[비즈니스포스트] AI 통화 서비스를 이용하면 통화내용이 통신사 서버에 6개월씩 자동 보관된다고?

LG유플러스가 AI 통화 앱 '익시오(ixi-O)'를 통해 수집된 가입자들의 통화정보가 다른 가입자들에게 일시적으로 노출됐다고 개인정보보호위원회에 신고하는 과정에서, 이 앱을 이용 중인 가입자들의 통화내용을 통화 시점부터 6개월 동안 서버에 보관하는 사실을 공개했다.

LG유플러스는 익시오 이용자 일부의 통화정보가 노출돼, 6일 오전 9시께 개인정보보호위원회에 신고했다고 이날 밝혔다. 이 업체는 "익시오 서비스 운영 개선 작업 과정에서 캐시 설정 오류로 고객 36명의 일부 통화 상대방 전화번호, 통화 시각, 통화내용 요약 등 정보가 다른 이용자 101명에게 일시적으로 노출되는 현상이 발생했다"고 설명했다.

노출 추정 시간은 지난 2일 오후 8시부터 3일 오전 10시 59분 사이다. LG유플러스는 "이 시간 동안 익시오를 새로 설치하거나 재설치한 이용자 101명에게 노출됐다. 주민등록번호와 여권번호 같은 고유 식별정보와 금융정보는 노출되지 않았다"고 강조했다.

LG유플러스 측은 "통화기록과 통화내용 요약 파일을 저장하는 익시오 서버의 기능 개선 작업 시 발생한 오류로 통화정보 노출이 일어났고, 본인 정보가 아닌 내용을 발견한 이용자가 고객의소리(VOC)를 통해 알려와 인지하게 됐다. 고객 신고 뒤 사고 내용을 파악해 30여분 만에 더 이상의 정보 노출이 일어나지 않도록 조치했다"고 덧붙였다.

이 업체는 이어 "이후 노출 피해 고객 전원에게 전화로 알리고, 연락이 어려운 고객에게는 문자 등을 통해 사실을 알렸다"고 밝혔다.

LG유플러스는 익시오 서비스에 대해 "AI가 통화내용을 요약해 알려주고, 나를 대신해 전화도 받아주는 차세대 AI 통화 솔루션"이라고 설명했다. 스팸 문자·전화 차단과 실시간 보이스피싱 탐지 기능도 제공한다. 지금은 무료이다.

이런 서비스는 SK텔레콤에서 먼저 시작됐다. SK텔레콤은 '에이닷'이라는 이름으로 AI 통화 비서 서비스를 제공하고 있다. KT도 준비 중이다.

LG유플러스의 설명대로라면, 이번 통화정보 노출 건은 해킹 공격이나 개인정보 유출과는 무관하다. 서비스 개선을 위해 전산시스템을 손보는 과정에서 실수로 일부 가입자들의 통화정보가 일시적으로 다른 가입자들에게 노출된 것으로 볼 수 있다.

따라서 SK텔레콤과 KT의 해킹 및 개인정보 유출과 쿠팡 개인정보 유출과 달리, 유심 복제와 스미싱 같은 2차 피해 발생 가능성은 크지 않아 보인다. 

대신 다른 가입자 불안 요인이 불거졌다.

LG유플러스는 비즈니스포스트에 통화정보 노출 사실 신고 배경을 설명하는 과정에서 "익시오 서비스는 가입자들의 통화내역과 통화내용 요약을 통화 시점으로부터 6개월 동안 서버에 보관한다"고 밝혔다.

통화내역은 언제, 누구(통화 상대방 전화번호)와, 얼마 동안 통화했는지를 보여주는 데이터를 담고 있다. 통화내용 요약은 음성통화 내용을 텍스트로 전환한 뒤 요약한 것이다.

LG유플러스 관계자는 "음성통화 내용의 텍스트 전환 등은 가입자 단말기(스마트폰)에서 이뤄진다. 다만, 단말기 분실이나 교체 시에도 익시오 서비스를 끊임없이 이용할 수 있게 하기 위해 통화내역과 통화내용 요약을 6개월 동안 보관한다"고 설명했다.

이 관계자는 "개인정보처리지침을 통해 통화내용 요약을 보관하는 사실을 알리고 동의를 받고 있다"고 강조했다.

비즈니스포스트가 익시오를 이용 중인 LG유플러스 가입자 통화정보 노출 건과 관련해 주목하는 대목이다. 통화내용이 통신사 서버에 6개월이나 보관된다는 사실이 공개적으로 설명되기는 처음이다.

'가입자 통화내용 통신사 서버 6개월 보관'은 상당히 민감한 사안이다. 통신비밀 보호 차원에서 다뤄져야 할 일이다. 당연히 의문이 이어진다.

먼저 보관 전 가입자 동의를 제대로 받았는지다.

LG유플러스는 "개인정보처리지침을 통해 통화내용 보관 사실을 알리고, 서비스 이용 시 동의를 받았다"고 강조한다.

