최근 가입자 100만 명을 돌파하며 화제가 된 LG유플러스의 AI 통화 에이전트 서비스 '익시오(ixi-O)'에서 개인정보 유출 사고가 발생했습니다. 지난 2023년 대규모 해킹 사태의 악몽이 떠오르지만, 사측은 이번 건은 해킹이 아닌 '직원의 실수(휴먼에러)'라고 해명했는데요. 자세한 내용을 알아보도록 하겠습니다.
LGU+ 익시오 해킹사건
이번 사건은 12월 2일 20시 ~ 3일 10시 59분 사이(추정)에 익시오 이용자 36명의 통화 정보가 다른 이용자 101명에게 노출된 사건입니다. 해당 시간대 앱을 익시오 앱을 신규 설치하거나 재설치한 이용자들에게 타인의 정보가 보이는 문제가 있었는데요.
유출된 가입자의 통화 상대방의 전화번호/ 통화 시각/통화 내용 요약 정보 (AI가 분석한 텍스트)가 노출되었다고 합니다. 다행히 주민등록번호, 금융 정보 등 고유식별정보는 포함되지 않았다고 하는데요.
LGU+ 해킹 사고 원인은?
LG유플러스는 "해킹 공격이 아닌, 작업자의 캐시(임시 저장 공간) 설정 오류로 인한 사고"라고 밝혔습니다.
시스템 작업 중 직원의 단순 실수로 데이터가 꼬이면서 엉뚱한 사람에게 정보가 노출되는 현상이 발생했다는 설명을 하고 있습니다.
하지만 개발자에 입장에서는 사실 다른 사람의 데이터를 암호화하지 않고 사용했기 때문에 다른 사용자에게 보이는 것인데요. 기본적으로 2차 인증을 해야 하고 작업자라고 해도 개인정보에 마음대로 접근할 수 없는데요. 작업자의 캐시에 사용자의 개인정보가 그대로 노출된다는 것도 참 이해하기 힘듭니다.
가장 기본적인 보안 원칙인 RBAC(Role-Based Access Control)만 지켜졌더라도 이번 해킹 사건은 발생할 수가 없습니다.
쿠팡 해킹 사건도 그렇고 관리자라고 하더라도 DB의 접근 권한은 레벨에 맞춰서 일반적으로 엄격하게 제한되어 사용되어야 하는데, LGU 역시 쿠팡처럼 개인정보 보호를 위한 조치를 하지 않고 누구나 쉽게 전체 DB에 접근할 수 있도록 한게 아닌가 하는 의심이 듭니다.
익시오 이용약관에도 암호화 저장 또는 암호화 기술을 적용하여 관리한다고 9조에 적혀있으나 이를 따르지 않은 것으로 보입니다. 이런 개인정보가 일반 사용자에게 보이는데, 작업자는 내 통화기록을 평문으로 다 볼 수 있다는 것이 되는데요. 제 통화내역을 그대로 LG가 볼 수 있다고 생각하니 좀 무서운데요. 가입자가 100만명을 돌파했는데 100만명을 다 볼 수 있다니.... 쿠팡도 그렇고 원래는 접근권한별로 접근할 수 있는 DB를 단계적으로 구분해야 하는데 비용절감을 위해서 마스터키를 다 사용할 수 있게 하는 구조라면, 쿠팡처럼 심지어 퇴사한 개발자 1명이 충분히 전체 개인정보를 유출 시킬 수 있는 구조인겁니다.
2025.12.03 - [News] - 쿠팡 해킹 사건 총정리
쿠팡 해킹 사건 총정리
최근 3370만명의 계정이 탈취된 쿠팡 해킹사건이 이슈가 되고 있는데요.쿠팡 해킹사건쿠팡 해킹사건은 지난 6월부터 11월까지 퇴사한 중국 국적 직원이 해외 서버를 통해 무단 접근해 3370만 명의
dorudoru.tistory.com
LG의 설명을 들으니 더 무섭다는 생각이 듭니다. 작년 대규모 해킹 사건 이후 보안을 강화하겠다고 했으나, LG의 설명처럼 단순히 한명의 작업자의 실수로 개인정보가 유출될 수 있다는 것은 더 큰 문제라고 생각합니다.
LG는 고객 신고가 나올때까지 개인정보 유출에 대한 건을 전혀 모르다가, 12월 3일 오전 고객 신고로 인지 후 즉시 복구 완료했다고 합니다. 이번 사건은 피해 규모가 1,000명 미만이라 의무 신고 대상은 아니지만, 개인정보보호위원회에 자진 신고했다고 합니다.
앞서 지난 10월 LG유플러스는 서버 해킹 정황을 한국인터넷진흥원(KISA)에 신고한 바 있는데요. KISA가 지난 7월 18일 LG유플러스 내부자 계정을 관리하는 계정 권한관리 시스템(APPM) 서버 해킹이 있었다는 익명의 화이트해커의 제보를 받아 LG유플러스에 이를 통보한 지 약 3개월 만입니다.
당시 미국 보안 전문매체 프랙은 해커 조직이 외주 보안업체 시큐어키를 해킹해 얻은 계정 정보로 LG유플러스 내부망에 침입했다고 보도한 이후였습니다. 이 공격으로 8938대의 서버 정보, 4만 2256개 계정, 167명의 직원 정보가 외부로 빠져나간 것으로 알려졌습니다. 다만, LG유플러스는 서버 정보가 유출됐지만, 피해 사실이 확인되진 않았다는 입장을 고수하고 있는데요.
이번 익시오의 해킹 사건은 과연 LG가 어떻게 대응할지 궁금합니다. 당분간 익시오 사용은 자제해야겠습니다.
'News' 카테고리의 다른 글
| 12·3 비상계엄 사태 내란특검 종료 (0) | 2025.12.16 |
|---|---|
| 호주 16세 미만 SNS 금지 (1) | 2025.12.12 |
| 노스페이스 패딩 혼용률 사기 발각 (1) | 2025.12.06 |
| 서울 첫눈과 폭설 그래고 대설 특보 (1) | 2025.12.05 |
| 스타링크 국내 서비스 시작 (1) | 2025.12.04 |