| ▲ (출처:알파경제 유튜브) |
[알파경제=영상제작국] LG유플러스의 인공지능(AI) 통화 비서 서비스 '익시오'에서 36명의 통화 정보가 101명에게 약 15시간 동안 노출되는 사고가 발생했습니다. LG유플러스는 '온디바이스 AI' 기술을 적용해 강력한 보안을 강조해왔으나, 실제로는 통화 요약 데이터를 서버에 저장해왔으며 캐시 설정 오류로 인해 이번 정보 유출 사고로 이어진 것으로 드러났습니다.
사고는 지난 2일 익시오 서비스 운영 개선 작업 중 발생한 캐시 설정 오류로 인해 발생했습니다. 이 오류로 인해 고객 36명의 통화 상대방 전화번호, 통화 시각, 통화 내용 요약 등이 다른 이용자 101명에게 노출되었습니다. 정보 유출은 지난 2일 저녁 8시부터 3일 오전 10시 59분까지 약 15시간 동안 이어졌으며, 이 기간 익시오를 새로 설치하거나 재설치한 이용자의 화면에 타인의 통화 기록이 표시되는 문제가 발생했습니다.
LG유플러스는 2023년 대규모 보안 사고 이후 정보보호 투자를 1000억 원 규모로 확대하겠다고 공언한 바 있습니다. 그러나 이번 사고에서는 첨단 관제 시스템이 15시간 동안 오류를 감지하지 못했으며, 결국 "남의 통화 기록이 보인다"는 고객의 신고를 받고서야 문제를 파악했습니다. LG유플러스 측은 3일 오전 제보를 접수한 뒤 37분 만에 복구를 완료했다고 밝혔습니다. 이번 사고로 주민등록번호나 금융정보는 유출되지 않았으나, 통화 요약 내용에 개인의 건강, 가정사, 경제 상황 등 민감한 사생활이 포함되었을 가능성이 제기되며 우려가 커지고 있습니다.
LG유플러스는 익시오 출시 당시 통화 녹음과 AI 연산이 스마트폰 내부에서 이루어져 서버로 데이터가 전송되지 않는다고 대대적으로 홍보하며 경쟁사인 SK텔레콤의 '에이닷'과의 차별점으로 '강력한 보안'을 내세웠습니다. 그러나 이번 사고로 실제 구동 방식이 드러났으며, LG유플러스는 "기기 변경이나 앱 재설치 시 서비스 연속성을 위해 통화 요약본과 기록을 서버에 6개월간 저장한다"고 해명했습니다. 이는 음성 파일 자체는 저장하지 않더라도 AI가 요약한 텍스트 데이터는 서버에 보관해 온 것으로, 진정한 의미의 '온디바이스 AI'로 보기 어렵다는 지적이 나옵니다. 데이터 처리를 기기에서 하더라도 결과를 서버에 저장한다면 이는 사실상 클라우드 백업이 동반된 하이브리드 구조이며, 마케팅에서 강조한 "서버에 남지 않는다"는 주장과 정면으로 배치됩니다.
업계에서는 이번 사고가 예고된 인재라는 비판이 나오고 있습니다. LG유플러스는 2년 전인 2023년 대규모 해킹 사태 당시 황현식 대표가 직접 나서 정보보호 투자를 1000억 원 규모로 확대하겠다고 약속한 바 있습니다. 실제 2024년 기준 LG유플러스의 정보보호 투자액은 828억 원으로 2년 전보다 87% 늘었고 보안 인력도 확충했습니다. 하지만 대규모 투자 약속과 비용 집행에도 불구하고 가장 기초적인 '시스템 설정 검증'조차 제대로 이루어지지 않았다는 비판입니다. 수백억 원을 들여 구축했을 실시간 관제 시스템은 이번 15시간의 오류를 전혀 잡아내지 못했으며, 결국 고객 신고를 받고서야 뒤늦게 사태를 파악했습니다.
한 보안 전문가는 외부 해킹 방어도 중요하지만, 내부 작업자의 실수나 프로세스 오류를 걸러내는 것이 보안의 기본이라며, 1000억 원을 투자하고도 기본적인 모니터링조차 작동하지 않은 것은 단순 실수로 보기 어렵다고 지적했습니다. 이에 대해 LG유플러스 관계자는 고객에게 불편과 심려를 끼친 점에 대해 사과하며, 이번 사안은 해킹과 관련이 없으며 관계기관 조사에 적극 협조하겠다고 밝혔습니다. LG유플러스는 6일 오전 개인정보보호위원회에 자진 신고했으며, 현행법상 1000명 미만 유출은 신고 의무 대상이 아니지만 자진 신고 시 과징금 감경 혜택을 받을 수 있습니다. 개인정보위는 유출된 통화 내용 요약에 민감정보가 포함되었는지 전수 조사할 방침입니다.
알파경제 영상제작국 (press@alphabiz.co.kr)
