'보안 취약점' 드러낸 LGU+ 'AI 통화요약'···에이닷·보이스톡은 괜찮나

LG유플러스의 통화 애플리케이션(앱) '익시오(ixi-O)'에서 고객 '통화내용'이 유출되는 사고가 발생하면서, 고객 불안감이 확산하고 있다. 통화내용을 인공지능(AI) 기술로 정리해주는 서비스는 많지만, 모두가 익시오처럼 외부 서버를 경유하는 방식을 선택해 자칫 자신의 정보가 외부로 유출될 수 있지 않을까 하는 우려다. 통화내용은 사생활 침해뿐 아니라 '2차피해' 가능성이 커 노출될 경우 치명적일 수 있다. 12일 통신업계에 따르면, LG유플러스는 익시오의 통화내용 유출 사고에 이어 '과장 광고' 논란으로 여론의 뭇매를 맞고 있다. LG유플러스 측이 익시오 기능에 대해 '휴대전화에 정보를 저장해 보안에 강하다'고 강조해 온 것과 달리 통화 내역(CDR)을 서버에 보관하고 있다는 점이 밝혀진 것.

익시오는 현재 통화 음성을 텍스트로 변환하는 STT와 ▲통화 중 자막처럼 대화 내용을 보여주는 '보이는 전화' ▲실시간 보이스피싱 탐지, 위·변조 음성 감지 기능은 단말에 탑재된 온디바이스 AI로 처리하고 있다. 통화 음성 자체를 서버로 전송하거나 장기간 저장하지 않는 구조다.

다만, 통화 요약 기능을 위해 단말에서 텍스트로 변환된 내용을 서버로 전송한다. 요약 결과는 고객 동의에 따라 최대 6개월간 암호화 상태로 서버에 저장된다.

최근 사고는 직원의 '휴먼에러(인적 과오)'에서 비롯됐다. 익시오 서비스 과정에서 임시 저장 공간인 캐시를 사용했는데, 서버 기능 개선 작업을 하던 중 캐시 설정에서 실수가 발생해 통화 내역이 다른 이용자에게 노출된 것이다.

외부 세력에 의한 공격이 아니더라도, 쉽게 민감 정보를 넘겨줄 수 있다는 우려가 현실화된 셈이다. 이런 이유에서 유사한 통화 앱 에이닷의 데이터 보관 방식도 조명받고 있다.

업계에서는 에이닷의 경우 구조적으로 휴먼에러로 인한 유출 가능성은 낮다고 본다. 통화 녹음 원문(음성·텍스트)을 서버에 저장하지 않는다는 점에서다. 녹음과 텍스트 데이터는 제공 즉시 파기된다.

에이닷 역시 통화 요약을 위해 고객 동의 시 암호화된 형태로 180일간 한시적으로 보관한다. 요약 데이터의 경우도 서버 캐시를 사용하지 않는 구조이기 때문에 '캐시 설정 오류로 인한 교차 노출'은 불가능하다.

통화 전용 앱은 아니지만, 카카오톡 내 통화 서비스 '보이스톡'에 대한 관심도 크다. 보이스톡은 일반 전화통화를 기반으로 서비스하지 않기 때문에, 전화번호 등의 민감 정보는 수집하지 않는다. 대화 내용 역시 에이닷과 마찬가지로 텍스트 요약을 위해 서버를 거치지만, 곧장 파기하는 구조다.

업계 한 관계자는 "이번 사고로 익시오가 통화 원문을 캐시에 보관하고 있었다는 점이 알려졌다는 데에 의미가 크다"며 "사람이 하는 일을 모두 통제하기는 어렵지만, 이를 구조적으로 막으려는 노력이 중요하다고 본다"고 말했다.

한편, LG유플러스는 지난 6일 익시오 서비스 운영 개선 작업 과정에서 캐시 설정 오류로 고객 36명의 통화 상대방 전화번호, 통화 시각, 통화내용 요약 등 정보가 다른 이용자 101명에게 일시적으로 노출됐다고 밝혔다. 회사는 해당 고객 전원에게 전화로 안내를 진행했으며, 연락이 어려운 고객에게는 문자 등을 통해 사실을 알린 상태다.