익시오 통화내역 유출…LGU+ '온디바이스 보안' 논란

(서울=연합뉴스) 조성미 기자 = LG유플러스[032640]의 인공지능(AI) 통화 비서 서비스 익시오에서 통화 정보가 노출된 사고가 일어나자 통신·보안업계에서는 암호화해 보관되는 통화 정보가 허술하게 새어 나갔다는 데서 이해할 수 없다는 반응을 내놓고 있다.

LG유플러스가 익시오 기능에 대해 '휴대전화에 정보를 저장해 보안에 강하다'고 강조해온 것과 달리 통화 내역(CDR)이 서버에 임시 저장되는 과정에서 일어난 사고로 밝혀지면서 그간 과장 홍보를 한 것 아니냐는 논란도 일고 있다.

10일 통신업계에 따르면 LG유플러스는 지난 6일 익시오 서비스 운영 개선 작업 과정에서 캐시 설정 오류로 고객 36명의 통화 상대방 전화번호, 통화 시각, 통화내용 요약 등 정보가 다른 이용자 101명에게 일시적으로 노출됐다고 밝혔다.

익시오 서비스 과정에서 임시 저장 공간인 캐시를 사용했는데, 서버 기능 개선 작업을 하며 캐시 설정에서 실수를 일으켜 36명의 통화 내역이 다른 이용자의 휴대전화에 그대로 노출된 것이다.

통신업계에서는 LG유플러스가 익시오를 온디바이스 기반 AI 서비스라고 강조해온 것과 달리 서버에 임시 저장을 해왔다는 것에 놀라움을 표시하고 있다.

한 업계 관계자는 "회사 설명과 달리 익시오의 핵심 기능은 서버에서 처리되고 있었던 것"이라며 이번 사고가 고도의 기술적 문제가 아니라 운영 과정에서 기본적인 데이터 관리를 잘못한 탓이라고 분석했다.

아울러 다른 이용자의 통화 내역이 엉뚱한 이의 휴대전화에 노출된 것에서 LG유플러스가 기본적인 통화 내역의 암호화 처리를 소홀히 했던 것 아니냐는 의심도 사고 있다.

스마트폰은 각각 고유의 암호키를 가지고 있어서 서버에서 정보를 불러내더라도 이를 열람할 권한이 있는 암호키가 없으면 내용을 볼 수 없는 구조다.

또, 통화 요약과 같은 부가 정보는 고객 ID(UUID)가 인증된 휴대전화에서만 보인다.

서버 설정 오류가 있었던 데 더해 암호화나 ID 인증마저 제대로 작동하지 않아 민감한 개인 정보가 유출됐다는 데서 이 회사의 데이터 관리에 큰 결함이 있었던 것이 아닌지 의심되는 것이다.

업계 일각에서는 LG유플러스가 익시오 개발 과정에서 LG CNS 등 외부 개발 인력을 대규모로 참여시킨 점이 제대로 된 고객 정보 관리에 '구멍'이 나게 된 한 원인이 아니었는지 의심하기도 한다.

한 기술 전문가는 "외주 중심 구조에서는 권한 관리와 설정 오류 같은 실수(휴먼 에러)가 일어날 가능성이 커진다"며 이번 사고를 통해 LG유플러스가 개발·운영 체계를 다시 점검해야 한다는 신호라고 지적했다.

한편, LG유플러스가 익시오의 통화 정보 노출을 외부에 알리고 개인정보보호위원회에 신고한 당일 일선 영업점에서 평소보다 30만원가량 판매 지원금을 올려 가입을 독려했다며 보안 사고에 따른 가입자 이탈을 무마하려는 시도를 한 것 아니냐는 비판도 제기됐다.

이에 LG유플러스는 "단통법 폐지 이후 판매점에서 지원금을 알아서 지급하는 영업 전략은 문제가 될 것이 없으며, 본사에서 방침을 정해서 내린 적은 전혀 없다"고 반박했다.

개인정보보호위원회는 LG유플러스 신고를 받고 사건 경위를 파악 중이다.

csm@yna.co.kr

(끝)

<저작권자(c) 연합뉴스, 무단 전재-재배포, AI 학습 및 활용 금지>