LG유플러스가 인공지능(AI) 통화 애플리케이션(앱) '익시오'에서 발생한 통화정보 유출 사고에 따라 거액의 보상금을 지불할 처지에 놓였다. 특히 통화내용이 요약된 민감한 통신정보가 제3자에게 무작위 노출됐다는 점에서 법적 책임 범위가 예상보다 훨씬 넓어질 수 있다는 분석이다.
8일 LG유플러스에 따르면 이번 통화정보 유출 사건은 익시오 서버 개선 과정에서 작업자 실수로 임시저장공간(캐시) 메모리가 엉키면서 발생했다. 고객 36명의 통화내용 요약, 상대방 전화번호, 통화시각 등 정보가 다른 고객 101명에게 노출됐다. LG유플러스는 개인정보보호위원회에 이같은 사실을 자진 신고했다.
침해에 따른 유출이 아닌 업무상 과실로 인한 사고지만 가입자의 사적 통화 내역이 응축된 2차 정보가 유출됐다는 점에서 법적 책임 강도가 높아질 전망이다.
법조계에서는 개인정보보호법 위반에 따른 과징금 처분과는 별개로 통신비밀 유출로 인한 통신비밀보호법 위반 소지도 있다고 보고 있다. 통비법에서는 공개되지 않은 대화를 녹음하거나 누설하는 행위를 금지한다. 대법원 판례에서는 녹음 행위가 적법하더라도 해당 녹음물을 상대방 의사에 반해 제3자에게 제공·유출하면 통신비밀 침해가 성립한다고 보고 있다.
법조계 관계자는 “AI로 요약된 통화내용이 통신비밀에 해당되는지가 관건”이라며 “통신설비를 통해 송수신된 음성·문언 등 통신의 내용 전반을 보호 대상으로 본다면 원문뿐 아니라 통화 내용을 인지할 수 있는 정보 역시 보호 대상에 포함된다고 해석될 여지가 있다”고 말했다.
통화 목적, 금전·일정·민감 발언이 포함된 요약본이 제3자에게 전달됐다면 통신비밀 침해가 성립할 가능성도 배제하기 어렵다는 것이다. 다만 통신비밀 침해는 원칙적으로 고의성을 따지는 만큼 형사 적용 대상에는 해당하지 않을 가능성이 높다.
해외에서는 미국 통신사 AT&T는 지난해 통화·문자 메시지 기록이 유출되면서 1인당 최대 7500달러(약 1000만원)를 배상하기로 합의한 바 있다.
개인정보의 안전성 확보를 위한 LG유플러스의 기술적 관리도 미흡했다는 지적이다. 유사한 AI 통화앱 서비스인 SK텔레콤 '에이닷 전화'의 경우 통화기록 캐시를 운영하지 않고 있다. 통화 관련 정보는 사용자 단말에서 생성된 공개키를 기반으로 암호화된 상태로 처리되기 때문에 다른 이용자에게 통화정보가 그대로 노출되는 것 자체가 원천적으로 불가하다.
염흥열 순천향대 정보보호학과 교수는 “캐시 메모리는 접근 지연을 최소화해 빠른 속도를 보장하지만 보안에는 취약점이 있다”면서 “특히 작업 과정에서 다른 사람 정보와 얽힐 가능성이 있어 보다 신중한 관리조치가 필요하다”고 설명했다.
LG유플러스는 통화정보 유출 피해고객에 대한 보상계획에 대해 “개보위 조사가 이뤄진 후 구체적 내용과 범위 등을 감안해 검토할 방침”이라고 밝혔다. 익시오 서비스 개인정보처리방침에 따르면 회사는 내부 관리자 실수 또는 기술관리상 사고로 인해 개인정보의 도난·유출·변조·훼손이 유발될 경우 적절한 대책과 보상을 강구한다고 명시했다.
박준호 기자 junho@etnews.com