익시오 서비스를 이용 중인 주위 LG유플러스 가입자 3명에게 통화내용 보관 사실을 알고 있냐고 물어봤다. 질문 시 통화내용이 보관되는 게 어떤 의미를 갖는지에 대한 설명을 보탰다.

모두 "몰랐다"고 했다. 한 가입자는 "알았으면 이용하지 않았지"라고 말했다.

물론 이를 익시오 서비스를 이용 중인 LG유플러스 가입자 전체로 일반화하기는 어렵다. 다만, 통화내용 보관 사실을 분명하게 알거나 이해하지 못한 상태에서 'AI 통화 서비스' 내지 '무료 이용'이라는 말에 이끌려 서비스 이용에 동의하지는 않았는지 점검해볼 필요성은 있어 보인다. 더욱이 익시오 개인정보처리지침에 따르면, 이 서비스를 이용하려면 통화내용 요약 통신사 서버 보관에 반드시(필수) 동의해야 한다.

늘 그렇듯이, 익시오 이용자 대부분 이런 개인정보보호지침 내용을 확인하지 않았을 가능성이 크다. 

통화내용은 민감한 사생활 정보이다. 그래서 헌법과 통신비밀보호법으로 엄격하게 보호하고 있다. 통화내용을 몰래 엿듣거나 녹음(보관)하는 행위를 금지하고, 국가정보원과 검찰·경찰 등 국가기관이 국가 안보를 위한 정보 수집이나 수사 등에 필요해 통신사에 열람을 요청하는 것도 법원 영장을 받아 하도록 하고 있다.

이와 관련한 본인 동의 절차도 엄격하다. 이벤트나 경품, 무료 이용 등을 앞세워 동의를 받으면 무효다. 자기결정권이 침해된 것으로 간주된다.

또한 통화는 상대방이 있다. 통화내용을 녹음·보관할 때는 통화 상대방의 동의도 구해야 한다. 

LG유플러스가 익시오 서비스를 계속하려면 이 부분을 돌아보고, 미흡하거나 빠트린 부분이 있으면 서둘러 보완해야 한다.
  앞서 SK텔레콤이 2024년 에이닷 서비스를 시작했을 때는 통화내용 처리 과정서 통신사 서버를 경유하는 것으로 드러나 통신비밀보호법 위반 논란이 일기도 했다. 통화 상대의 동의를 받는 절차가 빠진 부분도 문제가 됐다. 

통화내용 보관은 또다른 문제를 야기할 수도 있다.

국정원과 검찰·경찰 등은 국가 안보를 위한 정보 수집이나 수사 상 필요하면 통신비밀보호법 절차에 따라 이용자의 음성통화 내용을 몰래 엿듣거나 문자메시지·이메일 내용을 몰래 엿보기도 한다. 통신제한조치(감청) 영장이나 대통령 승인(외국인)을 받아 한다. 

또한 통신사에 요청해 가입자의 '통신사실확인자료'(통화내역) 자료를 열람하기도 한다. 물론 이 때도 법원 허가를 받아 한다.

통신사에 보관된 통화내용을 국가기관이 열람할 수도 있다는 뜻이다. 과학기술정보통신부 통계에 따르면, 국가기관들의 통신사실확인자료 열람 건수는 해마다 50만 건(전화번호 수 기준)을 넘는다. 

물론 '남용'이나 '악용' 상태가 아니라면, 통신비밀보호법 절차에 따라 합법적으로 이뤄진다.

통신사들은 그동안 서비스 신청·해지, 통신 요금 계산, 청구된 요금에 대한 가입자의 이의제기 등에 대한 대응 등을 위해 가입자들의 개인정보와 통화내역 등을 본인 동의를 받아 수집·보관해왔다. 또한 정보·수사기관이 정보수집 및 수사에 필요하면 통비법 절차에 따라 통신사에 요청해 이 자료들을 열람할 수 있도록 했다.

통화내용은 여기에 해당하지 않아 보관하지 않았다. 하지만 통화에 AI 서비스가 더해지며 보관 대상에 통화내용까지 더해졌다.

전례로 볼 때, 정보·수사기관이 이를 그냥 놔둘 리 없다. 국가 안보를 위한 정보 수집과 수사에 필요하다며 통화내용 열람을 시도할 수 있다.

그럼 정보·수사기관이 통화내용 요약을 열람할 때는 통신사실확인자료 열람 절차를 따라야 할까, 아니면 감청 절차를 따라야 할까. 과학기술정보통신부 통계는 이를 어느 항목으로 간주해 집계해야 할까.

한가지 더, 가입자들은 통화내용 요약 같은 AI 서비스를 끊김없이 이용하겠다고 이런 위험까지 감수해야 할까. 이게 진정 가입자를 위한 서비스일까.

비즈니스포스트 독자 여러분들은 어떻게 생각하십니까. 김재섭 선임기자