LG유플러스가 자사 통화정보 요약 서비스인 '익시오'에서 고객 통화정보 일부가 다른 이용자에게 노출되는 사고가 발생했다고 밝히고, 개인정보보호위원회에 자진 신고했다. 회사는 해킹이 아닌 운영 과정에서의 설정 오류라고 설명했지만, 통신사가 제공하는 통화 기반 서비스에서 통화 내역이 노출됐다는 점에서 파장이 이어지고 있다.

소수 인원 유출 ... 통화 내역 성격상 민감도 높아

LG유플러스에 따르면 이번 사고는 익시오 서비스의 운영 개선 작업 과정에서 캐시(임시 저장 공간) 설정을 잘못하면서 발생했다. 이로 인해 고객 36명의 일부 통화 정보가 다른 이용자 101명에게 일시적으로 노출됐다.

노출된 정보는 통화 상대방 전화번호, 통화 시각, 통화내용 요약 등으로, 통화가 이뤄진 상대와 언제 어떤 대화가 오갔는지를 추정할 수 있는 수준의 메타데이터와 요약 내용이 포함된 것으로 알려졌다. 반면 주민등록번호와 여권번호 같은 고유식별정보나 금융정보는 포함되지 않은 것으로 확인됐다.

개인정보가 노출될 수 있었던 시간은 12월 2일 오후 8시부터 3일 오전 10시 59분까지다. 이 기간 동안 익시오를 새로 설치하거나 재설치한 101명이 다른 이용자의 정보를 보았을 가능성이 있으며, 1명당 최소 1명에서 최대 6명까지 타인의 통화정보가 노출된 것으로 파악됐다.

표면적으로는 노출된 인원과 시간이 제한적이지만, 통화 상대와 시각, 요약 정보는 개인의 관계망과 생활 패턴, 상담 내용 등을 유추할 수 있는 민감한 정보라는 점에서 단순한 '실수'로 보기 어렵다는 지적이 나온다.

기술적 원인과 회사 조치 - "캐시 설정 오류" 해명

LG유플러스는 이번 사고의 원인을 익시오 서비스 운영 개선 작업 중 캐시 설정 오류로 규정했다. 특정 기간 동안 임시 저장 공간에 쌓인 통화정보 요약 데이터가 정상적으로 분리 관리되지 않으면서, 새로 앱을 설치하거나 재설치한 이용자의 화면에 타인의 통화정보가 섞여 표시됐다는 설명이다.

회사는 3일 오전 10시경 문제를 인지한 직후 원인 파악과 복구 작업에 착수해 노출된 통화정보가 더 이상 보이지 않도록 조치를 완료했다고 밝혔다. 이후 피해 고객과 노출 가능성이 있는 고객 전원에게 전화로 설명하고, 연락이 닿지 않는 경우 문자 메시지 등으로 사고 사실을 안내했다.

LG유플러스는 이번 사고가 외부의 해킹 공격과는 무관한 내부 설정 오류라고 선을 그었다. 동시에 개인정보보호위원회에 6일 오전 9시경 자진 신고를 완료했고, 향후 조사 과정에 적극 협조하겠다고 밝혔다.

통신업계에서는 자진 신고와 신속한 고객 안내는 최소한의 책임 이행으로 평가하면서도, 통화 내역과 같은 민감 데이터가 캐시 설정 하나로 다른 고객에게 노출될 수 있었다는 점에서 시스템 설계와 검증 과정 전반을 다시 점검해야 한다는 목소리가 나온다.

법·제도적 쟁점 - 통화요약도 '통신내용'에 준하는 보호 필요

이번 사고의 핵심 쟁점은 통화내용 요약이 어느 수준까지 '통신내용'으로 볼 수 있는지, 그리고 이를 처리하는 서비스가 어느 수준의 안전조치와 사전 검증을 갖춰야 하는지에 모아진다.

