36명의 상대방 전화번호 등이 다른 이용자 101명에게 전달 사고
임시 저장공간 설정 오류로 확인…“작업자 실수, 해킹과는 무관”

LG유플러스의 인공지능(AI) 서비스 ‘익시오’에서 고객 통화 내용이 다른 고객에게 유출되는 사고가 발생했다. 사고 원인은 서버 작업자의 임시 저장공간(캐시) 설정 오류로 확인됐다. ‘철벽 방어’ 없는 AI 편의성은 오히려 보안 위협 요인이 될 수 있음을 보여준다는 평가가 나온다.

7일 LG유플러스에 따르면 지난 2일 오후 8시부터 14시간 동안 익시오를 새로 설치하거나 재설치한 이용자 101명에게 다른 이용자 36명의 통화 내용 요약문 등이 전달되는 사고가 일어났다. 익시오는 AI를 이용해 통화 전문과 요약문, 통화 중 검색 등을 제공하는 ‘통화 비서’ 애플리케이션이다.

LG유플러스는 3일 오전 10시 ‘다른 사람의 통화 요약문이 보인다’는 신고를 받고서야 사고를 인지했다. 유출된 정보는 통화 요약문, 상대방 전화번호, 통화 시각 등이다. 주민등록번호와 같은 민감 정보, 통화 전문, 연락처와 함께 저장된 이름 등은 포함되지 않았다.

LG유플러스는 사고 인지 후 72시간 이내인 6일 오전 9시에 개인정보보호위원회에 신고했다. LG유플러스 관계자는 “유출 피해 대상이 1000명 이상이거나 주민번호 등 민감 정보가 포함된 경우에만 신고 의무가 있으나 보안 강화를 위해 자발적으로 신고했다”고 설명했다.

AI 기반 통화 서비스에서 보안 사고가 발생한 것은 이번이 처음이다. LG유플러스에 따르면 통화 음성을 바탕으로 한 ‘문자 요약’ 과정은 단말기(휴대폰) 안에서 처리되고, 요약문만 서버로 전송돼 6개월 보관된다. LG유플러스는 이러한 ‘온디바이스’ 구조를 근거로 익시오의 보안이 우수하다고 홍보해왔으나 정작 요약 결과가 새어나가는 것은 막지 못했다.

LG유플러스는 이번 사고가 ‘휴먼 에러’(작업자 실수)인 점을 강조하고 있지만, 이는 거꾸로 AI 서비스의 취약성을 보여준다는 지적이 나온다. AI 서비스에선 ‘작은 오류’ 하나가 즉각 정보 유출로 이어질 수 있다는 사실이 드러났기 때문이다.

익명을 요구한 한 보안 전문가는 “AI 기반 서비스가 늘고 있지만 개발 단계에서 보안팀과 협의하는 경우는 거의 없을 것”이라며 “작업자 실수가 유출로 이어지지 않도록 설계 단계부터 보안을 우선하는 원칙이 필요하다”고 말했다. 그러면서 “그동안 유출 사고는 주로 외부 침입으로 인식됐지만, 쿠팡·LG유플러스 사례는 내부 통제 역시 침입 방지만큼 중요하다는 사실을 보여준다”고 덧붙였다.

이와 별개로 해킹과의 연관성에도 관심이 쏠린다. LG유플러스는 4개월 전 해킹 전문매체 ‘프랙’의 보도로 해킹 논란에 휩싸인 바 있다. 해당 보도로 APPM(고객 패스워드 통합관리 시스템) 서버 소스코드, 서버 목록, 직원 실명·ID 등의 유출 사실이 알려졌으나 LG유플러스는 “사이버 침해로 볼 수 없다”는 입장을 고수했다. 그러나 국회 안팎에서 “해킹을 숨기려 한다”는 지적이 잇따르자 뒤늦게 관련 사실을 신고했다. LG유플러스는 “이번 사안도 해킹과는 무관하다”는 입장이다.

LG유플러스 관계자는 “기능 업그레이드 과정에서 부족함이 있었던 점을 송구하게 생각한다”며 “관계기관 조사에 적극 협조하고, 내부 업무 프로세스를 더욱 치밀하게 점검하고 개선하겠다”고 밝혔다.