Gemini Generated Image U9tc4ku9tc4ku9tc

내 통화 내용이 섞였다? LG AI 통화 비서 ‘익시오’ 정보 유출로 본 AI 보안의 현주소

ByGS이슈

“제 통화 내용이 다른 사람한테 보인대요?”

12월 6일, LG유플러스가 충격적인 소식을 발표했습니다. AI 기반 통화 녹음·요약 서비스인 ‘익시오(ixi-O)’에서 36명의 통화정보가 101명의 다른 사용자에게 노출됐다는 사실입니다. 다행히 주민등록번호나 금융정보 같은 극도로 민감한 정보는 포함되지 않았지만, 통화 상대방의 전화번호, 통화 시각, 통화 내용 요약 같은 프라이버시 정보는 고스란히 노출됐죠.

더 놀라운 건, 이게 해킹이 아니라는 점입니다. 단순한 시스템 운영 미스, 그것도 “웹 캐시 설정 오류”라는 꽤 기초적인 수준의 오류가 원인이었습니다. 이번 사고는 AI 시대에 우리가 얼마나 취약한지, 그리고 “편의 뒤에는 항상 위험이 있다”는 역설적인 진실을 여실히 보여줍니다.

익시오가 뭔가? “AI가 통화를 요약해 드려요”

LG유플러스의 ‘익시오’는 꽤 편리한 서비스입니다. 아이폰 통화를 자동으로 녹음하고, AI가 그 내용을 텍스트로 요약해 주는 거죠. 장황한 상담 전화, 중요한 계약 통화, 복잡한 업무 지시 같은 걸 나중에 다시 읽기만 해도 핵심 내용이 정리돼 있는 겁니다.

왜 유용한가?

  • 상담·계약 통화: 복잡한 내용을 텍스트로 요약해 나중에 확인 가능
  • 업무 효율성: 통화 내용 재청취 시간 단축
  • 기록 보관: 중요한 약속이나 지시사항을 문자로 남김
  • 금융·보험 상담: 상품 설명을 텍스트로 정리할 수 있어 보증 역할

하지만 “편의 뒤에 숨어 있는 위험”을 간과했습니다.

서비스가 요약을 만들기 위해, 모든 통화 내용이 서버를 거쳐야 한다는 사실을 말이죠. 녹음 파일 → 클라우드 서버 → AI 분석 → 텍스트 요약이라는 과정에서, 내 목소리, 상대방의 목소리, 그리고 그 안의 개인정보가 모두 회사 서버에 저장되는 겁니다.

무슨 일이 일어났나? “웹 캐시 설정 오류”의 함정

타임라인: 12월 2일 20시 ~ 12월 3일 10시 59분

LG유플러스에 따르면, 접속 사용자가 몰리는 시간에 서버 부하를 줄이기 위해 ‘웹 캐시(Web Cache)’를 사용했습니다. 캐시란 자주 쓰는 데이터를 임시로 저장해서, 매번 서버에서 불러오는 대신 빠르게 전송하는 기술이죠.

문제는 캐시 설정에 오류가 있었다는 것입니다.

무슨 일이 일어났나? (단순화한 설명)

  1. A 사용자가 로그인 → 자신의 통화 기록을 요청
  2. 서버가 A의 통화 기록을 응답 → 임시저장소(캐시)에 저장
  3. B 사용자가 로그인 → 자신의 통화 기록을 요청
  4. 오류로 인해 A의 캐시 데이터가 B의 화면에 표시됨 ← 문제 발생!

즉, A의 개인정보가 “B의 것”처럼 표시되는 바람에, B는 자신도 모르게 낯선 사람의 통화정보를 보게 된 거죠.

