LG유플러스는 인공지능(AI) 통화앱 ‘익시오(ixi-O)’에서 발생한 통화정보 유출 이후 개인정보보호위원회에 신고를 완료했다고 밝혔으나 추가 설명이 없어 사용자들의 우려가 커지고 있다.
9일 LG유플러스에 따르면 지난 2일 오후 8시부터 3일 오전 10시59분까지 익시오를 새로 설치하거나 재설치한 이용자 101명에게 가입자 36명의 △통화 상대방 전화번호 △통화 시각 △통화내용 요약 등을 유출했다. 이에 6일 오전 9시쯤 개인정보위 측에 신고를 완료했다고 지난 6일 입장문을 배포했으나 이후 추가 설명은 없었다.
LG유플러스는 이번 사고가 외부 해킹이 아닌, 익시오 서비스 운영 개선 과정에서 발생한 캐시(임시 저장 공간) 설정 오류 때문이라고 해명했다. 해킹 사고가 아니기 때문에, 사이버보안 전담 기관인 ‘한국인터넷진흥원(KISA)’에는 신고하지 않았다고 한다.
지난해 8월 정보통신망법 개정으로 정보통신서비스 제공자는 해킹(침해사고)의 발생을 알게 된 때부터 24시간 이내에 과학기술정보통신부장관 또는 KISA에 신고해야 한다. 이번 사고는 해당되지 않는다는 것이 회사의 입장이다. 또한 LG유플러스는 유출된 정보에 주민등록번호, 여권번호 등의 고유식별정보나 금융정보는 포함되지 않았다고 덧붙였다.
LG유플러스는 고객 전원에게 전화로 안내를 진행했으며 연락이 어려운 고객에게는 문자 등을 통해 사실을 알렸다. 현재 통화 정보 유출 관련 전수조사는 마쳤으며 피해 상황 파악도 완료된 상황이다.
통신업계에서는 LG유플러스가 통화 유출 원인, 전수조사 여부 등을 투명하게 밝혀야 한다는 지적이 나온다. 업계 한 관계자는 “LG유플러스는 이번 통화 정보 유출이 해킹과 관계가 없다고 말하지만 유출 경로보다 유출이 됐다는 사실이 중요한 지점”이라며 “통신사 특성상 통화 정보 유출이란 터무니없는 실수에 대해 투명하게 상황 설명을 해야만 한다”라고 지적했다.
익시오는 고객의 데이터가 서버에 저장되지 않는다고 홍보해온 온디바이스AI 기술 기반 서비스다. 적용한 서비스로 국내 이동통신 업계 최초라고 강조했다. 익시오의 통화 음성과 내용 전문은 서버에 저장되지 않지만 이번에 유출된 통화 내역, 요약 등은 서버에 6개월간 저장되는 것으로 확인됐다. LG유플러스는 해당 내용이 개인정보 처리 방침에도 포함돼 있다고 설명했다.
다만 이번 사고가 가입자의 사적 통화 정보까지 외부에 노출된 만큼 통신비밀보호법 위반 여부가 주요 쟁점으로 부상하고 있다. 통비법은 공개되지 않은 대화를 녹음하거나 누설하는 행위를 금지하고 있다. 또 합법적으로 녹음한 내용이라도 그 내용을 제3자에게 유출하거나 공개하는 행위는 경우에 따라 법적 책임을 질 수 있다고 보고 있다.
한범석 참여연대 민생희망본부 통신소비자분과 변호사는 “LG유플러스가 해킹이 아니더라도 보안 쪽에 문제가 있었던 것은 맞다”라며 “그러나 통화내용 요약 유출이 현재 법상에서는 구체적으로 명시하고 있지 않기에 법리적인 판단이 필요한 사안”이라고 말했다.
이어 “그동안 LG유플러스가 고객들에게 통화내용 요약을 서버에 보관한다는 내용을 제대로 설명했는지는 볼 필요가 있다”고 덧붙였다.
LG유플러스가 어떤 보상안을 내놓을지도 주목받는다. 이번 LG유플러스 사고는 외부 해킹이 아닌 내부 운영 중 발생한 실수에 따른 것으로, 앞선 유출 사고와 비교해 피해 고객 수도 36명으로 적은 편이다. 이에 따라, 업계에선 SK텔레콤이나 KT와 같은 전면적 요금 감면, 데이터 제공, 위약금 면제 수준의 보상은 기대하기 어렵다는 전망이 나온다.
SK텔레콤은 지난 해킹 사고 이후 8월 요금 50% 할인, 8월부터 12월까지 매월 50GB 데이터 추가 제공, T멤버십 인기 브랜드 50% 이상 할인 혜택 등을 제공했다. 특히 정부가 7월 4일 전 고객 위약금 면제를 권고하자 7월14일까지 해지 예정인 고객을 대상으로 위약금 면제를 결정했다. KT는 해킹 피해자들에 대한 100% 보상책을 강구하겠다고 약속한 바 있다.
LG유플러스 관계자는 “현재 유출사고 수습은 한 상태로 보상안을 어떻게 마련할지 검토 중인 단계”라며 “보상 유무가 아닌 보상 규모 등을 정하는 과정”이라고 말했다.
