2025년 12월, LG유플러스의 AI 통화 비서 앱 ‘익시오(IXIO)’에서 개인정보 유출 사고가 발생했다.
보안성을 강조하던 온디바이스 AI 기반 서비스에서 총 36명의 통화 요약 정보가 타인에게 노출된 것이다.
문제의 본질은 단순한 캐시 설정 오류가 아니다.
사용자가 ‘기기 내 처리’로 믿고 있던 데이터가 사실은 서버에 저장되고, 해외 클라우드 사업자에 이전되고 있었다는 사실이 드러났다.
기업의 책임과 개인정보 보호 기준, AI 기술 기반 서비스의 설계 투명성에 대한 사회적 논의가 필요한 시점이다.
 |
| LG유플러스 로고 간판. 출처: 한겨레신문 |
사고 개요: 통화 요약 정보가 노출되다
LG유플러스는 2025년 12월 6일, 개인정보보호위원회에 자발적으로 유출 사실을 신고했다.
AI 통화 앱 ‘익시오’의 운영 개선 작업 중 발생한 캐시 설정 오류로 인해, 앱을 재설치한 사용자 101명이 다른 고객 36명의 통화 요약 정보를 열람할 수 있었다.
유출된 정보 항목
- 통화 상대방 전화번호
- 통화 시각
- 통화 내용 요약 텍스트
주민등록번호, 금융정보, 고유식별정보는 포함되지 않았다.
하지만 통화 내용의 요약은 민감한 맥락 정보를 포함할 수 있는 만큼, 사생활 침해 우려는 배제할 수 없다.
기술적 배경: ‘온디바이스 AI’의 구조적 허점
익시오는 LG유플러스가 자체 개발한 AI 통화 요약 서비스다.
보안성을 높이기 위해 통화 음성 데이터는 기기 내(on-device)에서 처리된다고 홍보해왔다.
하지만 이번 사건으로 확인된 실상은 다음과 같다.
저장 및 전송 구조
- 음성 녹음은 저장되지 않지만, AI가 생성한 텍스트 요약은 서버에 6개월간 저장됨
- 서비스 품질 향상을 이유로 구글, AWS, 마이크로소프트 등 해외 클라우드로 데이터가 이전
이는 사용자에게 명확히 고지되지 않았으며, “온디바이스 AI = 완전한 로컬 처리”라는 인식과 실제 설계 간 간극이 존재한다.
대응 조치: 복구와 신고, 그리고 한계
유출은 12월 2일 오후 8시부터 3일 오전 10시 59분까지 발생했다.
피해 사실은 사용자 신고로 내부에 전달되었으며, 30분 이내에 긴급 복구가 이뤄졌다.
LG유플러스는 해당 고객 전원에게 전화·문자 안내를 진행하고, 자발적으로 개인정보보호위원회에 신고했다.
제도적 기준
- 법적 신고 기준: 피해자 1천명 이상 또는 민감 정보 유출 시
- 이번 사건은 요건 미충족 → 신고 의무 없음
- 그럼에도 자발적 신고 및 협조 입장 표명은 이례적
그러나 정보 저장 구조나 클라우드 전송 방식에 대한 고지는 부족했고, ‘설계 책임’에 대한 명확한 언급은 아직 없다.
경제적 파장: 기업 신뢰와 리스크 비용
이 사건은 단순한 ‘기술 사고’가 아닌, 기업의 경제적 리스크 관리 문제와도 직결된다.
통신사 신뢰도 하락
- 반복된 개인정보 유출 사례 → 고객 이탈 우려
- AI 서비스 신뢰도 타격 → 신규 서비스 확장에도 영향 가능
보안 관리 비용 상승
- 추가적 보안 점검, 외부 감리, 내부 교육 등 예방 비용 증가
- 관련 법령 대응 및 감사 준비 → 규제 리스크 대응 비용
AI 기반 서비스를 운영하는 기업 입장에서, ‘보안 설계’는 기술 비용이 아니라 신뢰 비용의 일부라는 사실이 다시금 확인된 셈이다.
관련 Nysight
인사이트: 기술이 아닌 설계가 보안을 결정한다
‘온디바이스 AI’는 더 이상 보안 만능 키워드가 아니다.
데이터의 흐름, 저장 방식, 외부 전송 구조까지 포함한 전체 설계 투명성이야말로 보안의 핵심이다.
LG유플러스의 신속한 대응은 일정 부분 긍정적이다.
하지만 구조적 허점을 드러낸 이번 사건은, AI 기반 통신 서비스가 사용자 신뢰를 기반으로 성장할 수밖에 없음을 상기시킨다.
지금 필요한 것은, 단순한 사과나 일시적 보완이 아니라 데이터 중심 서비스의 설계 원칙에 대한 공개와 논의다.
📌 참고자료
면책 문구:
본 글은 사회 현상을 해설하기 위한 일반 정보이며, 특정 기업이나 정책에 대한 가치 판단을 의도하지 않습니다.
0 댓글