[현장] LG유플러스 익시오, 고객 36명 통화정보 유출…′온디바이스 AI′ 광고 무색

[현장] LG유플러스 익시오, 고객 36명 통화정보 유출…'온디바이스 AI' 광고 무색: 이준현 기자 / 기사승인 : 2025-12-10 08:31:19

15시간 무방비 노출…자체 관제 아닌 고객 제보로 뒤늦게 인지
'서버에 안 남는다' 광고했지만, 실제론 6개월간 통화 요약 저장

사진은 7일 서울 용산구 LG유플러스 본사와 익시오 통화 앱. (사진=연합뉴스)

[알파경제=이준현 기자] LG유플러스의 AI 통화 비서 '익시오'에서 36명의 통화정보가 101명에게 15시간 동안 노출되는 사고가 발생했다.

LG유플러스는 '온디바이스 AI' 기술을 적용해 보안이 강력하다고 광고해 왔으나, 실제로는 통화 요약 데이터를 서버에 저장해 온 것으로 드러났으며, 캐시 설정 오류로 인해 해당 데이터가 유출됐다.

◇ 15시간 방치, 고객 제보로 뒤늦게 발견

LG유플러스는 지난 2일 진행된 익시오 서비스 운영 개선 작업 중 발생한 캐시 설정 오류로 고객 36명의 통화 상대방 전화번호, 통화 시각, 통화 내용 요약 등이 다른 이용자 101명에게 노출됐다고 6일 밝혔다.

정보 유출은 지난 2일 저녁 8시부터 3일 오전 10시 59분까지 약 15시간 동안 이어졌다. 이 기간 익시오를 새로 설치하거나 재설치한 이용자의 화면에 타인의 통화 기록이 그대로 표시된 것이다.

LG유플러스는 2023년 대규모 보안 사고 이후 정보보호 투자를 1000억 원 규모로 확대하겠다고 공언한 바 있다.

그러나 이번 사고에서 첨단 관제 시스템은 15시간 동안 작동하지 않았고, 결국 "남의 통화 기록이 보인다"는 고객의 신고를 받고서야 문제를 파악했다.

LG유플러스 측은 3일 오전 10시 22분 제보를 접수한 뒤 37분 만에 복구를 완료했다고 밝혔다.

주민등록번호나 금융정보는 포함되지 않았으나, 통화 요약 내용에 개인의 건강, 가정사, 경제 상황 등 민감한 사생활이 포함되었을 가능성이 있어 우려가 제기된다.

(사진=연합뉴스)

◇ '온디바이스 AI' 마케팅의 괴리

LG유플러스는 익시오 출시 당시 "통화 녹음과 AI 연산이 스마트폰 내부에서 이뤄져 서버로 데이터가 전송되지 않는다"고 대대적으로 홍보했다.

경쟁사인 SKT 에이닷과의 차별점으로 '강력한 보안'을 내세운 것이다.

그러나 이번 사고로 실제 구동 방식이 드러났다. LG유플러스는 "기기 변경이나 앱 재설치 시 서비스 연속성을 위해 통화 요약본과 기록을 서버에 6개월간 저장한다"고 해명했다.

음성 파일 자체는 저장하지 않지만, AI가 요약한 텍스트 데이터는 서버에 보관해 온 셈이다.

이는 진정한 의미의 '온디바이스 AI'로 보기 어렵다. 데이터 처리를 기기에서 하더라도 결과를 서버에 저장한다면, 이는 사실상 클라우드 백업이 동반된 하이브리드 구조다.

마케팅에서 강조한 "서버에 남지 않는다"는 주장과 정면으로 배치된다.

(사진=연합뉴스)

◇ 1000억 원 투자 무색한 '안전불감증'

업계에서는 이번 사고가 예고된 인재라는 비판이 나온다.

LG유플러스는 2년 전인 2023년 대규모 해킹 사태 당시 황현식 대표가 직접 나서 "정보보호 투자를 1000억 원 규모로 확대하겠다"고 약속한 바 있다.

실제 2024년 기준 LG유플러스의 정보보호 투자액은 828억 원으로 2년 전보다 87% 늘었고 보안 인력도 확충했다. 하지만 대규모 투자 약속과 비용 집행에도 불구하고 가장 기초적인 '시스템 설정 검증'조차 제대로 이뤄지지 않았다.

수백억 원을 들여 구축했을 실시간 관제 시스템은 이번 15시간의 오류를 전혀 잡아내지 못했고, 결국 "남의 통화 기록이 보인다"는 고객의 신고를 받고서야 뒤늦게 사태를 파악했다.

한 보안 전문가는 "외부 해킹 방어도 중요하지만, 내부 작업자의 실수나 프로세스 오류를 걸러내는 것이 보안의 기본"이라며 "1000억 원을 쏟아붓고도 기본적인 모니터링조차 작동하지 않은 것은 단순 실수로 보기 어렵다"고 지적했다.

이에 대해 LG유플러스 관계자는 “고객 여러분께 불편과 심려를 끼쳐 죄송하다”며 고개를 숙였다. 다만 이 관계자는 “이번 사안은 해킹과 관련이 없으며, 이후 관계기관 조사에도 적극 협조하겠다”고 덧붙였다.

LG유플러스는 6일 오전 9시 개인정보보호위원회에 자진 신고했다. 현행법상 1000명 미만 유출은 신고 의무 대상이 아니지만, 자진 신고 시 과징금 감경 혜택을 받을 수 있다. 일각에서는 이를 두고 법적 책임을 최소화하려는 계산된 대응이라는 지적도 나온다.

개인정보위는 유출된 통화 내용 요약에 민감정보가 포함됐는지 전수 조사할 방침이다.

알파경제 이준현 기자(wtcloud83@alphabiz.co.kr)