CloudPNG

ºC

logo
IT/바이오

“AI통화비서 개인정보 노출”…LG유플러스, 자진신고로 보안 리스크 부각

정유나 기자
입력

AI 기반 통화 요약 서비스가 상용화 단계에 들어서면서 개인정보 보호 체계의 허점이 다시 드러났다. LG유플러스가 운영 중인 AI 통화비서 익시오에서 통화정보가 다른 이용자에게 일시 노출되는 사고가 발생해 개인정보보호위원회에 자진 신고됐다. 통신사가 직접 AI 기능을 결합한 음성 서비스에서 정보관리 오류가 확인된 사례라, 업계에서는 향후 AI 통신서비스 전반에 대한 보안 거버넌스 재점검 흐름이 이어질 것으로 보인다. 특히 통화내용 요약 등 고도의 자연어처리 기술을 활용하는 서비스 특성상, 설계 단계부터 캐시 관리와 데이터 마스킹 등 기본 보안구조를 강화해야 한다는 지적도 제기된다.

 

LG유플러스는 6일 익시오 운영 개선 작업 과정에서 캐시 설정 오류가 발생해, 고객 36명의 통화정보가 다른 이용자 101명에게 일시 노출됐다고 밝혔다. 노출된 항목은 통화 상대방 전화번호, 통화 시각, 통화내용 요약 등 통화 관련 메타데이터와 요약 정보다. 회사는 사고를 인지한 뒤 개인정보보호위원회에 유출 사실을 자진 신고했으며, 신고 접수는 이날 오전 9시경 마무리했다고 설명했다.

문제가 발생한 구간은 12월 2일 오후 8시부터 3일 오전 10시 59분까지다. 이 시간 동안 익시오를 새로 설치하거나 재설치한 이용자 101명이 앱에 접속했을 때, 최대 6명까지 타인의 통화정보가 화면에 노출되는 현상이 나타났다. AI 통화비서가 수집해 요약한 정보가 단말기 측 캐시 영역에서 잘못 매칭되며, 사용자 계정과 무관한 데이터가 출력된 구조로 해석된다.

 

LG유플러스는 주민등록번호와 여권번호 등 고유식별정보, 카드번호와 계좌번호 등 금융정보는 저장되지 않았고 유출 정황도 없다고 강조했다. 익시오가 처리하는 데이터는 통화 이력과 음성 기반 요약 정보 중심으로 설계돼 있어, 통신사 본 시스템에 저장된 다른 민감정보와 직접적으로 연계되지는 않는 구조다. 그럼에도 통화 상대방 식별이 가능한 전화번호와 대화 내용을 유추할 수 있는 요약 정보가 타인에게 노출된 만큼, 통화 비밀 보호 측면에서 적지 않은 리스크로 평가된다.

 

이번 사고의 핵심 원인은 애플리케이션 캐시 설정 오류다. 캐시는 이용 편의성과 응답속도를 높이기 위해 데이터를 임시 저장하는 공간으로, AI 기반 서비스에서는 모델 추론 결과와 요약 텍스트, 사용자별 최근 이용 이력 등을 저장하는 데 활용된다. 캐시를 사용자 계정 단위로 격리하지 않거나, 신규 설치 시 초기화 로직이 잘못 설계되면, 다른 이용자의 이전 결과물이 그대로 노출되는 문제가 발생할 수 있다. 특히 음성 인식과 텍스트 요약 결과처럼 개인의 행태와 내용을 간접적으로 드러내는 AI 결과물은, 일반 로그 데이터보다 높은 수준의 보호 설계가 필요하다는 지적이 나온다.

 

LG유플러스는 3일 오전 10시경 문제를 인지한 직후 원인 파악과 복구 작업에 착수해, 관련 캐시를 초기화하고 매칭 로직을 수정하는 등 조치를 완료했다. 이후 통화정보가 노출된 고객 36명과, 이를 열람했을 가능성이 있는 101명 모두에게 전화와 문자로 사실을 통보하고 향후 절차를 안내했다. 회사는 이번 사고가 외부 침입에 따른 해킹이 아니라 내부 설정 오류에서 비롯된 사안이라고 선을 그었다.

 

업계에서는 이번 사례를 AI 통화비서와 같은 신서비스 도입 과정에서 발생할 수 있는 전형적인 설계 단계 보안 리스크로 본다. 기존 음성통화 서비스는 교환기와 빌링 시스템처럼 검증된 인프라를 중심으로 운영돼 왔지만, AI 기반 부가서비스는 별도 앱과 클라우드 서버, 모델 운영 환경 등 복수의 계층이 결합된다. 이 과정에서 캐시, 세션, 로그 등 주변 데이터 관리가 소홀해지면 실제 서비스 품질과 무관한 영역에서 개인정보 사고가 발생할 수 있다는 것이다.

 

국외에서도 음성 기반 AI 비서와 콜센터 자동응답 시스템에서 대화 로그 관리와 저장 기간, 학습 데이터 재활용을 둘러싼 논란이 이어지고 있다. 유럽연합은 AI 법안 논의 과정에서 고위험 서비스에 대해 데이터 거버넌스와 기록 관리 의무를 강화하는 방향을 검토 중이며, 미국에서도 통신 서비스 사업자의 AI 기능 도입 시 사전 영향평가를 요구해야 한다는 의견이 학계에서 제기되고 있다. AI를 얹은 통신서비스가 단순 부가서비스를 넘어 고객 접점의 표준으로 확장되고 있는 만큼, 국내에서도 유사한 규제 논의가 뒤따를 가능성도 있다.

 

개인정보보호위원회는 LG유플러스의 자진신고 내용을 토대로 사고 경위와 보안조치 수준을 점검할 전망이다. 통신사와 디지털 서비스 사업자는 일정 규모 이상의 유출이 발생하면 즉시 신고와 통지를 해야 하며, 사후 조사 결과에 따라 과징금과 과태료 부과, 개선명령 등의 제재를 받을 수 있다. 특히 AI 기반으로 통화내용을 분석하거나 저장하는 서비스는 최소 수집 원칙과 목적 외 이용 제한, 데이터 보관 기간 설정 등 추가 의무 준수 여부가 향후 쟁점이 될 수 있다.

 

전문가들은 음성 기반 AI 서비스 확산 속도에 비해, 데이터 보호 설계와 내부 개발 가이드라인 정비가 뒤처져 있다고 지적한다. 한 정보보호 컨설턴트는 통화요약 같은 기능은 겉으로 보기에는 편의 서비스에 불과해 보이지만, 실제로는 민감한 생활 패턴과 관계망 정보가 집약되는 영역이라며 개발 단계에서부터 캐시와 로그에 저장되는 항목을 최소화하고, 사용자 구분 키를 이중으로 검증하는 구조가 필요하다고 말했다.

 

통신업계는 이번 사고를 계기로 AI 기반 고객 서비스의 설계 기준과 검증 절차를 재정비할 수밖에 없을 것으로 보인다. 단기적으로는 캐시와 로그 관리 체계 점검, 장기적으로는 AI 모델 운영 환경 전반에 대한 보안·프라이버시 영향평가 제도화 논의도 힘을 얻을 전망이다. 산업계는 AI 통신서비스가 시장에 안착하는 과정에서, 기술 고도화와 함께 개인정보 보호 수준을 얼마나 설득력 있게 끌어올릴 수 있을지 주시하고 있다.

정유나 기자
share-band
밴드
URL복사
#lg유플러스#익시오#개인정보보호위원회