LGU+ '온디바이스AI' 인데 유출…'서버' 오가는 SKT 에이닷은 괜찮나
뉴시스
2025.12.08 17:27
수정 : 2025.12.08 17:27기사원문
LGU+ 요약본 6개월 서버 저장…작업자 오류로 노출 발생 SKT 에이닷, 원본은 즉시 삭제하고 민감정보는 비식별화
[서울=뉴시스] 심지혜 기자 = LG유플러스의 AI(인공지능) 통화 비서 '익시오'에서 타인의 통화 기록이 노출되는 사고가 발생하면서 유사한 AI 개인비서 서비스 데이터 보관 안전성에 대한 우려가 제기되고 있다.
특히 보안성 강화를 위해 기기 자체에서 통화 내용을 처리하는 '온디바이스' 방식 임에도 이용 편의성을 이유로 서버에 데이터를 저장해 온 사실이 드러나면서, 경쟁 서비스인 SK텔레콤 '에이닷'과 카카오 '보이스톡'의 운영 방식에도 이용자들의 관심이 쏠린다.
LG유플러스는 익시오는 통화 녹음과 텍스트 변환이 단말기 내부에서 이뤄지는 온디바이스 방식이라는 점을 강조해 왔다. 기술적으로 외부 해킹이나 유출 가능성이 낮다는 것이다.
그러나 기기 변경이나 앱 재설치 시 기존 기록을 불러오는 '이어하기' 기능을 위해, 요약 결과물은 서버에서 6개월 동안 보관했다.
녹음 원본과 텍스트 변환 자체는 단말기에서 안전하게 처리했지만, 결과 요약본은 서버에 저장하면서 관리 오류가 발생한 것이다. 이에 LG유플러스는 저장 방식과 절차에 대한 개선을 검토한다는 방침이다.
상황이 이렇자 LG유플러스보다 먼저 통화 비서 서비스를 선보인 SK텔레콤 ‘에이닷’의 데이터 처리 방식에도 시선이 향한다. 에이닷은 이용자 규모가 월간 활성 사용자 1000만명이 넘는 대규모 이용자를 확보하고 있다. 이용자 기반이 큰 만큼 통화 데이터가 어떤 방식으로 다뤄지는지에 대한 관심도 자연스럽게 커졌다.
에이닷은 익시오와 달리 통화 데이터를 온디바이스가 아니라 서버에서 처리한다. 음성 파일은 SK텔레콤 서버에서 텍스트로 변환되고, 요약은 마이크로소프트(MS) 클라우드 환경에서 생성되는 구조다. 이처럼 전송과 서버 처리가 포함된 구조이기 때문에, 온디바이스 방식과 비교할 때 상대적으로 취약할 수 있다는 우려도 있다.
이에 대해 SK텔레콤은 전송 구간을 사용자 단말 기반 공개키로 암호화하고, 텍스트 변환이 끝난 원본 데이터는 즉시 삭제하는 등 보안 조치를 적용하고 있다고 설명했다.
SK텔레콤은 "에이닷은 캐시 서버를 운영하지 않으며, 서버로 전송되는 데이터는 사용자 단말 기반 공개키로 암호화돼 저장된다"고 설명했다. 서버에서 텍스트 변환이 완료되면 음성 원본과 텍스트 파일은 즉시 삭제되며, 생성된 요약본만 180일 동안 보관된다. 회사는 "요약본 보관은 기능 제공 및 운영을 위한 범위 내에서 이뤄지며 원본 정보는 서버에 남지 않는다"고 강조했다.
게다가 개인정보 처리방침에는 통화 중 언급된 계좌번호, 주소, 일정 등 민감 정보 패턴을 수집·저장할 수 있다는 항목도 포함돼 있다.
이에 대해 SK텔레콤은 "민감 정보는 비식별화해 저장되며 원문 텍스트는 즉시 삭제되기 때문에 실제 내용이 남는 구조는 아니다"라고 설명했다. 패턴 데이터는 모델 성능 개선과 오탐지 방지를 위한 제한적 용도로 암호화된 환경에서 관리된다는 입장이다.
클라우드 기반 처리 과정에 대한 우려에 대해서는 접근 통제, 저장소 암호화, 운영자 권한 분리 등 보호조치를 적용하고 있다고 밝혔다. SK텔레콤은 "원본 음성·텍스트는 삭제되고 요약본만 제한적으로 보관되는 구조"라는 점을 재차 강조했다.
통화 요약 서비스는 카카오톡도 '보이스톡'을 통해 제공하고 있다. 카카오에 따르면 보이스톡은 텍스트 변환과 요약을 서버에서 처리하지만, 작업이 끝나면 해당 데이터는 서버에서 즉시 파기된다. 완성된 요약본과 녹음 내용은 서버가 아닌 이용자 단말에 저장되며, 전화번호 등 상대방 정보는 통화 요약 기능에 필요하지 않은 정보로 분류해 별도로 처리하지 않는다.
☞공감언론 뉴시스siming@newsis.com <저작권자ⓒ 공감언론 뉴시스통신사. 무단전재-재배포 금지.>
저작권자ⓒ 공감언론 뉴시스통신사. 무단전재-재배포 금지