내 폰 번호가 평문으로?…통신사 선택에 맡긴 5G 프라이버시

기술적 진보와 보안 공백의 역설
5G 이동통신 기술의 상용화는 단순히 데이터 전송 속도의 비약적 상승만을 의미하지 않는다. 기술 표준 설계 단계에서부터 보안은 핵심적인 고려 사항이었으며, 특히 가입자의 고유 식별 정보인 IMSI(International Mobile Subscriber Identity)를 암호화하여 보호하는 기능은 5G가 내세운 보안 혁신의 정점이었다. 그러나 최근 미국 국립표준기술연구소(NIST)가 발표한 백서와 국내외 보안 업계의 분석에 따르면, 이러한 보안 기능의 실제 작동 여부가 통신사의 선택적 운용 정책에 전적으로 의존하고 있다는 점은 기술적 진보 뒤에 숨겨진 치명적인 역설로 판단된다.
과거 3G와 4G LTE 환경에서는 가입자 식별 정보가 암호화되지 않은 '평문(Plaintext)' 상태로 기지국과 단말기 사이를 오갔다. 이는 이른바 'IMSI 캐처(IMSI Catcher)'라 불리는 가짜 기지국 장비를 통해 특정 사용자의 위치를 추적하거나 통신 내용을 가로챌 수 있는 보안 취약점으로 작용해 왔다. 5G 표준인 3GPP Release 15 이후부터는 이를 보완하기 위해 가입자 식별자를 암호화하는 SUCI(Subscription Concealed Identifier) 기술이 도입되었으나, 실제 현장에서는 기술적 호환성과 비용, 망 운용의 편의성이라는 명목하에 이 강력한 보안 장치가 비활성화될 수 있다는 점이 이번 이슈의 본질이다.

 

 

통신사의 선택에 따라 가입자의 프라이버시 수준이 결정되는 현 상황은 사용자 중심의 보안 생태계 구축이 얼마나 취약한 기반 위에 놓여 있는지를 방증한다. 5G 가입자가 고가의 요금을 지불하면서도 정작 보안 측면에서는 4G 수준의 위협에 노출되어 있다면, 이는 단순한 기술적 결함을 넘어 통신 서비스의 신뢰도와 직결되는 전략적 위기 상황으로 분석된다.
IMSI 노출의 구조적 원인과 보안 취약성 분석
가입자 식별 번호인 IMSI가 평문으로 전송될 때 발생하는 가장 큰 문제는 사용자의 물리적 위치 추적이다. 공격자가 특정 구역에 IMSI 캐처를 설치할 경우, 해당 지역을 지나는 모든 5G 단말기의 고유 식별 번호를 수집할 수 있으며, 이를 통해 특정 인물의 이동 경로를 실시간으로 파악하는 것이 가능하다. 이는 개인의 프라이버시 침해를 넘어 국가 주요 인사나 기업 기밀을 다루는 인력에 대한 표적 공격으로 이어질 수 있다는 점에서 그 파급력이 매우 크다고 분석됨이 타당하다.

 

 

NIST 백서가 지적하듯 5G 네트워크에서도 가입자 식별 정보의 암호화는 '의무'가 아닌 '선택' 사항이다. 통신사들이 SUCI 기능을 적극적으로 도입하지 않는 배경에는 몇 가지 전략적 이유가 복합적으로 얽혀 있다. 첫째, 암호화와 복호화 과정에서 발생하는 연산 부하가 네트워크 지연 시간을 미세하게 증가시킬 수 있다는 우려다. 초저지연을 강점으로 내세운 5G 서비스에서 보안 강화로 인한 성능 저하는 통신사 입장에서 부담스러운 선택지일 수 있다.
둘째는 기존 인프라와의 호환성 문제다. 5G 단독모드(SA)가 아닌 비단독모드(NSA) 방식에서는 LTE 망과의 연동이 필수적인데, 이 과정에서 보안 설정을 단순화하려는 경향이 나타난다. 최근 LG유플러스가 겪은 IMSI 설계 결함 논란 역시 이러한 복합적인 네트워크 환경에서 보안 우선순위가 뒤처진 결과로 판단된다. 보안 예산의 최적화 과정에서 '보이지 않는 위험'에 대한 투자가 뒷전으로 밀려나는 산업계의 고질적인 문제가 5G 환경에서도 반복되고 있는 것이다.
국내 통신 시장의 대응 현황 및 규제 공백
국내 이동통신 3사는 세계 최초 5G 상용화를 목표로 양적 팽창에 주력해 왔으나, 질적인 측면에서의 보안 고도화는 그 속도를 따라가지 못하고 있다는 지적이 지배적이다. 특히 이용약관이나 서비스 가이드라인 어디에도 내 식별 정보가 암호화되어 전송되는지 여부를 명시적으로 고지하지 않고 있다. 사용자는 본인의 프라이버시 권리가 통신사의 설정 값 하나에 의해 보호받거나 노출되는 상황을 인지조차 하지 못하는 정보의 비대칭성에 놓여 있다.

