가입자식별키(IMSI)는 개인정보일까…전문가 의견은?[팩트체크]

[이데일리 윤정훈 기자] SK텔레콤(017670) 해킹 사태로 ‘IMSI(가입자식별키)’ 2695만7749건이 유출됐다는 민관합동조사단의 중간 발표가 나오면서 IMSI가 개인정보에 해당하는지 여부에 대한 논란이 확산되고 있다. 전문가들은 이번 사태가 보안 이슈를 넘어 개인정보보호법의 경계를 해석하는데 중요한 사건이 될 수 있다고 평가했다.

20일 서울 시내의 한 SK텔레콤 직영점에서 소비자들이 유심 교체 관련 상담을 받기 위해 줄 서 있다. SK텔레콤이 3년 전부터 해커의 악성코드 공격을 받아 총 23대 서버에서 유심 및 개인정보가 유출된 것으로 확인됐다. 유출된 정보는 가입자 식별번호(IMSI), 단말기 식별번호(IMEI), 이름, 생년월일 등으로, 사실상 전 가입자의 정보가 포함된 규모다. 정부는 SKT에 즉각적인 피해 예방 조치를 요구했으며, 개인정보보호위와 함께 정밀 분석을 진행한다고 밝혔다.(사진=뉴시스)

IMSI는 통신사 유심(USIM) 카드에 저장되는 가입자 식별번호로, 통신망에서 사용자를 인증하는 데 활용된다. 이번 사건에서 직접적으로 유출된 정보는 IMSI 번호이며, 이름이나 생년월일, 전화번호 등 다른 개인정보와 결합된 형태는 아닌 것으로 알려졌다.

최우혁 과학기술정보통신부 정보보호네트워크정책관은 지난 19일 브리핑에서 “유심 정보 유출 규모는 9.82GB, IMSI 기준으로 총 2695만7749건에 달한다”고 밝혔다.

이와 관련해 일각에서는 가입자식별키(IMSI)2695만건이 유출됐다면 사실상 전국민 개인정보가 털린 것이라며 우려를 나타내고 있지만, IMSI 단독으로는 개인을 특정하기 어렵다는 점에서 법적 개인정보 해당 여부에 대해선 논란이 남아 있다.

결합의 용이성이 기준될듯

이성엽 고려대 기술법정책센터장은 “IMSI가 개인과 1:1로 매칭되는 번호라는 점에서 개인정보로 간주하려는 입장이 개인정보보호위원회를 중심으로 강하게 존재해왔다”며 “다만 단독으로는 식별 정보가 아니기 때문에 기술적·시간적·비용적으로 식별 가능성이 있는지를 함께 고려해야 한다”고 밝혔다. 일반인 입장에서 IMSI가 개인정보로 의미를 가지기 위해서는 휴대폰번호 등 다른 개인정보와 결합이 필요하다는 뜻이다.

이 교수는 “우리 법은 단독으로 식별이 안 되더라도 다른 정보와 용이하게 결합 가능하면 개인정보로 본다”며 “결국 그 ‘용이성’의 기준이 매우 주관적일 수밖에 없다”고 설명했다. 그는 차량의 차대번호(VIN)를 예로 들며 “차대번호도 한때 개인정보로 간주됐지만, 최근 개보위가 이를 비식별 정보로 재해석한 것으로 알고 있다”며 “차대번호가 특정 개인을 지칭하는 것은 아니지만, 소유자 정보와 결합할 경우 개인 식별이 가능하다는 논리 구조가 IMSI와 유사하다”고 부연했다.

하주영 스캐터랩 소속 변호사도 이와 관련해 “개인정보의 범위는 고정돼 있지 않고, 사회적 맥락이나 기술 수준, 데이터 결합 가능성에 따라 계속 달라지고 있다”며 “정부는 개인정보의 범위를 넓히려는 경향이 있지만, AI·데이터 혁신 관점에서는 오히려 범위를 좁혀야 한다는 주장이 힘을 얻고 있다”고 말했다.

실제 IMSI를 개인정보로 판단할 경우 통신사는 이를 활용할 때마다 고객의 동의를 받아야 하며 이는 AI 모델 학습이나 네트워크 분석 등 다양한 활용 분야에서 제약으로 작용할 수 있다.

하 변호사는 “전화번호 뒷자리 네 자리가 개인정보냐는 논란처럼, IMSI도 해석에 따라 달라지는 민감한 정보”라며 “법적 판단과 사회적 합의가 요구되는 시점”이라고 덧붙였다.

기술 진화 속 개인정보 개념 정립 잣대될 듯

이번 사건은 단순 해킹 사고를 넘어 기술 진화 속 개인정보의 개념이 어떻게 재정립되어야 하는지를 보여주는 사례가 될 전망이다. 개보위는 현재 IMSI 등 유심정보를 개인정보에 해당하는 것으로 보고 조사중이다.

IMSI가 개인정보가 아니라고 명확하게 볼 수도 없다는 의견도 제시됐다. 개인정보보호법학회 회장인 김도승 전북대 교수는 “차대번호와 달리 IMSI 같은 경우에 완전히 개인정보가 아니라고 단언하기가 쉽지 않기 때문에 개보위가 조사에 참여한 것”이라며 “IMSI가 다른 정보와 합쳐져서 개인식별을 완전히 배제할 수 없는한은 기본적으로 염두에 두고 바라봐야 한다”고 했다.

IMSI를 개인정보로 정의할 때와 그렇지 않을 경우 처벌의 수위가 크게 달라질 수 있다.

IMSI가 개인정보로 판단할 경우에는 개인정보보호법 제64조의2에 따라 전체 매출액의 3%까지 과징금으로 매길 수 있다.

반면 개인정보가 아닌 것으로 판단하면 정보통신망법상 기술적·관리적 보호조치 의무(제28조)를 위반한 것으로 보고 징계 수위가 낮아질 수 있다.