[서울이코노미뉴스 박희만 기자] LG유플러스가 ’온디바이스 AI’를 내세워 보안을 강조해온 AI 통화앱 ‘익시오’에서 고객 통화정보가 제3자에게 노출되는 사고가 발생하면서 보안 신뢰성이 도마 위에 올랐다.
전병기 LG유플러스 AX그룹장(전무)은 지난 6월 “온디바이스 소형언어모델(SLM)을 활용해 보다 안전한 고객 가치를 제공하겠다”고 밝혔으나, 이번 사고로 해당발언이 무색해졌다는 지적이다.
8일 LG유플러스에 따르면 지난 2~3일 ‘익시오’ 서비스 운영개선 과정에서 캐시(임시저장 공간) 설정오류가 발생해 고객 36명의 ▲통화상대방 전화번호 ▲통화시각 ▲통화내용 요약정보가 앱을 신규·재설치한 이용자 101명에게 노출됐다.
LG유플러스는 관리자 실수로 인한 사고라고 설명했지만, 근본적 원인은 통화요약 정보가 고객 단말기 뿐아니라 회사 서버에도 저장돼 왔다는 점에서 비판을 사고 있다.
LG유플러스는 그동안 ‘익시오’가 온디바이스 방식으로 작동해 보안성이 높다고 홍보해왔다. 온디바이스 방식은 정보가 외부서버로 나가지 않도록 단말기 내부에 저장·처리하는 것을 의미한다.
그러나 실제로는 음성파일과 전체 텍스트는 단말기에 저장되지만, ▲통화요약 ▲통화상대방 정보 ▲통화시각 ▲한줄 요약 ▲키워드 등은 최대 6개월간 회사 서버에 보관돼 온 것으로 확인됐다.
민감한 사생활 정보가 포함될 수 있는 통화요약이 서버에 저장됐다는 점은 논란을 키우고 있다.
회사 관계자는 “고객이 휴대폰을 교체하거나 앱을 재설치할 때 기존기능을 연속적으로 제공하기 위해 요약문서를 서버에 저장해왔다”며 “노출된 정보에는 주민등록번호·여권번호 등 고유식별정보나 금융정보는 포함되지 않았다”고 밝혔다.
그럼에도 이번 사고는 ‘익시오’의 온디바이스 보안체계가 실질적으로 반쪽에 불과했음을 드러냈다는 평가가 나온다.
경쟁사 SK텔레콤의 AI 통화앱 ‘에이닷 전화’는 통화기록 캐시를 사용하지 않고, 암호화 저장·식별 인증·전송구간 암호화 등 보안체계를 강화하고 있는 것으로 알려졌다.
반면 ‘익시오’는 관리자 설정 실수만으로 통화요약 내용이 암호화없이 그대로 노출돼 보안관리의 취약성을 드러냈다는 지적이다.