기업들이 고객 서비스에 사용하는 인공지능(AI) 챗봇에서 370만건에 달하는 민감한 개인정보가 유출된 사실이 드러났다.
18일(현지시간) 가상사설망(VPN) 업체 익스프레스VPN(ExpressVPN)에 따르면, 이 회사 소속 사이버보안 연구원 제레미 파울러는 비밀번호 설정이나 암호화 조치 없이 공개적으로 접근할 수 있는 데이터베이스 3곳을 발견했다.
해당 데이터베이스에는 이메일 주소, 집 주소, 전화번호 등 개인정보를 포함한 370만건의 기록이 포함돼 있었다. 데이터는 텍스트 녹취록 3.9TB, 엑셀 파일 20만7381개, 음성 녹음 파일 415.2GB에 달하는 방대한 양이었다.
특히 유출된 정보 중에는 미국 유통·수리업체 '시어스 홈 서비스'의 AI 챗봇을 이용한 고객 5만4359명의 대화 녹취록과 음성 파일도 포함된 것으로 확인됐다.
조사 결과, 고객이 전화를 제대로 끊지 않았을 경우 시스템이 녹음을 계속해 최대 4시간 분량의 배경 대화까지 녹음된 사례도 발견됐다. 이는 방대한 양의 생체 음성 데이터가 유출됐을 가능성을 시사한다.
파울러 연구원은 시어스의 모회사인 트랜스폼코에 이 사실을 통보한 직후 해당 데이터베이스에 대한 외부 접근이 차단됐다고 밝혔다. 하지만 그는 AI가 수집한 민감 정보가 부실하게 관리될 위험성에 대해 심각한 우려를 표했다.
보고서는 유출된 데이터가 사용자의 신원을 특정하거나 디지털 프로필을 복제하는 등 범죄에 악용될 수 있다고 경고했다. 2027년까지 딥페이크를 이용한 사기 피해액이 400억달러(약 57조6000억원)에 이를 것이라는 전망도 나온다.
익스프레스VPN은 사용자들에게 강력한 비밀번호 사용, 출처가 불분명한 이메일·문자 주의, 보이스피싱 사기 예방을 위해 가족·지인과 미리 암호를 정해둘 것 등을 권고했다.