[미디어펜=배소현 기자] LG유플러스의 AI(인공지능) 통화 비서 서비스 익시오(ixi-O)에서 통화 정보가 노출되는 사고가 일어났다. 올 한 해 해킹 이슈가 통신 업계를 연이어 강타한 가운데, 이번 사고는 휴먼에러(인재)로 인한 것으로 밝혀지면서 업계에서는 기본적인 보안 문제와 관련한 가이드라인이 필요하다는 목소리가 나온다.

10일 업계에 따르면 최근 LG유플러스 익시오에서 고객 36명의 통화 요약 내용과 상대 전화번호, 통화 시각 등의 통신 정보가 무작위의 이용자 101명에게 노출되는 사고가 발생했다. 

앞서 익시오는 LG유플러스가 지난해 11월 출시한 AI 통화 앱으로 통화 내용 녹음·요약, 대화 검색 등의 서비스를 제공한다. 특히 실시간으로 보이스피싱을 탐지하고 위·변조된 목소리를 감지해 알림을 제공하는 등 AI를 활용한 통신 특화 서비스를 제공한다는 것이 특징이다.

이 같은 서비스들은 민감한 통신 데이터를 기반으로 이뤄진다는 점에서 특히나 안정적인 보안 관리는 필수로 꼽힌다.

그러나 이번 사태는 외부 해킹도 아닌 익시오 업데이트 과정에서 내부 직원의 캐시(임시 저장 공간) 설정 오류로 발생한 것으로 알려졌다. 

그간 LG유플러스는 익시오가 보안성이 우수한 온디바이스 서비스임을 강조해왔지만, 정작 휴먼에러로 민감한 개인 통신 정보가 노출되는 것은 막지 못한 것이다. 심지어 LG유플러스가 해당 사실을 고객 신고를 통해서야 인지했다는 점이 알려지면서 고객 불안은 가중되는 모습이다.

업계에서는 이번 사고가 휴먼에러에서 발생됐다는 점에서 기업이 기본적인 AI 서비스 보안 체계부터 손봤어야 한다는 지적이 나온다. 

AI 서비스는 데이터 수집·처리 과정 전반이 자동화돼 있는 만큼 작은 설정 오류나 관리 소홀도 즉각 개인정보 유출로 이어질 수 있다는 위험이 있는데, 이번 사고는 그 취약성이 드러난 사례라는 평가다. 이에 이번 사고가 업계 전반의 AI 신뢰도 문제로 번질 수 있다는 우려도 나온다.

한 업계 관계자는 "이전에 발생한 SK텔레콤, KT의 경우는 외부 해킹으로 인한 사고였다"며 "해킹이란게 사실 어떤 조직이 마음 먹고 제대로 공격하면 보안에 신경을 써오던 기업이더라도 언제든지 피해는 불가피할 수 있는 것"이라고 말했다.

그러면서도 "최근 쿠팡 회원 개인정보 유출 사태도 그렇고, 이번 LG유플러스의 경우 부주의에서 비롯된 휴먼에러라는 점에서 기업들이 기본적인 보안 운영 프로세스와 검증 절차부터 돌아볼 때가 아닌가"라며 "기본적인 보안 문제와 관련한 가이드라인이 필요하다"고 덧붙였다.

이 가운데 업계에서는 LG유플러스가 익시오를 온디바이스 기반 AI 서비스라고 강조해온 것과 달리 서버에 임시 저장을 해왔다는 점에서 과장 홍보를 한 것 아니냐는 논란도 제기됐다.

논란이 커지자 LG유플러스는 이날 입장문을 통해 "모든 AI 통화앱의 기능을 온디바이스 AI로 대체하는 시도를 이어가고 있으나, AI 성능 및 경량화 등 추가적인 기술 확보에 시간이 걸려 일부 기능은 서버를 거쳐 운영하고 있다"고 해명했다. 

이어 "온디바이스 AI는 디바이스 자체에서 연산을 처리해 보안성과 실시간성이 높지만, 현재 기술 수준상 익시오의 일부 기능은 서버를 거쳐 운영되고 있다"며 "이번 사고를 계기로 온디바이스 적용 범위와 데이터 저장 구조를 명확히 소통하겠다"고 말했다.

그러면서 익시오의 통화 요약 기능은 단말에서 텍스트로 변환된 내용을 서버로 전송해 요약을 수행하며, 요약 결과는 고객 동의에 따라 최대 6개월간 암호화된 상태로 서버에 저장된다고 설명했다. 스마트폰 교체나 앱 재설치 시에도 이전 요약을 그대로 확인할 수 있도록 하기 위한 조치라는 것이다. 요약에 활용된 텍스트 원문은 결과 생성 직후 즉시 폐기된다고 부연했다.

한편 LG유플러스는 고객 전원에게 전화로 안내를 진행했으며 연락이 어려운 고객에게는 문자 등을 통해 사실을 알렸다. 현재 통화 정보 유출 관련 전수조사는 마쳤으며 피해 상황 파악도 완료된 상황이다. 개인정보보호위원회는 LG유플러스 신고를 받고 사건 경위를 파악 중이다.