| 한스경제=박정현 기자 | LG유플러스의 인공지능(AI) 통화 어플리케이션 '익시오'에서 사용자 통화 요약 내용을 6개월 저장했다가 업데이트하는 과정에서 타 사용자에게 유출되는 사고가 발생했다. 이통사 AI 통화앱의 사용률이 빠르게 증가하면서 SKT AI 통화 앱 '에이닷'으로도 보안 우려가 커지는 상황이다.
8일 LG 유플러스에 따르면 지난 2일 20시부터 3일 10시 59분 사이 고객 26명의 통화시각, 통화내용 요약, 통화 상대방 전화번호 등이 다른 이용자 101명에게 유출됐음을 3일 10시 인지했다. 회사 측의 조치에 따라 현재 통화정보 유출이 멈췄으며 개인정보보호위원회가 해당사건 조사에 착수했다.
익시오가 단말 내에서 모든 정보를 처리하는 '온디바이스' 기반 서비스로 보안 우수성을 강조해 온 만큼 이번 통화정보 보안의 허점은 충격을 주고 있다.
회사 측이 짚은 이번 사고 원인은 익시오 개선 작업 중 임시 데이터 저장 공간인 '캐시'의 설정 오류 때문이다. 통상적으로 캐시는 동일 요청에 대해 미리 작성한 연산값을 제공해 빠른 처리를 돕는 저장공간인데 캐시가 유출되면 사용자 A의 요청에 사용자 B의 데이터를 응답하는 상황이 펼쳐진다.
LG유플러스 측의 설명에 따르면 회사측에서 익시오 제공시 사용자의 통화기록 캐시를 운영했을 수도 있다는 의심을 남긴다. 캐시가 장기간 운영됐는지 업데이트시에만 일회성으로 사용됐는지는 아직 밝혀지지 않았지만 어느 쪽이든 문제가 된다.
익시오가 통화요약 기능을 단말이 아닌 서버에서 연산함에 따라 통화기록 캐시를 운영했을 수도 있다. 이 경우 개인정보보호에 대한 문제가 제기된다. 익시오 업데이트시 캐시를 사용한 것이라면 6개월 치의 데이터를 백그라운드 프로세스를 통해 수집했다는 것으로 보안상 허점이란 고민을 안게된다.
경쟁 앱 '에이닷'을 제공하고 있는 SKT 관계자는 "에이닷은 요약서비스를 위해 네트워크 연결을 필요로 하나 사용자 단말로부터 통화요약을 처리하는 과정에서 내부 메모리에 일시적으로 장기저장캐시를 적재하고 곧바로 삭제한다"고 전했다.
또 "사용자 단말에서 생성된 공개키를 기반으로 암호화 된 상태로 처리해 다른 사용자에게 정보가 노출될 가능성이 없다"고 전했다.
현재까지는 익시오가 사용자 통화요약을 6개월 간 보관하고 있었다는 사실만이 드러났다. LG유플러스는 "고객이 스마트폰을 교체하거나 앱을 재설치할 경우 연속성 있는 서비스를 위해 6개월간 요약 문서를 서버에 저장한다"고 설명했다. 이를 위해 익시오는 가입 시 사용자에게 AI 서버 활용을 위한 정보 전송·수집·이용 동의를 받고 있다.
보안전문가들은 LG유플러스가 지극히 개인적인 정보인 통화 데이터를 서버에 장기간 보관했던 사안에 대해 "있을 수 없는 일"이라고 입을 모았다.
이현섭 두산동의대 소프트웨어학과 교수는 "LG유플러스는 단말기 분실 등을 위해 통화요약본을 저장하고 있다고 하지만 이는 정보보호법에도 문제가 된다. 향후 데이터 손실이 있더라도 이런 프라이빗한 정보는 개인 디바이스나 클라우드에 저장하는 게 맞다"고 지적했다.
이 교수는 캐시 설정 오류로 고객의 통화내용이 권한이 없는 사용자에게 쉽게 유출된 것도 보안 시스템의 부실을 의미한다고 말했다. 이어 그는 "관리자가 실수를 일으켜도 시스템에서 한번 제동을 걸어줘야 하는데 초기 설계가 잘못된 게 아닌지도 의심된다"고 밝혔다.
◆ "진정한 AI 온디바이스 앱은 아직"
일각에선 익시오의 AI 연산 중 '통화요약' 기능이 온디바이스가 아닌 서버에서 처리되는 구조인 탓에 캐시의 설정 오류가 이용자 통화 기록 유출 문제로 커진 것이라는 의심도 제기한다.
그간 LG유플러스는 익시오의 통화녹음과 요약이 온디바이스 AI로 구동돼 정보유출 가능성이 없다고 홍보해왔다.
기태현 KCA 이사는 “진정한 온디바이스라면 정보가 외부로 빠져나올 수 없다”며 “온디바이스라는 개념은 AI 연산이 전적으로 단말 내부에서 이뤄진다는 의미인데 제미나이나 챗GPT 역시 서버 기반으로 운영되고 있는 만큼 실제로 완전한 온디바이스 구현은 기술적으로 난이도가 매우 높다”고 말했다.
그러면서 “익시오는 통화요약 AI 연산을 서버에서 하는데 이때 사용자 데이터는 반드시 암호화된 형태로 전달돼야 한다”며 “이번 사건은 암호화가 적용되지 않았거나 초기 설계에 결함이 있었던 것으로 보인다”고 분석했다.
◆ 통화 텍스트 전환부터 서버에서 하는 '에이닷'..."우리는 캐시 바로 삭제"
그런 의미에서 SKT도 안전성을 단정하긴 어렵다는 지적이 제기된다. 통신 이용자들이 AI 기반 통화 앱 사용에 익숙해진 만큼 에이닷 역시 서버 연산을 활용하는 구조에서는 보안 리스크에서 완전히 자유롭다고 보기 어렵다는 이유에서다.
SKT 관계자는 “에이닷은 통화기록 캐시를 운영하고 있지 않다”며 “통화 관련 정보는 사용자 단말에서 생성된 공개키를 기반으로 암호화된 상태로 처리되기 때문에 타 이용자에게 정보가 노출될 가능성은 원천적으로 차단돼 있다”고 설명했다.
그러나 SKT도 개인정보 처리방침에 서버에 수집되는 개인정보 수집목적·수집 항목·보유 및 이용 기간을 명시하고 있다. AI 기능이 온디바이스에서 온전히 활용되기까지는 사용자의 개인 정보가 통신사의 서버를 거칠 수 밖에 없는 셈이다.
Copyright ⓒ 한스경제 무단 전재 및 재배포 금지
본 콘텐츠는 뉴스픽 파트너스에서 공유된 콘텐츠입니다.
