LG유플러스에서 직원의 실수로 인공지능(AI) 통화 앱 ‘익시오(ixi-O)’에서 통화 요약·전화번호 등 민감한 정보가 다른 사용자에게 노출되는 사고가 발생했다. 단말기 밖으로 나가지 않는다는 데이터가 서버에서 처리·보관되는 구조가 드러나면서 ‘온디바이스 AI’의 보안성에 대한 의문이 커지고 있다.
8일 통신업계에 따르면 익시오에서 가입자 36명의 △통화 상대방 전화번호 △통화 시간 △통화내용 요약 등의 정보가 다른 이용자 101명에게 노출됐다. 사고는 2일 오후 8시부터 3일 오전 10시 59분 사이에 발생했다.
LG유플러스는 3일 오전 10시 ‘다른 사람의 통화 요약문이 보인다’는 신고를 받고 사고를 인지했으며 6일 오전 9시에 개인정보보호위원회에 관련 내용을 신고했다. 이번에 유출된 정보에는 주민등록번호, 여권번호 등 고유식별정보와 금융정보는 포함되지 않은 것으로 알려졌다.
LG유플러스는 이번 사고를 ‘휴먼 에러(작업자 실수)’라고 강조하고 있지만, 직원의 실수가 고객 피해로 즉각 이어졌다는 점에서 AI 서비스의 취약성을 드러냈다. 최근 쿠팡에서도 퇴사자가 서버에 무단으로 접속해 개인정보를 유출한 사건이 발생하는 등 정보 유출 방식이 외부자의 침입을 넘어 다양화·고도화되고 있다.
최병호 고려대 AI연구소 교수는 “서버 작업자의 실수가 고객의 피해로 이어진다면 구조의 문제로 봐야 한다”며 “서비스 운영 개선 작업 과정에서 문제는 없는지 내부 시뮬레이션을 돌리는 등의 프로세스를 거쳤어야 한다”고 말했다. 서버 개선 과정에서의 ‘가이드라인’이 부재했다는 지적이다.
특히 LG유플러스는 ‘온디바이스 AI’라는 점을 내세워 익시오의 최대 강점이 보안이라고 홍보해왔다. 통화 내용 등이 서버를 거치지 않고 이용자의 휴대전화 안에 바로 저장돼 유출 위험이 없다는 것이다.
온디바이스 AI는 데이터를 클라우드로 보내지 않고, 스마트폰·PC·차량·IoT 기기 등 단말기 내부(온디바이스)에서 바로 실행하는 AI 기술을 말한다. 실제 LG유플러스 홈페이지에는 “익시오는 AI 기능 이용을 위한 최소한의 정보만 수집·활용하며 통화 녹음 내용은 서버로 전송되지 않으니 안심하라”는 문구가 쓰여 있다.
하지만 ‘익시오 개인정보 처리방침’에 따르면 통화음성 녹음 파일을 문자로 변환한 텍스트 파일인 ‘통화 전문’은 통화 요약(통화 한줄 요약 포함), 키워드 및 ‘AI 제안’ 서비스 제공 후 지체 없이 파기되는 것으로 나타났다. 다시 말해, 통화 전문이 LG유플러스의 서버로 전송되는 것이다.
이와 관련 LG유플러스 관계자는 “통화 전문은 수집 후 지체 없이 파기된다”며 “온디바이스 AI라고 해서 모든 것이 단말기 안에서만 돌아가는 것이 아니고 일부 기능은 서버를 거쳤다가 와야 한다”고 설명했다.
LG유플러스가 익시오를 통해 수집해 6개월 동안 가지고 있는 정보는 통화 전문에 포함된 휴대전화번호, 일정, 계좌번호, 주소, 이메일주소, 통화 상대방 연락처, 전화번호, 통화기록 등이다. ‘데이터 백업’을 이유로 통화 일시, 통화 길이, 수/발신자 번호, 통화 유형, 통화 연결 여부, 녹음 여부, 스팸 여부, 사용도수도 저장된다.
또한, 통화 전문 내 장소 관련 정보, 통화 요약 상세, 통화 한 줄 요약 정보, 통화 내역을 분석한 키워드, AI 제안 정보, AI 검색 서비스 제공 결과 정보, 본 서비스 앱 설치 단말기의 웹/앱 접속 이력 등 AI 기술 기반으로 분석하는 과정에서 생성된 정보가 수집된다. 이 정보들은 수집일로부터 6개월 뒤에 파기되며 이에 동의하지 않으면 익시오를 사용할 수 없다.
이번 사고로 온디바이스 AI라 하더라도 통화 상대방 연락처나 계좌번호, 장소 정보처럼 민감한 데이터 일부는 서버에 일정 기간 저장된다는 점이 밝혀졌다. 직원의 실수나 관리 부실이 반복될 경우 다른 민감 정보가 유출될 위험을 배제하기 어렵다. 결국 ‘단말기에서 처리돼 안전하다’는 온디바이스 AI도 현실에서는 완전한 보호 장치가 되지 못한다는 우려가 나온다.
![“정말 돈 없고 구멍난 옷 입었는데”...추성훈이 180도 달라진 비결 [셀럽의 재테크]](https://img.etoday.co.kr/crop/320/200/2265245.jpg)