실제 피해 규모

  • 노출된 사용자: 36명의 통화정보가 101명에게 노출
  • 개인당 노출 범위: 1명에서 최대 6명의 다른 사용자에게 노출
  • 노출된 정보 내용:
  • ✅ 통화 상대방 전화번호
  • ✅ 통화 시각(시간)
  • ✅ 통화내용 요약(AI가 만든 텍스트)
  • ❌ 주민등록번호 (미포함)
  • ❌ 여권번호 (미포함)
  • ❌ 금융정보 (미포함)

LG유플러스의 대응 (꽤 빨랐다)

  • 12월 3일 오전 10시경 – 문제 인지 후 즉시 복구 작업 시작
  • 같은 날 – 모든 피해 고객에게 전화 또는 문자로 개별 안내
  • 12월 6일 오전 – 개인정보보호위원회에 자진 신고

흥미로운 건, 해킹이나 보안 공격이 아니었다는 점입니다. 악의적인 외부 침투가 아니라, 자신의 직원이 시스템을 운영하다가 실수한 거죠. 마치 “금고는 잠겼는데, 금고 앞에 열쇠를 놓고 간” 정도의 실수라고 볼 수 있습니다.

“AI 시대의 그림자” – 편의 뒤의 위험들

이번 사건이 충격적인 이유는, 본질적인 AI 서비스의 특성을 드러냈기 때문입니다.

“온디바이스 AI”라던 약속은?

LG유플러스는 당초 “‘온디바이스(On-Device) AI’이기 때문에 안심하세요”라고 마케팅했습니다.[116] 즉, “AI 처리가 모두 당신의 휴대폰 안에서 일어나므로, 회사 서버에 정보가 보관되지 않는다”는 뜻이었죠.

하지만 텍스트 요약본은 어디에 저장되나요? 사용자가 나중에 통화 요약을 다시 읽으려면, 그 데이터가 어딘가에 보관돼 있어야 합니다. 결국 “개인 휴대폰”이 아닌 “회사 서버”에 저장될 수밖에 없는 구조인 거죠.

AI 서비스의 정체성과 위험성

편의성과 위험성은 동전의 양면

  • 편의성: AI가 통화를 자동으로 정리해 주고, 언제든지 검색하고 다시 읽을 수 있음
  • 위험성: 그러려면 내 민감한 목소리와 정보가 회사 서버를 거쳐야 하고, 그 서버가 해킹되거나 설정 오류가 나면 바로 노출

신뢰의 비용이 높아지는 시대

우리는 AI 서비스의 편의를 누리는 대신, 회사를 100% 신뢰해야 한다는 조건을 내재적으로 수용합니다. 하지만 이번 사건은 “그 신뢰가 한순간에 무너질 수 있다”는 걸 보여줍니다.

  • 자동 번역 서비스 (Papago, Google Translate) → 내 문서 내용이 서버를 거침
  • 클라우드 저장소 (Google Drive, OneDrive) → 내 모든 파일이 회사 서버에 저장
  • AI 챗봇 (ChatGPT, Gemini) → 내 대화 내용이 학습 데이터로 사용될 수 있음

이 모든 서비스가 “편의”와 “위험”의 트레이드오프라는 거죠.

왜 이런 오류가 생겼나? “보안 체크의 허점”

웹 캐시 설정 오류, 흔한가?

불행하게도 네, 매우 흔합니다. 서버 부하 증가 시 개발팀은 빠르게 임시방편을 도입하곤 하는데, 그 과정에서 중요한 데이터도 캐시의 대상에 포함되는 실수가 자주 발생합니다.

왜 놓치나?

  1. 시간 압박: 서버가 다운되려고 하니, 일단 캐시를 켜고 보는 식의 응급처치
  2. 다층 검증 부족: “이 데이터는 개인정보니까 캐시하면 안 된다”는 체크리스트가 없거나 형식적
  3. 보안 리뷰의 위약성: 개발팀과 보안팀 간의 커뮤니케이션 부족
  4. “되겠지” 심리: “설정 오류? 그까짓 거 왠 일 있겠어?”라는 안이함

AI 서비스, 어떻게 지켜야 하나? “사용자 행동 수칙”

일반인들이 할 수 있는 것

1. 데이터 처리 방침 확인하기 (필수)

새로운 AI 서비스를 다운로드할 때, 반드시 다음을 확인하세요:

  • “통화 내용은 어디에 저장되나?” → 서버 저장인지, 로컬 저장인지
  • “얼마나 오래 보관되나?” → 3개월? 1년? 영구?
  • “다른 목적으로 쓰이나?” → AI 학습 데이터로 사용되진 않나?
  • “암호화되나?” → 전송 중, 저장 중 모두 암호화되나?

