추가 피해 우려에…"확인 즉시 수정, 확대 가능성 없다" 해명
아이폰 등 단말서 지원 안 되는 '통화내용 요약'은 서버 거쳐
6개월간 보관은 단말 교체, 앱 재설치시 서비스 연속성 목적
"이번 일도 해킹이랑 똑같이 보안팀 대비할 수 있게 했어야"
![[서울=뉴시스] 김진아 기자 = LG유플러스가 AI 통화비서 서비스 ‘익시오’의 운영 개선 작업 과정에서 발생한 고객 통화정보 유출 사실을 개인정보보호위원회에 자진 신고했다. 사진은 지난 7일 서울 시내 LG유플러스 매장. 2025.12.07. bluesoda@newsis.com](https://img1.newsis.com/2025/12/07/NISI20251207_0021088233_web.jpg?rnd=20251207133021)
[서울=뉴시스] 김진아 기자 = LG유플러스가 AI 통화비서 서비스 ‘익시오’의 운영 개선 작업 과정에서 발생한 고객 통화정보 유출 사실을 개인정보보호위원회에 자진 신고했다. 사진은 지난 7일 서울 시내 LG유플러스 매장. 2025.12.07. [email protected]
[서울=뉴시스]박은비 기자 = LG유플러스가 최근 인공지능(AI) 통화비서 서비스 '익시오(ixi-O)' 운영 개선 작업 과정에서 고객 일부 통화정보가 다른 이용자에게 노출된 사실을 확인하고 서둘러 복구 조치했다. 외부 해킹과는 다른 문제지만 왜 이런 일이 발생하게 됐는지, 피해가 더 확대될 가능성은 없는지 몇가지 의문이 남는다.
8일 LG유플러스에 따르면 지난 2일 오후 9시부터 3일 오전 10시까지 다른 이용자 101명에게 노출된 가입자 36명의 정보는 통화 상대방 전화번호, 통화 시각, 통화내용 요약 등이다. 통화 음성 파일이나 전체 통화 내역, 주민등록번호, 여권정보 등 고유식별정보, 금융정보는 포함되지 않았다.
이번 사고는 아이폰 이용자가 익시오를 신규 설치하거나 재설치하면서 서버와 연결하는 시점에 다른 이용자 정보가 보이면서 알려졌다. 회사측은 내부 직원이 서버 최적화 작업 중에 캐시(임시 저장 공간) 설정을 실수한 탓이라고 해명했다.
LG유플러스는 서버 과부하 문제를 해결하기 위해 캐시를 활용하고 있다고 한다. 이는 익시오와 비슷한 서비스를 제공하더라도 회사마다 프로그램을 만드는 알고리즘, 뼈대를 어떻게 설계하느냐에 따라 차이가 있을 수 있는 부분이다.
LGU+ "피해 확대 가능성 전혀 없다…고객 보상안은 검토 중"
이번 사고에 대한 피해 보상에 대해서는 "현재 검토 중"이라며 "구체적으로 정해진 게 없다"고 밝혔다.
LG유플러스는 그동안 익시오가 온디바이스 AI라는 점을 강조해왔다. 민감 정보가 고객 단말에만 저장되고 회사 서버와 연결되지 않기 때문에 안전하다고 강조해왔다.
하지만 통화내용 요약 등을 서버에 6개월간 임시 저장한 사실이 알려지면서 고객들이 안심할 수 없다는 지적이 나왔다. LG유플러스 관계자는 "통화 녹음은 서버에 저장하지 않고 고객 단말에만 저장되는 게 맞다"며 "통화 요약은 단말에서 요약을 못하기 때문에 서버에 갔다가 내려오는 방식"이라고 말했다.
"6개월 보관, 서비스 편의 제공 목적이라면서 선택은 불가"
문제는 이를 선택사항으로 두지 않았다는 점이다. 6개월 수집 동의를 하지 않으면 애초에 익시오에 가입할 수 없다. 이같은 지적에 대해 LG유플러스 관계자는 "고객들의 선택 사항으로 고려해볼 수 있을 것 같다"고 언급했다.
또 관련 법규정에 따라 기업과소비자간거래(B2C) 분쟁을 대비하기 위해 회사가 일정 기간 저장할 수 있는 정보라는 전문가 의견이 존재한다. 예를 들어 통화 시각의 경우 서비스 이용 관련 접속 기록인 동시에 불만 접수시 시점을 입증하는 핵심 자료가 될 수 있어 일정 기간 보관할 수 있다는 시각이다.
![[서울=뉴시스] 정병혁 기자 = 지난해 11월 7일 서울 용산구 LG유플러스 본사에서 열린 LG유플러스 AX전략 기자간담회에서 모델들이 LG유플러스의 AI통화 에이전트 '익시오(ixi-O)'를 시연하고 있다. 2024.11.07. jhope@newsis.com](https://img1.newsis.com/2024/11/07/NISI20241107_0020588224_web.jpg?rnd=20241107114317)
[서울=뉴시스] 정병혁 기자 = 지난해 11월 7일 서울 용산구 LG유플러스 본사에서 열린 LG유플러스 AX전략 기자간담회에서 모델들이 LG유플러스의 AI통화 에이전트 '익시오(ixi-O)'를 시연하고 있다. 2024.11.07. [email protected]
이에 대해 익명을 요청한 한 보안 전문가는 "(이번 일처럼 내부 직원 실수에 따른 보안 문제가 생길 수 있는데) 통상적으로 보안 사고에 대해 주로 외부에서 해킹하는 걸 생각하고, 또 보안 문제는 기술팀이 도맡는 것이라고 여기는 경향이 있다"며 "그런데 모든 서비스 앱에 AI가 들어가다 보니까 새로운 보안 문제가 생기지 않나. 이런 상황에서 보안에 대한 의식이 없는 게 문제"라고 꼬집었다.
그러면서 "처음 서비스 디자인 단계부터 보안과 프라이버시를 고려하는 게 글로벌 트렌드"라며 "시장에 빨리 출시해야 한다는 강박 관념에 제대로 점검하지 않을 수 있지만 이런 일이 자꾸 벌어지면 신뢰가 떨어질 수 밖에 없다. 이번 일을 보안 거버넌스를 바로잡는 계기로 삼아야 할 것"이라고 강조했다.
원유재 충남대 컴퓨터융합학부 교수 역시 "결국 내부 거버넌스 문제"라며 "보안 관점에서 보면 이번 일도 해킹과 똑같이 각 서비스의 특성에 맞게 깊이 들여다봐야 대비할 수 있는데, 처음부터 그렇게 하면 서비스 담당은 간섭이라고 생각했을 것"이라고 설명했다.
원 교수는 이어 "(이번 LG유플러스 문제만이 아니더라도) 개인정보가 노출된 사례가 꽤 있는데 내부 시스템에서 권한 관리가 원인이 돼 발생한 사고가 적지 않다"고 덧붙였다.
◎공감언론 뉴시스 [email protected]