통화 상대, 시각, 통화 요약은 단순한 기본 인적사항 이상의 정보를 담는다. 특정 시점에 누구와 어떤 취지의 통화를 했는지, 상담·민원·의료·금융 관련 통화인지 등 개인의 민감한 생활 정보와 사회적 관계망을 드러낼 수 있기 때문이다. 이런 특성 때문에 개인정보보호법뿐 아니라 통신비밀 보호와 관련된 규범과도 충돌 지점이 없는지 추가 검토가 필요하다는 지적이 있다.

LG유플러스는 사고 규모가 제한적이고 고유식별정보나 금융정보는 포함되지 않았다는 점을 강조하고 있다. 그러나 개인정보보호위원회 입장에서는 데이터 속성의 민감도, 통신사라는 사업자의 지위, 통화정보가 가진 특수성을 고려해 안전성 확보 조치 기준이 제대로 지켜졌는지 들여다볼 수밖에 없다. 조사 결과에 따라 재발 방지를 위한 시정명령, 보완 조치 요구, 과태료 등 행정 제재가 뒤따를 가능성도 있다.

반복되는 개인정보 사고 속 AI 기반 통화 서비스의 경고등

익시오 사고는 최근 대형 플랫폼과 통신사에서 이어지고 있는 개인정보 유출·노출 사고의 연장선에 놓여 있다. 대규모 해킹이든, 이번처럼 내부 설정 오류이든, 서비스 구조가 복잡해지고 데이터가 클라우드와 AI 시스템에 모이면서 작은 실수 하나가 곧바로 이용자 프라이버시 침해로 이어지는 구조가 드러난 셈이다.

또한 비슷한 AI 기반 통신 비서·요약 서비스로 SK텔레콤의 '에이닷(A.)' 등이 이미 상용화돼 있는 만큼, 이번 사고는 특정 사업자만의 문제가 아니라 통신사들이 제공하는 AI 기반 통화·상담 서비스 전반의 안정성과 개인정보보호 체계를 함께 점검해야 한다는 신호탄으로도 해석될 수 있다.

특히 통화내용 요약 서비스는 통화 녹음, 음성 글자 변환, 요약 알고리즘 등 여러 단계의 처리가 결합된 고도화된 서비스다. 각 단계에서 어떠한 데이터가 생성되고 어디에 저장되며, 누가 접근할 수 있는지에 대한 투명한 설명과 안전장치가 마련돼야 한다. 캐시와 같은 임시 저장 공간의 관리 기준, 운영 개선 작업 시 테스트 데이터 분리, 배포 전 사전 검증 절차 등도 이번 사고를 계기로 다시 손질해야 할 부분으로 꼽힌다.

정책적으로는 AI 기반 통신·플랫폼 서비스에 대한 개인정보보호 규율 체계를 한 단계 더 세분화할 필요성이 제기된다. 전통적인 통신요금제 중심 규제에서 벗어나, 통화내용을 분석·요약·추천하는 부가서비스가 사실상 이용자의 일상과 업무를 기록하는 기능을 수행하는 만큼, 이들 서비스에 특화된 기술적·관리적 보호조치 기준을 마련해야 한다는 주문이다.

남은 과제 - 사고 이후가 신뢰의 분수령

LG유플러스는 이번 사고에 대해 거듭 사과하면서, 향후 관계기관 조사에 성실히 임하고 재발 방지 대책을 마련하겠다고 밝혔다. 그러나 개인정보 사고는 단순히 사고의 크기만으로 평가되지 않는다. 사고 이후 어떤 정보를 어느 수준까지 공개하고, 외부 검증과 내부 통제 강화를 어떻게 실행하는지가 통신사 전반에 대한 신뢰를 좌우한다.

통화정보를 다루는 서비스는 그 성격상 '편리함' 못지않게 '신뢰'가 핵심 자산이다. 이번 사고를 계기로 통신사와 당국이 개인정보보호 체계를 어디까지 끌어올릴 수 있을지, 그리고 이용자의 불안을 해소할 수준의 제도적·기술적 보완이 뒤따를지가 향후 관전 포인트다.