LG유플러스 익시오 AI서 개인정보 유출...고객 36명 통화정보 101명에 노출

익시오 AI 통화비서서 개인정보 유출 발생

LG유플러스가 자체 인공지능(AI) 통화 비서 익시오(ixi-O)의 개인정보 유출을 신고했다. LG유플러스는 6일 오전 개인정보보호위원회에 익시오 통화정보 유출 사실을 자진 신고했다고 밝혔다. LG유플러스는 최근 익시오 서비스의 운영 개선 작업 과정에서 캐시(임시 저장 공간) 설정 오류로 고객 36명의 통화 상대방 전화번호, 통화 시각, 통화내용 요약 등 정보가 다른 이용자 101명에게 일시적으로 노출되는 현상이 발생했다고 발표했다.

항목	내용
유출 기간	2025년 12월 2일 20시 ~ 12월 3일 10시 59분 (약 14시간)
정보 유출 대상	고객 36명의 통화정보
정보 노출 대상	다른 이용자 101명
유출 정보	통화 상대방 전화번호, 통화 시각, 통화내용 요약
개인별 노출 규모	1명~6명에게 노출
원인	캐시(임시 저장 공간) 설정 오류
신고 시점	2025년 12월 6일 오전 (개보위에 자진 신고)

개인정보가 유출될 수 있었던 시간은 12월 2일 20시부터 12월 3일 10시 59분 사이다. 해당 시간 동안 익시오를 새로 설치하거나 재설치한 이용자 101명에게 노출됐으며, 개인별로는 1명에서 6명의 다른 이용자에게 노출됐다.

주민번호·금융정보는 미포함...해킹 아닌 설정 오류

이번에 유출된 정보에는 주민등록번호, 여권번호 등 고유식별정보와 금융정보는 포함되지 않은 것으로 확인됐다. LG유플러스는 3일 오전 10시경 문제를 인지한 즉시 원인 파악과 복구 작업에 나섰다. 노출된 통화 정보가 보이지 않도록 조치를 완료했다. 이후 해당 고객 전원에게 전화와 문자 등으로 안내를 진행했다. LG유플러스 관계자는 "이번 사안은 해킹과 관련이 없으며, 이후 관계기관 조사에도 적극 협조하겠다"고 밝혔다.

유출 정보 상세 내역
유출된 정보: 통화 상대방 전화번호, 통화 시각, 통화내용 요약
유출되지 않은 정보: 주민등록번호, 여권번호, 금융정보, 실제 통화녹음 파일
사고 원인: 서버 캐시 설정 오류 (해킹 아님)
발견 시점: 12월 3일 오전 10시경
복구 완료: 12월 3일 오전 10시 즉시

익시오란? '온디바이스 AI' 강조했지만...

익시오(ixi-O)는 LG유플러스가 2024년 출시한 AI 통화 비서 앱이다. 통화녹음·요약, 전화 대신받기, 보이는 전화, 보이스피싱 탐지 기능을 갖춘 서비스로, LG유플러스는 온디바이스AI 방식으로 보안성을 강조해왔다. LG유플러스는 익시오가 온디바이스AI 방식으로 통화녹음 전사(텍스트 변환)·요약 기능을 제공한다고 홍보했다. 변환 품질이 우수하고 기기 안에서 구동되기 때문에 녹음 관련 정보가 서버에 전송되지 않아 보안성을 높였다는 설명이었다.

익시오 주요 기능
통화녹음·요약: 온디바이스AI로 통화 내용 자동 텍스트 변환 및 요약
전화 대신받기: AI가 부재중 전화 대신 받아 내용 전달
보이는 전화: 통화 상대방 정보 실시간 표시
보이스피싱 탐지: AI 기반 실시간 보이스피싱 감지 및 경고
AI 비서: 통화 중 "헤이, 익시" 호출 시 정보 검색 및 공유

LG유플러스는 익시오가 민감한 개인정보를 다루는 만큼 보안성을 높이는데 집중했다고 강조했다. 통화녹음 파일은 휴대폰에만 저장되며, 앱에 탑재된 온디바이스AI 엔진 덕분에 외부서버와 연동하지 않고 텍스트 변환(STT), 보이스피싱 감지, 보이는전화 등 AI 통화 기능의 동작이 가능하다고 설명했다. 다만, 앱 재설치시 서비스 연속성 유지를 위해 통화기록과 통화요약 파일은 6개월간 서버에 보관한다. 이번 사고는 바로 이 서버에 보관된 통화요약 파일의 캐시 설정 오류로 발생한 것으로 추정된다.