2. 정기적으로 기록 삭제하기

  • 익시오 같은 서비스에서는 매월 또는 분기마다 불필요한 통화 기록 삭제
  • 중요한 통화만 따로 메모로 저장해 두고, 앱 내 보관은 최소화
  • “그래도 있으면 유출되지 않겠지?”라는 생각은 금물

3. 민감한 통화는 주의하기

  • 은행·금융 상담 전에 “이 통화가 녹음될 수 있음”을 인지
  • 의료 상담, 법률 상담은 가능하면 오프라인 또는 전용 통화 채널 사용
  • 개인정보(주민번호, 카드번호)를 통화로 말하지 않기 (당연하지만, 실수하기 쉬움)

4. 다중 인증(2FA) 활성화

  • 익시오 같은 서비스도 계정 해킹 위험이 있으니, 항상 2FA 활성화
  • 혹시 정보가 유출됐을 때, 적어도 내 계정은 지킬 수 있음

5. 서비스 공지사항 모니터링

  • 정기적으로 LG유플러스 공식 채널에서 보안 공지 확인
  • “이용약관 변경”이라는 소식은 꼼꼼히 읽기 (데이터 처리 방식이 바뀔 수 있음)

회사·개발팀이 해야 할 것

1. 보안 설계 단계부터

  • [ ] 어떤 데이터를 캐시해도 되는가? 리스트 작성
  • [ ] 개인정보는 절대 캐시하지 않기
  • [ ] Cache-Control: no-store, no-cache 같은 HTTP 헤더 설정
  • [ ] 캐시된 데이터 만료 시간 엄격하게 설정

2. 정기적인 보안 감시

  • [ ] 월 1회 이상의 보안 감사 (캐시 설정 포함)
  • [ ] 자동화된 모니터링 도구 도입 (이상 접근 패턴 감지)
  • [ ] 침투 테스트 (의도적으로 보안을 테스트)

3. 사용자 공지 강화

  • [ ] “이 서비스는 어디서 데이터를 처리하나?” 명확하게 표시
  • [ ] “언제든 삭제할 수 있다” 버튼 쉽게 제공
  • [ ] 분기별로 보안 현황 리포트 공개

마무리: “AI 보안은 회사와 사용자의 공동 책임”

이번 익시오 사건은 여러 얘기를 던집니다.

첫째, AI 편의성은 항상 데이터 유출 위험과 함께 온다는 것. 통화를 자동으로 요약해 주는 AI는 정말 편하지만, 그러려면 우리의 목소리, 프라이버시, 민감한 정보가 회사 서버를 거쳐야 한다는 사실을 망각하면 안 됩니다.

둘째, “해킹”만이 위협이 아니라는 것. 이번처럼 내부 직원의 실수, 시스템 운영 오류, 설정 미스 같은 게 더 무서울 수 있습니다. 왜냐하면 “악의가 없으니까 더 주의하지 않기 때문“입니다.

셋째, 회사를 믿되, 확인하라는 것. LG유플러스는 비교적 빨리 대응했고, 극도로 민감한 정보는 포함되지 않았습니다. 하지만 “다음엔 아닐 수도 있다”는 가정 아래 행동해야 합니다.

AI 시대, 우리는 더 이상 “개인 정보”라는 개념만으로는 안 됩니다. “어디서, 누가, 어떻게 처리하는가”를 끊임없이 확인하고, 설사 회사를 믿더라도 그 신뢰를 정기적으로 검증해야 하는 시대가 된 거죠.

여러분이 쓰는 AI 서비스, 한 번 확인해 봤나요? 통화 기록은 어디 저장되고 있나요?

참고 자료

같이 읽어보기

관련된 글:

  1. 2025년은 ‘해킹 대란’의 해? 쿠팡부터 SKT까지 주요 사건 총정리
  2. 인터넷의 ‘보이지 않는 손’ 클라우드플레어, 왜 지금 검색어 1위일까? (feat. 웹의 20%를 지배하는 기술)
  3. 국보법 폐지하자니 반대 1만6000건 폭주… ‘이게 나라냐’ 논란 폭발
  4. 김 수출 10억 달러 돌파! ‘검은 반도체’ K-GIM이 미국·일본·중국 정복한 5가지 비결

Similar Posts

댓글 남기기