 

 

정부와 규제 당국의 역할 부재 또한 이번 사태를 키운 핵심 원인 중 하나로 분석된다. 과학기술정보통신부와 방송통신위원회는 통신 품질과 요금제에는 민감하게 반응하면서도, 가입자 식별 정보 보호와 같은 기술적 보안 표준 강제화에는 소극적인 태도를 보여 왔다. 5G 표준이 제공하는 보안 기능을 통신사가 의무적으로 적용하도록 강제하는 제도적 장치가 부재한 상황에서, 영리 기업인 통신사가 자발적으로 비용을 투입해 보안을 강화하기를 기대하는 것은 전략적으로 한계가 명확하다.
일부 전문가들은 알뜰폰(MVNO) 시장의 확산과 자급제 폰 이용 증가가 보안 사각지대를 더욱 넓히고 있다고 경고한다. 다양한 단말기와 요금제가 혼재되는 환경에서 통신사가 일관된 보안 정책을 유지하기는 더욱 까다로워지기 때문이다. 결과적으로 사용자가 어떤 통신사를 선택하느냐, 혹은 어떤 요금제에 가입하느냐에 따라 프라이버시 보호 등급이 달라지는 '보안의 양극화' 현상이 고착화될 위험이 농후하다.
향후 시장 및 업계 변화의 전략적 전망
앞으로 5G 프라이버시 이슈는 단순한 기술 논쟁을 넘어 통신사의 브랜드 가치와 가입자 이탈을 결정짓는 핵심 변수로 부상할 전망이다. 특히 기업용 5G(Private 5G) 시장이 확대됨에 따라, 보안에 민감한 제조, 금융, 의료 분야의 고객들은 통신사의 IMSI 보호 정책을 서비스 선택의 최우선 기준으로 삼을 가능성이 높다. 통신사들은 이제 보안을 비용이 아닌 '차별화된 경쟁 우위'로 인식하는 전략적 전환이 필요한 시점이다.

 

 

정부 차원에서도 5G 보안 가이드라인을 강화하고, 통신 서비스 품질 평가 항목에 프라이버시 보호 수준을 포함하는 등의 실질적인 조치를 강구할 것으로 판단된다. NIST의 이번 백서 발표는 글로벌 표준 보안 수준에 부합하지 못하는 통신사에 대한 강력한 경고 메시지로 작용할 것이며, 이는 향후 통신사들의 설비 투자 우선순위를 재편하는 계기가 될 것이다. 특히 SUCI와 같은 암호화 기술의 전면 도입은 더 이상 미룰 수 없는 당면 과제가 될 것이다.
결론적으로, 5G 시대의 프라이버시는 더 이상 기술이 자동으로 해결해 주는 영역이 아니다. 통신사의 기술적 의지와 정부의 규제 설계, 그리고 사용자의 보안 인식이 삼박자를 이룰 때 비로소 완성될 수 있다. 내 번호가 평문으로 떠돌아다니는 위험을 방치하는 통신사는 향후 전개될 초연결 사회의 주도권을 확보하기 어려울 것이며, 보안 신뢰를 선점하는 기업만이 데이터 경제 시대의 진정한 승자가 될 것으로 분석된다.
% 본 포스팅은 AI를 활용하여 제작된 정보성 요약 글입니다.