨퍼런스 시연은 LG유플러스와 직접적인 관련이 없다는 설명이다. 김용대는 "경찰청 과제로 진행된 보이스피싱 단말 위치 추적 기술 시연"이라며 "특정 통신사의 취약점을 입증하려는 목적은 아니었다"고 밝혔다.
김 교수는 최종적으로 "위치 확인 자체는 가능한 기술이지만, 전 국민 실시간 추적 수준으로 이해되는 것은 과장된 측면이 있다"며 "논란을 키운 것은 회사의 소통 부재 측면도 있다"고 지적했다.