LG유플, 익시오 유출·서버 폐기 의혹…온디바이스 신뢰 '흔들'

HOME 산업 전기전자

LG유플, 익시오 유출·서버 폐기 의혹…온디바이스 신뢰 '흔들'

온디바이스 강조했지만 요약·검색 기능은 서버 의존…고지·관리 부실 논란 확산

이 기사는 2025년 12월 15일 06시 30분 유료콘텐츠서비스 딜사이트 플러스에 표출된 기사입니다.

추천키워드

#LG유플러스 #익시오 #STT #온디바이스 #AI #해킹

실시간 속보 랭킹뉴스

[딜사이트 최령 기자] LG유플러스가 '온디바이스 AI' 기반 통화앱 '익시오(ixi-O) 2.0'을 공개한 지 두 달도 채 되지 않아 신뢰 논란의 중심에 섰다. 가입자 100만명 돌파를 발표한 바로 그날 통화정보 유출 사고가 발생한 데 이어 정부가 별건의 개인정보 유출 조사 과정에서 LG유플러스가 관련 서버를 고의로 폐기한 정황을 확인했다며 경찰 수사를 요청한 사실까지 드러났기 때문이다. 두 사건이 맞물리며 LG유플러스의 보안·데이터 거버넌스 전반에 대한 의구심이 확산되고 있다.

익시오 정보 유출 사고는 이달 2일 오후 8시부터 3일 오전 10시59분 사이 발생했으며, 신규 설치·재설치 이용자 101명에게 다른 고객 36명의 통화 상대방 번호, 시각, 요약본이 노출된 것으로 알려졌다. 이는 서버 속도 개선 과정에서 캐시(임시 저장공간) 설정을 잘못 적용한 내부 실수였다는 게 회사 설명이다. LG유플러스는 "외부 해킹이 아닌 내부 오류"라고 강조했지만 사고가 자체 모니터링이 아닌 고객 신고로 뒤늦게 확인됐다는 점은 운영·감사 체계의 부실을 드러냈다는 지적을 받고 있다.

LG유플러스는 오류 접수 후 40여분 만에 원복 조치를 시행했으며 3차례에 걸쳐 관련 화면 접근을 차단했다고 설명했다. 유출된 36명에게는 전화·문자 안내를 진행했고 개인정보보호위원회에 자진 신고했다는 입장이다. 그러나 이후 공개된 회사 설명은 오히려 의문을 더 키웠다. 익시오 출시 당시 회사는 "통화 내용은 서버에 남지 않는다", "핵심 연산은 모두 단말 내부에서 처리된다"며 온디바이스 AI 기반 보안을 강조해 왔지만 실제로는 통화 요약본과 통화내역을 최대 6개월간 서버에 저장해온 사실이 확인됐기 때문이다.

LG유플러스는 음성 통화 내용 텍스트 변환(STT), 보이스피싱 탐지, 위변조 음성 감지 등 일부 기능은 온디바이스로 처리되지만 통화 요약과 AI 음성 검색은 기술적 한계로 서버 기반 운영이 불가피하며 요약 데이터는 고객 동의하에 6개월간 암호화 보관된다고 해명했다. 다만 마케팅 과정에서 '익시오의 모든 기능이 온디바이스로 처리된다'는 인식이 형성됐음을 인정하며 향후 엑사원 3.5 기반 온디바이스 sLM을 적용해 요약 기능까지 단말에서 처리하는 완전 온디바이스 환경을 추진하겠다고 밝혔다.

관련기사 more

반복된 보안사고, 문제는 시스템에 있다 통신 3사, 'PASS 신분증 결제' 서비스 출시 外 LG유플러스, 조직개편…AX 성과·통신 본업 동시 강화 '선택과 집중' 구광모 쇄신 인사…'신성장 사업' 속도

그러나 이러한 해명에도 비판은 이어지고 있다. LG유플러스가 단말 교체나 앱 재설치를 위해 최소한의 데이터만 서버에 보관한다고 설명했지만 정작 '서버 기반 기능이 존재한다'는 핵심 정보가 가입·설치 과정에서 충분히 안내되지 않아 홍보 메시지와 실제 서비스 구조 간 괴리가 있었다는 지적이다. 이번 사고에서 드러난 암호화·권한 인증·캐시 관리 실패 역시 기초적인 CDR(Call Detail Record) 보호 체계가 제대로 작동하지 않았음을 보여준다. 업계에서는 익시오 개발에 외부 개발 인력이 대거 투입된 구조가 권한 관리와 설정 오류 등 휴먼 에러 가능성을 높였다는 평가도 나온다.

여기에 더해 과학기술정보통신부가 LG유플러스를 경찰에 수사 의뢰한 사실도 논란을 키웠다. 민·관합동조사단이 개인정보 유출 조사 과정에서 LG유플러스가 계정권한관리시스템 관련 서버를 고의로 폐기했을 가능성을 확인했기 때문이다. 이번 조치는 지난 8월 미국 보안 전문지 '프랙'이 8900여개 서버와 4만개 계정 정보가 해킹됐다고 폭로한 뒤 이어진 조사에서 나온 것이다. LG유플러스는 해킹 사실을 부인했지만 점검 요구 직전 해당 서버의 운영체제를 재설치한 데 이어 이후 조사에서 일부 서버가 실제 폐기된 정황까지 드러나면서 은폐 의혹이 다시 제기됐다.

익시오 통화정보 유출과 계정관리시스템 서버 폐기 의혹은 별개 사안이지만 연달아 드러난 두 사건은 LG유플러스의 보안·데이터 관리 체계 전반에 대한 신뢰를 동시다발적으로 흔드는 구조적 문제로 이어지고 있다. 온디바이스 AI라는 기술적 표방과 실제 서비스 구조 간 괴리, 서버 기반 기능의 불충분한 고지, 접근·암호화·캐시 관리 실패, 사고 인지·대응의 미흡, 해킹 의혹 조사 과정에서 드러난 서버 관리의 불투명성 등은 '보안 안전성'을 서비스 핵심 가치로 내세워 온 LG유플러스에 뼈아픈 대목이다.

LG유플러스는 통화 음성과 전문(STT 이전 텍스트)은 서버에 남지 않고 STT·보이스피싱 탐지·위변조 음성 감지 등 핵심 기능은 온디바이스로 처리되고 있다고 거듭 강조하고 있다. 통화 요약 기능은 현재 서버에서 처리하고 요약본을 6개월간 암호화해 보관하지만, 엑사원 3.5 기반 온디바이스 sLM을 적용해 요약까지 단말 내에서 처리하는 방향으로 서버 의존도를 줄이겠다는 계획이다. 그러나 기술적 보완만으로 흔들린 신뢰를 회복할 수 있을지는 미지수다. 이용자 불안의 본질은 기술 성능이 아니라 기업의 설명 책임과 데이터 거버넌스의 투명성, 그리고 실제 보안 통제력이기 때문이다.

현재 개인정보보호위원회는 익시오 사고 경위를 조사 중이며 과기정통부의 서버 폐기 수사의뢰 건은 경찰 조사가 본격화될 예정이다.

업계 한 관계자는 "온디바이스라는 마케팅 메시지가 실제 서비스 구조를 충분히 뒷받침하지 못한 데다 기본적인 접근 통제와 서버 관리 절차가 미흡했던 부분이 이번 사태에서 동시에 드러났다"며 "기술 보완보다 선행돼야 할 것은 기업 내부의 데이터 거버넌스 체계 점검과 설명 책임 강화"라고 말했다.

최령 기자 rychoi@dealsite.co.kr