사진:연합

[대한경제=심화영 기자] LG유플러스의 AI 통화비서 서비스 ‘익시오’에서 일부 이용자의 통화 정보가 외부로 유출되는 사고가 발생했다. LG유플러스가 줄곧 강조해온 ‘온디바이스(on-device) AI’ 보안에 흠집이 생기면서 이용자 신뢰 회복이 시급해졌다.

이번 사고는 지난 2일 오후 8시부터 3일 오전 10시 59분까지 익시오를 새로 설치하거나 재설치한 101명의 단말에 다른 고객 36명의 통화 요약·통화 상대방 전화번호·통화 시각 등의 정보가 일시 노출된 것으로 집계됐다. LG유플러스는 6일 해당 사실을 개인정보보호위원회에 자진 신고했다.

회사 측에 따르면 서비스 운영 개선 작업 중 서버의 캐시 설정 오류가 발생했고, 이 과정에서 임시 저장 공간에 보관되던 36명의 통화 관련 정보가 잘못된 사용자 단말로 전송되면서 노출이 일어났다. LG유플러스는 유출된 데이터에 주민등록번호·여권번호·금융정보 등 고유 식별정보는 포함되지 않았다고 밝혔다.

사고의 직접 원인은 운영 중 캐시 설정 오류로 보고되나, 추가적 의문점도 제기된다. 임시 저장(캐시) 사용의 필요성에 대해 회사 측은 스마트폰 교체나 재설치 시 연속성을 제공하기 위해 요약 정보를 일정 기간 서버에 보관한다고 해명했다. 하지만 ‘온디바이스’라는 문구가 소비자에게 ‘서버에 데이터가 남지 않는다’는 인상을 줄 수 있어 홍보 문구의 적절성이 문제로 지적된다.

통상적으로 단말별 고유 암호키로 보호되면 서버에서 데이터를 꺼내더라도 권한이 없는 기기에서는 열람할 수 없어야 한다. 업계에선 “암호화 키 관리나 UUID 기반 인증이 제대로 작동했는지 점검이 필요하다”고 지적하고 있다. 익시오 개발에 외부 개발 인력이 대규모로 참여한 점을 들어 권한 관리·설정 오류(휴먼 에러) 가능성이 커졌다는 분석도 나온다.

온디바이스 논란의 핵심은 LG유플러스가 익시오 출시 때부터 온디바이스 AI를 경쟁력으로 내세워 왔다는 점이다. 온디바이스 AI는 음성 인식(STT)·요약·탐지 기능 등을 이용자의 기기(스마트폰 등) 내부에서 처리해 클라우드 전송을 최소화한다는 개념으로, 클라우드 의존도를 낮춰 응답 속도와 보안성 측면에서 장점을 내세운다.

그러나 이번 사고는 일부 기능이 서버를 거쳐 운영되고 있었고, 그 과정에서 임시 저장(캐시)과 암호화·인증 과정에 오류가 생겼다는 사실을 드러냈다. 통신·보안 업계에선 “온디바이스 기반이라고 홍보했지만, 실제로는 서버 의존적 요소가 존재했다”고 보고 있다.

업계 관계자는 “핵심 기능이 서버에서 처리되는 구조였다면 이번 사고는 고도의 기술적 결함이라기보다 운영·설정 관리의 실패”라고 말했다.

LG유플러스는 입장문에서 △음성 통화의 전체 녹음 전문은 서버에 저장하지 않고 즉시 폐기한다는 점, △통화 요약 등 일부 기능은 고객 동의를 받아 최대 6개월 동안 암호화해 서버에 보관한다고 설명했다. LG유플러스 익시오의 통화내역 유출은 온디바이스 AI 처리에도 불구하고 서버에 요약본을 6개월 보관하다 개발자 캐시 설정 오류로 발생했다. SK텔레콤 에이닷과 KT AI 통화 서비스는 클라우드 기반으로 서버를 거치지만, 온디바이스가 아니다.

아이지에이웍스의 모바일인덱스에 따르면 익시오는 올해 들어 빠른 성장세를 보이며 월간활성이용자(MAU)가 지난 6월 7만명을 넘어섰고, 최근에는 약 32만6000여 명 수준까지 확대됐다. 에이닷(A·dot) 등 경쟁 서비스와 비교하면 여전히 이용자 규모는 작지만 성장 속도가 빠른 편이었다. 이번 사고로 가입자 이탈, 규제 당국의 조사 확대 가능성 등 리스크가 커졌다.

개인정보보호위원회는 LG유플러스의 신고를 접수하고 사건 경위를 파악 중이다. LG유플러스는 “익시오의 모든 작동 프로세스를 철저히 점검해 개선하겠다”는 입장을 내놨지만, 실질적 신뢰 회복을 위해서는 기술적 보완뿐 아니라 홍보·약관상의 설명과 실제 서비스 동작 간 괴리를 해소하는 투명한 소통이 필요한 상황이다.

심화영 기자 dorothy@

〈ⓒ 대한경제신문(www.dnews.co.kr), 무단전재 및 수집, 재배포금지〉