'익시오' 고객 36명 통화 정보
다른 이용자 101명에 노출돼
"해킹 아닌 개발자 단순 실수"
정말 36명뿐?... "로그 확인"
통신3사 잇따라 보안 '경고등'

7일 서울 시내 한 LG유플러스 매장 앞을 시민이 지나가고 있다. 뉴시스

<이미지를 클릭하시면 크게 보실 수 있습니다>

LG유플러스의 인공지능(AI) 통화 애플리케이션(앱) '익시오'에서 고객 일부의 통화 정보가 다른 이용자에게 유출되는 사고가 발생했다. 앞서 내부 서버 해킹 정황이 발견돼 보안당국의 조사가 진행 중인 상황에서 또다시 사고가 터진 것이다. 회사 측은 "개발자의 단순 실수"라며 해킹 가능성에 선을 그었지만, 올해 들어 통신 3사에서 대규모 개인정보 유출 사고가 잇따르면서 이용자들은 불안감을 감추지 못하고 있다. 최근 국민의 민감한 정보를 다루는 통신 서비스 전반에 AI가 접목되고 있는 만큼 통신사들이 보안 체계를 더욱 강화해야 한다는 목소리가 커지고 있다.

통화 폰에만 저장? 서버에도 저장됐다

7일 LG유플러스에 따르면 회사는 고객 36명의 통화 상대방 전화번호, 통화 시각, 통화 내용 요약 등의 정보가 다른 이용자 101명에게 일시적으로 노출됐음을 확인하고 6일 오전 9시 개인정보보호위원회에 신고했다. 익시오는 2024년 11월 출시된 통화 앱으로, AI가 통화 내용을 텍스트로 변환하고 요약해준다. LG유플러스는 익시오가 온디바이스(내장형) 기반으로 작동되기 때문에 녹음 파일이 스마트폰에만 저장돼 안전하다고 홍보해 왔다. 하지만 이번 사고로 회사 측이 통화내용 한 줄 요약 같은 일부 정보를 6개월간 서버에 임시로 저장하고 있다는 사실이 알려졌다. "고객이 스마트폰을 교체하거나 앱을 재설치할 때의 요청에 대비해서"라고 회사는 설명했지만, 바로 이 정보가 새어나갔으니 비판을 피하기 어렵게 됐다.

LG유플러스 '익시오'를 활용한 스마트폰 통화 내용 요약과 일정 제안(왼쪽), 실시간 보이스피싱 탐지 서비스 예시 화면. 익시오 화면 캡처

<이미지를 클릭하시면 크게 보실 수 있습니다>

LG유플러스 측은 사고 원인에 대해 "서비스 운영 개선 작업 과정에서 캐시(임시 저장 공간) 설정 오류가 있었다"고 했다. 세부 내용을 밝히진 않았으나, 작업자의 실수로 2일 오후 8시부터 3일 오전 10시 59분까지 약 15시간 동안 고객 36명의 통화 정보가 오픈됐다는 것이다. 그사이 앱을 새로 또는 다시 설치한 이용자 101명에게 이 36명의 통화 정보가 노출됐다는 설명이다. 101명은 각각 최소 1명, 최대 6명의 통화 정보를 받았다.

다만 LG유플러스는 주민등록번호, 여권번호 등은 유출되지 않았다고 해명했다. 또 현행법상 개보위 신고 기준인 '1,000명 이상 유출'에 해당하지 않지만 민감한 통화 정보라는 점을 고려해 자진 신고했다고 덧붙였다. 그러나 정보 유출 사실을 회사가 먼저 인지하지 못하고 고객 신고로 파악했다는 점, 출시 1년밖에 안 된 서비스인데 직원 한 명의 실수로 보안에 구멍이 뚫렸다는 점에선 여론의 질타를 피할 수 없어 보인다. 익시오 이용자는 100만 명에 이른다. 정보 유출 피해자가 36명 외에 더 있을 가능성에 대해 회사는 "15시간 동안의 로그 기록을 모두 확인한 만큼 추가 유출은 없을 것"이라고 밝혔다.

"기존 해킹 서버와 익시오 서버 달라"

앞서 10월 LG유플러스는 내부자 계정을 관리하는 권한관리 시스템(APPM) 서버가 해킹된 정황을 발견해 한국인터넷진흥원(KISA)에 신고했다. 7월 화이트해커로부터 관련 제보를 받은 KISA가 이 내용을 LG유플러스에 전달한 지 약 3개월 만이었다. LG유플러스는 이번 익시오 사건은 "기존 해킹과 연관성이 없고, 외부 침해 정황 또한 없다"고 선을 그었다. 회사 관계자는 "10월 KISA 신고 서버와 익시오 서버는 아예 별개"라며 "이번 사건에서 해킹 정황이 있었다면 개보위가 아니라 KISA에 신고했을 것"이라고 했다.

10월 22일 서울 종로구 정부서울청사에서 배경훈(가운데) 부총리 겸 과학기술정보통신부 장관이 범부처 정보보호 종합대책 합동브리핑을 하고 있다. 홍인기 기자

<이미지를 클릭하시면 크게 보실 수 있습니다>

그럼에도 국민 대부분이 이용하는 통신 3사에서 개인정보 유출 사고가 잇따르는 데 대해 불안감이 커지고 있다. 4월 SK텔레콤 해킹 사고로 가입자 2,700만 명의 유심(USIM) 정보가 유출된 데 이어, 8월 KT에서는 외부 세력이 가입자 368명 정보를 빼내 2억4,000만 원 상당의 소액 결제를 했다. 이번에 LG유플러스는 15시간 동안 통화 정보가 유출됐는데도 모르고 있다가 이용자 신고를 받고서야 조치에 나섰다. LG유플러스 측은 "기능 업그레이드 과정에서 부족함이 있었다. 송구하고 죄송스럽다"고 했다.

정부는 통신사들의 보안 역량 강화를 강도 높게 주문하고 있다. 정부는 10월 '범부처 정보보호 종합대책'을 발표하며 개인정보 유출 2차 피해가 큰 통신사에 대해서는 불시에 실제 해킹 방식을 적용한 보안 인프라 점검에 나서겠다고 밝혔다. 통신 3사는 향후 5년간 7,000억~1조 원 규모의 정보보호 투자 계획을 내놓았다.

박준석 기자 pjs@hankookilbo.com