온디바이스 vs 서버 저장...보안 아키텍처 논란

LG유플러스는 그동안 익시오의 온디바이스AI 방식을 강조하며 "기기 안에서 구동되기 때문에 녹음 관련 정보가 서버에 전송되지 않아 보안성을 높였다"고 홍보해왔다. 앱을 삭제하면 기기에 저장된 통화녹음·변환 파일이 모두 지워지며 복구가 불가하다고도 설명했다. 그러나 실제로는 서비스 연속성을 위해 통화기록과 통화요약 파일을 6개월간 서버에 보관하고 있었고, 이번 사고는 바로 이 서버 저장 데이터의 캐시 설정 오류로 발생했다. 온디바이스AI를 강조했지만 실제로는 서버에도 일부 데이터가 저장되고 있었던 것이다.

구분	저장 위치	저장 기간	비고
통화녹음 파일	휴대폰 기기	앱 삭제 시까지	온디바이스AI, 서버 미전송
텍스트 변환 파일	휴대폰 기기	앱 삭제 시까지	온디바이스AI, 서버 미전송
통화기록	서버	6개월	서비스 연속성 유지
통화요약 파일	서버	6개월	이번 사고 발생 지점

온디바이스AI를 강조했지만 서비스 연속성을 위해 서버에도 데이터를 보관하고 있었다. 이번 사고는 바로 그 서버 데이터의 관리 소홀로 발생했다. - 보안 전문가

협력사 해킹 사건에 이어 연이은 보안 사고

이번 익시오 정보유출은 LG유플러스의 연이은 보안 사고 중 하나다. 2025년 7월 한국인터넷진흥원(KISA)이 LG유플러스에 해킹 정황을 전달했지만 LG유플러스는 정보 유출이 없다고 했었다. 8월에는 미국 보안 매거진이 한 해커의 서버에서 LG유플러스 서버 정보와 계정 정보, LG유플러스 및 협력사 직원 등 정보가 확인됐다고 밝힌 바 있다. 이 사건은 LG유플러스의 보안 협력업체 시큐어키 시스템이 해킹되면서 발생한 것이었다. 이에 시큐어키는 침해사실을 신고했지만 LG유플러스는 자사가 해킹 피해를 입은 게 아닌 데다 고객 정보가 유출되지 않았다는 이유로 아직까지 신고를 하고 있지 않았다.

시기	사건	내용
2025년 7월	협력사 해킹 정황 통보	KISA가 LG유플러스에 해킹 정황 전달, LG유플러스는 부인
2025년 8월	해킹 정보 공개	미국 보안 매거진이 LG유플러스 서버정보·직원정보 확인 보도
2025년 10월	국감에서 질타	국회 과방위 국감서 신고 의무 위반 지적, 홍범식 대표 신고 다짐
2025년 12월	익시오 정보유출	캐시 설정 오류로 36명 통화정보 101명에게 노출

2025년 10월 21일 국회 과학기술정보방송통신위원회 국정감사에서 최수진 의원은 "LG유플러스가 정보유출을 신고해야 하는 대상이 아니냐"고 지적했고, 류제명 과기정통부 2차관은 "조사해서 밝히겠다"고 답했다. 홍범식 LG유플러스 대표는 이해민 의원이 신고를 촉구하자 "(해킹 정황을) 신고하겠다"고 다짐하기도 했다.

2023년 정보유출 이후 보안 투자 대폭 확대

LG유플러스는 2023년 있었던 정보유출 사태를 계기로 보안에 적극 투자하며 독자적인 보안 시스템을 구축해 왔다. 한국인터넷진흥원(KISA) '정보보호 공시 종합 포털'에 따르면 LG유플러스는 지난해 정보보호에 828억원을 투자했다. 이는 정보유출 사고 직전인 2022년(442억원) 보다 약 87% 늘어난 금액이다. 경쟁사인 KT(1,250억원)과 SKT(933억원)보다는 상대적으로 적은 금액이지만 증가폭은 가장 컸다. 정보보호 전담 인력 또한 같은 기간 내 157명에서 290명으로 대폭 늘렸다.

구분	2022년	2024년	증감
LG유플러스 정보보호 투자	442억원	828억원	+386억원 (+87%)
LG유플러스 정보보호 인력	157명	290명	+133명 (+85%)
KT 정보보호 투자 (2024)	-	1,250억원	-
SKT 정보보호 투자 (2024)	-	933억원	-

LG유플러스는 모든 매장에 보안 전문 상담사를 배치하고 'U+보안 전문 매장'으로 전환하겠다는 계획도 밝혔다. 홍관희 LG유플러스 정보보안센터장은 "LG유플러스는 고객 보호를 위한 최선의 조치를 구현하고 보안에 가장 진심인 통신사로 자리매김할 수 있도록 노력할 것"이라고 언급했다.

