[이코노믹데일리] LG유플러스(대표 홍범식)가 야심 차게 선보인 인공지능(AI) 통화 비서 서비스 ‘익시오(ixi-O)’에서 발생한 통화 정보 유출 사고가 단순한 시스템 오류를 넘어 서비스의 근본적인 신뢰성 문제로 확산하고 있다. 특히 ‘온디바이스 AI’를 내세워 보안성을 강조했던 마케팅과 달리 실제로는 통화 내역이 서버에 저장되고 있었던 것으로 드러나 소비자 기만 논란까지 제기된다.
10일 통신 업계에 따르면 LG유플러스는 지난 6일 익시오 서비스 운영 개선 작업 중 발생한 캐시 설정 오류로 고객 36명의 전화번호와 통화 시각 및 통화 내용 요약 정보가 다른 이용자 101명에게 무작위로 노출됐다고 밝혔다.
업계 전문가들은 이번 사고를 통해 LG유플러스가 강조해 온 ‘온디바이스 AI’의 허상이 드러났다고 지적한다. 온디바이스 AI는 데이터가 서버를 거치지 않고 단말기 자체에서 처리되어야 하지만 이번 사고는 서버 내 임시 저장 공간인 ‘캐시’에서 발생했기 때문이다. 이는 익시오의 핵심 기능이 사실상 서버 연동을 통해 이뤄지고 있었음을 방증한다.
보안 시스템의 기본인 암호화 및 인증 체계가 작동하지 않았다는 점도 충격적이다. 스마트폰은 고유의 암호키(UUID)를 가지고 있어 서버 데이터가 혼선되더라도 권한 없는 단말기에서는 내용이 보이지 않아야 정상이다. 하지만 타인의 통화 내역이 여과 없이 노출됐다는 것은 LG유플러스가 가장 기본적인 데이터 암호화나 이용자 식별 인증조차 소홀히 했다는 합리적 의심을 가능케 한다.
개발 및 운영 구조에 대한 우려도 나온다. 일각에서는 LG유플러스가 익시오 개발 과정에서 LG CNS 등 외부 인력에 크게 의존하면서 권한 관리와 설정 검증에 공백이 생겼을 가능성을 제기한다. 한 기술 전문가는 “외주 중심의 개발 환경에서는 소통 부재로 인한 휴먼 에러가 발생하기 쉽다”며 “이번 사고는 LG유플러스의 개발 및 운영 거버넌스 전반을 재점검해야 한다는 경고 신호”라고 꼬집었다.
보안 사고 대응 방식도 도마 위에 올랐다. LG유플러스가 유출 사실을 신고한 당일 일선 영업 현장에서는 평소보다 30만원가량 높은 판매 지원금이 살포된 것으로 알려졌다. 이를 두고 업계에서는 보안 이슈로 인한 가입자 이탈을 막기 위해 ‘현금 마케팅’으로 입막음을 시도한 것 아니냐는 비판이 나온다. 이에 대해 LG유플러스 측은 “단통법 폐지 이후 판매점의 자체적인 영업 전략일 뿐 본사 차원의 지시는 없었다”고 해명했다.
현재 개인정보보호위원회는 이번 유출 사고의 경위와 기술적 결함 여부를 정밀 조사 중이다. ‘보안’을 핵심 가치로 내세웠던 LG유플러스가 정작 가장 기본적인 데이터 관리에서 허점을 드러내면서 익시오 서비스의 시장 안착에 적신호가 켜졌다.
댓글 더보기