LGU+ 익시오, 서버 작업 중 14시간 동안 통화내용 노출

LG유플러스의 AI 통화 비서 서비스 '익시오(ixi-O)'에서 타인의 통화 내용이 유출된 사고의 원인이 해킹이 아닌 '서버 작업 중 오류'인 것으로 확인됐다.

외부 공격이 없었음에도 14시간 동안 고객의 민감한 통화 기록이 무방비로 노출됐다는 점에서, 통신사의 자체적인 보안 관리 역량이 도마 위에 올랐다.

해킹 아니라던 LG유플러스… "서버 기능 개선 중 오류 발생"

7일 통신업계에 따르면 지난 2일 오후 8시부터 3일 오전 10시 59분까지 약 14시간 동안 LG유플러스 익시오 서비스에서 데이터 혼선 사고가 발생했다. 해당 시간 동안 앱을 설치하거나 재설치한 고객 101명에게, 전혀 모르는 타인 36명의 통화 정보가 노출된 것이다.

유출된 정보에는 통화 상대방의 전화번호, 통화 시각뿐만 아니라 AI가 텍스트로 요약한 '통화 내용'까지 포함됐다.

사고 직후 일각에서는 해킹 가능성이 제기되었으나, LG유플러스 측은 "이번 사안은 해킹과 관련이 없다"고 선을 그었다. 회사 측은 "AI 통화기록과 통화 요약 파일을 저장하는 익시오 서버의 기능 개선 작업 과정에서 오류가 발생한 것"이라고 해명했다. 즉, 시스템 고도화를 위한 내부 작업 도중 데이터가 뒤섞이는 사고가 발생했다는 설명이다.

고객 신고로 뒤늦게 인지… 구멍 뚫린 모니터링 체계

문제는 회사의 대응 시점이다. 이번 유출 사고는 LG유플러스의 자체 보안 관제 시스템이 아닌, 피해 내용을 목격한 고객의 신고로 처음 드러났다.

14시간 가까이 타인의 민감한 통화 요약본이 불특정 다수에게 전송되고 있었음에도, 회사는 고객이 알리기 전까지 이를 인지하지 못했다. 이는 서버 업데이트와 같은 중요 작업 시 필수적으로 수반되어야 할 실시간 이상 징후 모니터링 체계가 제대로 작동하지 않았음을 시사한다.

LG유플러스는 유출 피해 규모가 신고 의무 기준(1천 명 이상)에 미치지 않음에도 개인정보보호위원회에 자발적으로 신고하며 수습에 나섰다. 하지만 최근 SK텔레콤의 정보 유출, KT의 해킹 및 무단 결제 사고 등 통신 3사의 보안 사고가 잇따르는 가운데 발생한 이번 사고는 통신업계 전반의 보안 불감증에 대한 우려를 키우고 있다.

법조계 "내부 작업 실수, 안전조치 의무 위반 소지 커"

법률 전문가들은 이번 사고가 '해킹'이 아닌 '작업 오류'라는 점이 법적 책임 판단에 중요한 변수가 될 것으로 보고 있다.

해킹 방어 실패가 아닌, 내부 직원의 작업 수행 과정에서 발생한 정보 유출은 정보통신망법 및 개인정보 보호법상 '기술적·관리적 보호조치 의무' 위반 여부를 판단할 때 회사 측의 과실이 더 명확하게 인정될 수 있는 사안이다.

법조계 관계자는 "서버 기능 개선 작업 중 타인의 정보가 섞였다는 것은 테스트 환경에서의 검증 부족이나 데이터 접근 통제 미흡을 보여주는 정황"이라며 "주민등록번호가 아닌 통화 내용이라도 사생활 침해가 큰 민감 정보인 만큼, 피해자들에 대한 손해배상 책임에서 자유롭기 어려울 것"이라고 분석했다.

정부는 통신 3사를 대상으로 불시 보안 점검을 예고하는 등 관리 감독을 강화하겠다고 밝혔으나, 반복되는 통신사 정보 유출 사고에 소비자들의 불안감은 여전한 상황이다.