AI 보안 기술 강조했지만...시스템 관리는 허술

LG유플러스는 그동안 AI 기반 보안 기술을 적극 홍보해왔다. 2025년 6월 30일 익시오에 AI 기반 보이스피싱 차단 기능 '안티딥보이스(Anti-DeepVoice)'를 탑재했다. 안티딥보이스는 위·변조된 목소리를 식별해 보이스피싱 여부를 실시간으로 감지하는 기술이다. LG유플러스는 개인정보보호위원회 등으로부터 실제 전기통신금융사기 범죄 데이터를 공유받아 AI 모델을 학습시켰다. 2025년 9월에는 아시아 법과학·법의학 총회와 글로벌 프라이버시 총회에서 익시오 기반 보안 기술을 선보이며 "전세계 최초로 상용화한 온디바이스AI 기반의 피싱 차단 기술"을 소개했다.

LG유플러스 주요 보안 기술
안티딥보이스: AI 기반 위·변조 목소리 실시간 감지
양자내성암호(PQC): 양자컴퓨터 시대 대비 암호화
알파키(AlphaKey): 클라우드 기반 통합 계정관리
U+SASE: 통합 보안 플랫폼
온디바이스AI: 기기 내 데이터 처리로 서버 미전송

그러나 이번 익시오 정보유출 사건은 AI 보안 기술보다 기본적인 시스템 관리의 중요성을 보여줬다. 아무리 첨단 AI 보안 기술을 갖춰도 서버 캐시 설정 오류 같은 기본적인 실수로 정보유출이 발생할 수 있다는 점이 드러난 것이다.

AI 보안 기술을 아무리 강조해도 기본적인 시스템 설정 관리가 허술하면 소용없다. 이번 사고는 화려한 기술보다 기본에 충실한 것이 중요하다는 교훈을 준다. - IT 보안 전문가

구글과 협력한 익시오 AI 비서...프라이버시 보호 강화 약속

LG유플러스는 2025년 11월 13일 구글 클라우드와 손잡고 개발한 차세대 AI 서비스 '익시오 AI 비서'를 공개했다. 익시오 AI 비서는 통화 중 대화 맥락을 실시간으로 이해하고 필요한 정보를 즉시 제공하는 기능이다. 익시오를 사용하는 고객이 통화 중 "헤이, 익시"라고 부르거나 호출 버튼을 누르면 AI가 통화에 참여해 정보를 찾고 결과를 공유한다. 이 서비스를 위해 구글의 최신 대규모언어모델(LLM) '제미나이 2.5 플래시 라이브'를 활용했다. LG유플러스는 고객이 안심하고 익시오 AI 비서를 이용할 수 있도록 프라이버시 보호도 강화했다고 밝혔다. 익시오 AI 비서는 온디바이스 기반 음성 인식(STT) 기술을 적용해 호출 전 통화 내용은 서버에 전송하지 않고, 호출 후 발화 내용만 AI 검색에 활용한다고 설명했다.

기능	설명	보안 방식
AI 비서 호출	통화 중 "헤이, 익시" 호출 시 AI 참여	호출 전 통화 내용 서버 미전송
정보 검색	날씨, 맛집 등 정보 실시간 검색	호출 후 발화 내용만 전송
음성 인식	온디바이스 기반 STT 기술	기기 내 처리
결과 공유	통화 상대방도 함께 청취	-

LG유플러스는 올해 말까지 일부 고객을 대상으로 베타 서비스를 운영하며 발생한 피드백을 적용해 익시오 AI 비서의 기능을 고도화할 계획이다. 이어 2026년 상반기 모든 익시오 이용 고객에게 AI 비서 기능을 오픈할 방침이다.

전망: 보안 신뢰 회복이 최우선 과제

LG유플러스는 이번 익시오 정보유출 사건으로 보안 신뢰 회복이 시급한 과제가 됐다. 2023년 정보유출 사태 이후 보안 투자를 대폭 늘리고 AI 보안 기술을 강조했지만, 연이은 보안 사고로 고객 신뢰가 흔들리고 있기 때문이다. 특히 익시오는 통화 내용이라는 매우 민감한 정보를 다루는 서비스인 만큼, 이번 사고가 서비스 확산에 악영향을 미칠 것으로 우려된다. LG유플러스는 개인정보보호위원회 조사에 적극 협조하고, 재발 방지 대책을 마련해야 할 것으로 보인다.

LG유플러스의 향후 과제
시스템 관리 강화: 캐시 설정 등 기본적인 시스템 관리 점검
투명한 정보 공개: 서버 저장 데이터 범위 등 명확한 안내
신고 의무 준수: 협력사 해킹 등 정보유출 즉시 신고
재발 방지 대책: 유사 사고 방지를 위한 시스템 개선
고객 신뢰 회복: 보안 사고 재발 방지 및 적극적 소통

보안 전문가들은 "AI 기술의 발전만큼 기본적인 보안 관리도 중요하다"며 "LG유플러스는 화려한 AI 기술보다 기본에 충실한 보안 체계 구축이 필요하다"고 조언했다.