"써도 되나" AI 통화앱 '발칵'…익시오, 다운로드도 '급감'

익시오 유출 사고 이후 신규 설치 평균 690건
사고 전 가입자 100만명·신규 설치 하루 3000건
보안 강조했으나 유출 문제 일어나자 '주춤'
전문가들 "단순 휴먼 에러 아닌 구조적 문제"

사진=연합뉴스

가입자 100만명을 돌파했던 '익시오'가 통화 데이터 유출 사고 이후 다운로드 건수가 줄고 있는 것으로 나타났다. 익시오 신규 설치 건수는 일평균 3000건을 기록했으나 사고 이후 500건으로 줄어들었다. 반면 SK텔레콤의 에이닷 전화는 1000건대의 신규 설치 건수를 유지하고 있다. 데이터 유출 사고로 AI 통화 앱 시장이 기능 경쟁보다 보안 운영을 중심으로 재편될 수 있다는 관측도 나온다.

13일 모바일인덱스에 따르면 익시오는 통화 유출 사고가 알려진 지난 6일 신규 설치 건수 690건을 기록했다. 사고가 알려지기 전 신규 설치 건수와 비교하면 급감한 수준이다. 지난달 10일부터 지난 5일까지 26일간 익시오의 일평균 신규 설치 건수는 3428건에 다다랐다.

LG유플러스는 그간 온디바이스 AI라는 점을 내세워 익시오의 보안성을 강조해왔다. 실제로 익시오는 AI 통화 앱 시장에서 SK텔레콤의 에이닷에 비해 후발주자지만 보안을 차별화로 내세워 빠르게 성장했다. 와이즈앱·리테일에 따르면 익시오는 지난 6월 월간활성자(MAU) 수 14만3849명을 기록한 이후 지난달 53만9382명으로 뛰었다. 5개월간 약 4배 증가한 셈이다.

에이닷 전화는 같은 기간 118만~127만명대를 나타냈다. 시장을 선점한 에이닷을 익시오가 빠르게 뒤따라가고 있던 것.

하지만 익시오 유출 사고가 발생하자 사용자들이 앱 사용을 주저하고 있는 것으로 풀이된다. AI 통화 앱의 핵심 기능인 통화 요약 서비스에서 문제가 발생해 파장이 컸다.

LG유플러스는 익시오 통화 요약 데이터 유출 사고가 해킹이 아닌 직원의 실수(휴먼 에러)로 일어났다고 설명했다. 익시오 서비스 운영 개선 작업 중 캐시(임시 저장 공간) 설정 오류로 고객 36명의 통화 상대방 전화번호, 통화 시각, 통화 내용 요약 등의 정보가 101명의 고객에게 일시적으로 노출됐다.

쟁점은 익시오 통화 요약 유출 사고가 구조적인 문제로 일어났는지 혹은 개인의 문제인지 여부에 달려있다. 해당 사고를 직원 실수로 일어난 문제로만 보면 단순 헤프닝에 그친다.

다만 직원의 실수가 유출 사고까지 번졌다는 점에서 구조적 문제로 봐야한다는 지적도 나온다. 최병호 고려대 인공지능연구소 교수는 "개인의 실수를 방지하는 시스템이 없었다면 구조적 문제"라며 "사람은 실수를 할 수 있기 때문에 언제든 관련 사고가 재발이 될 수 있다고도 볼 수 있다. 주체의 문제이면서 구조의 문제이기도 한 사고"라고 말했다.

박춘식 아주대 정보보호학과 교수는 "원인은 실수였는지 몰라도 관리가 미흡했다는 증거. 개인 잘못으로 개인정보가 유출됐다고 말하는 쿠팡의 논리와 비슷하다"며 "보안은 기술적으로 해킹을 못하게 하는 것도 중요하지만 내부 사람들의 실수가 나지 않도록 접근하는 것도 중요하다"라고 말했다.

SK텔레콤은 에이닷의 경우 익시오와 같은 사고가 구조적으로 발생할 수 없다고 설명했다. 서버 내에 임시 저장 공간인 캐시를 사용하지 않아서다. 통화 후 요약하는 과정에서 발생하는 데이터는 크게 음성, 텍스트 변환, 요약 데이터로 나뉜다. SK텔레콤은 음성과 텍스트 변환 데이터를 온디바이스에 저장하지만 통화 요약 데이터 연산을 위해 서버로 관련 데이터를 전송한다. 다만 캐시를 거치지 않아 익시오와 같은 사고가 일어날 수 없다는 설명이다.

익시오 유출 사고의 경우 외주 중심 개발 구조로 품질 검증 일관성이 떨어져 일어난 사고가 아니냐는 의혹이 나오기도 했다. LG유플러스 관계자는 "LG CNS 등 외부 개발 인력이 대규모로 참여했다는 건 사실무근"이라며 "그렇지 않다"고 강조했다.

서버 내에서 암호화된 데이터가 일반 익시오 사용자에게 평문으로 보인 데 대한 의문도 제기됐다. 박 교수는 "암호화가 됐다면 정보가 유출돼도 통화 요약 내용 등을 알아볼 수 없게 나와야 하는데 이번 사건은 그러지 않았다"며 "익시오의 운영 방식을 정확하게 알지 못하지만 암호화된 데이터가 보여졌다는 건 암호키와 암호문이 같이 유출됐거나 암호화 안 된 데이터가 유출됐을 수 있다"고 말했다.

LG유플러스 관계자는 "암호화해서 데이터를 보관하는 건 맞다"며 "외부에서 해커가 침입하면 해당 내용을 알 수 없다. 다만 고객한테 서비스될 때는 데이터가 복호화해서 제공되기 때문에 앱 안에서는 암호화가 풀린 데이터가 보이는 것"이라고 설명했다.

업계에서는 AI 전화 앱 시장이 데이터 처리 구조와 운영 안전성을 중심으로 재편될 수 있다고 보고 있다. 업계 관계자는 "AI 전화는 사용자의 민감한 일상 대화를 다루는 서비스인 만큼 기술의 화려함보다 데이터를 어떤 구조로 처리하고 그 구조를 직접 통제할 역량을 갖추고 있는지가 더 중요해졌다"며 "결국 데이터를 얼마나 안전하게 다루느냐에 따라 시장 변화가 일어날 것"이라고 말했다.

박수빈 한경닷컴 기자 waterbean@hankyung.com