|
LGU+ "연속성 있는 서비스 위해 최소한의 정보만 저장"
LG유플러스가 익시오 기능에 대해 '휴대전화에 정보를 저장해 보안에 강하다'고 강조해온 것과 달리 통화 정보가 서버에 임시 저장되는 과정에서 일어난 사고로 밝혀지면서 그간 과장 홍보를 한 것 아니냐는 논란도 일고 있다.
10일 통신업계에 따르면 LG유플러스는 지난 6일 익시오 서비스 운영 개선 작업 과정에서 캐시 설정 오류로 고객 36명의 통화 상대방 전화번호, 통화 시각, 통화내용 요약 등 정보가 다른 이용자 101명에게 일시적으로 노출됐다고 밝혔다.
익시오 서비스 과정에서 임시 저장 공간인 캐시를 사용했는데, 서버 기능 개선 작업을 하며 캐시 설정에서 실수를 일으켜 36명의 통화 내역이 다른 이용자의 휴대전화에 그대로 노출된 것이다.
통신업계에서는 LG유플러스가 익시오를 온디바이스 기반 AI 서비스라고 강조해온 것과 달리 서버에 임시 저장을 해왔다는 것에 놀라움을 표시하고 있다.
한 업계 관계자는 "회사 설명과 달리 익시오의 핵심 기능은 서버에서 처리되고 있었던 것"이라며 이번 사고가 고도의 기술적 문제가 아니라 운영 과정에서 기본적인 데이터 관리를 잘못한 탓이라고 분석했다.
이에 LG유플러스는 "통화 녹음은 오직 사용자 휴대전화에만 보관되며 녹음 파일을 기반으로 전사문(통화 원문) 생성, 보이는 전화, 보이스 피싱 탐지 등 익시오만의 차별화된 기능은 온디바이스 AI를 기반으로 작동한다"고 설명했다.
다만, 통화 원문을 요약하는 기능은 온디바이스 기반이 아닌 거대언어모델(LLM) 서버를 통해 진행된다고 밝혔다.
기기 변경이나 앱 재설치 등 환경이 바뀌었을 때도 사용할 수 있도록 암호화해 복구용 서버에 보관했다는 해명이다.
아울러 이번 사고로 다른 이용자의 통화 내역이 엉뚱한 이의 휴대전화에 노출된 것에서 LG유플러스가 기본적인 통화 내역의 암호화 처리를 소홀히 했던 것 아니냐는 의심도 사고 있다.
스마트폰은 각각 고유의 암호키를 가지고 있어서 서버에서 정보를 불러내더라도 이를 열람할 권한이 있는 암호키가 없으면 내용을 볼 수 없는 구조다.
또, 통화 요약과 같은 부가 정보는 고객 ID(UUID)가 인증된 휴대전화에서만 보인다.
서버 설정 오류가 있었던 데 더해 암호화나 ID 인증마저 제대로 작동하지 않아 민감한 개인 정보가 유출됐다는 데서 이 회사의 데이터 관리에 큰 결함이 있었던 것이 아닌지 의심되는 것이다.
업계 일각에서는 LG유플러스가 익시오 개발 과정에서 외부 개발 인력을 대규모로 참여시킨 점이 제대로 된 고객 정보 관리에 '구멍'이 나게 된 한 원인이 아니었는지 의심하기도 한다.
익시오 서비스 웹페이지에 공개된 '개인정보 처리 업무의 위탁 사항'에 따르면 익시오 클라우드 서버 사용, 통화 요약·개인화된 추천 등 AI 서비스 제공 등 기능을 시스템 통합(SI) 계열사나 외주 회사가 위탁 받아 운영하고 있다.
한 기술 전문가는 "외주 중심 구조에서는 권한 관리와 설정 오류 같은 실수(휴먼 에러)가 일어날 가능성이 커진다"며 이번 사고를 통해 LG유플러스가 개발·운영 체계를 다시 점검해야 한다는 신호라고 지적했다.
이에 LG유플러스는 "익시오의 핵심 기능은 외부와 협업 없이 내재화 개발을 진행했으며, 이번에 오류가 발생한 부분도 익시오 기능 개선 중에 발생한 것으로 외부 회사와는 무관하다"고 해명했다.
한편, LG유플러스가 익시오의 통화 정보 노출을 외부에 알리고 개인정보보호위원회에 신고한 당일 일선 영업점에서 평소보다 30만원가량 판매 지원금을 올려 가입을 독려했다며 보안 사고에 따른 가입자 이탈을 무마하려는 시도를 한 것 아니냐는 비판도 제기됐다.
이에 LG유플러스는 "단통법 폐지 이후 판매점에서 지원금을 알아서 지급하는 영업 전략은 문제가 될 것이 없으며, 본사에서 방침을 정해서 내린 적은 전혀 없다"고 반박했다.
개인정보보호위원회는 LG유플러스 신고를 받고 사건 경위를 파악 중이다.
csm@yna.co.kr
<연합뉴스>
