갤럭시 S26 탑재 확인
LG유플러스 공식 자료 기반
익시오 2.0 갤럭시 S26: “온디바이스 보안”이라 믿으면 서버 유출 구조 그대로 맞는 이유
갤럭시 S26에 기본 탑재된 LG유플러스의 익시오 2.0은 “보이스피싱도 막아주는 온디바이스 AI 통화앱”으로 대대적으로 홍보됐습니다. 그런데 바로 그 보안 강조 앱이 2025년 12월, 통화 정보 유출 사고를 일으켰습니다. 어떻게 이런 일이 가능했을까요? 정답은 “온디바이스”라는 단어의 정의가 마케팅과 실제 기술 구조 사이에서 완전히 다르게 쓰였기 때문입니다.
(2026.02 기준)
(같은 기간)
(구글·AWS 클라우드)
(101명에게 노출)
갤럭시 S26에 ‘기본 탑재’된다는 것의 진짜 의미
익시오 2.0은 갤럭시 S26 시리즈에 기본 탑재됩니다. LG유플러스가 2026년 3월 6일 공식 보도자료에서 발표한 내용입니다 (출처: LG코리아 미디어 보도자료, 2026.03.06). 그런데 여기서 “기본 탑재”가 의미하는 바를 정확히 따져봐야 합니다.
기본 탑재란 사전에 앱이 설치되어 있다는 뜻이지, 모든 기능이 자동으로 활성화된다는 의미가 아닙니다. 익시오는 LG유플러스 유심을 사용하는 고객에게만 전체 기능이 제공됩니다. KT나 SK텔레콤 사용자가 갤럭시 S26을 구매해도 익시오의 핵심 기능인 AI 대화 검색, AI 스마트 요약, 보이스피싱 실시간 탐지는 이용할 수 없습니다. 또한 알뜰폰(MVNO) 이용자는 익시오 자체를 아예 사용할 수 없습니다.
즉, “갤럭시 S26 사면 익시오 2.0 보안 기능이 생긴다”고 생각했다면 이는 절반만 맞는 이야기입니다. LG유플러스 가입자여야만 이 방정식이 성립하며, 이것이 의미하는 것은 실질적으로 전체 갤럭시 S26 구매자의 약 3분의 1 미만에게만 해당 기능이 작동한다는 뜻입니다 (국내 이동통신 가입자 기준 LG유플러스 점유율 약 23~25% 수준, 과학기술정보통신부 2025년 4분기 통계 기준).
💡 공식 changelog와 실사용 비교를 교차한 결과입니다.
LG유플러스 공식 자료에는 “갤럭시 S26 시리즈에 LG유플러스의 대표 AI 통화 앱인 익시오가 탑재됐다”고 명시되어 있지만, 가입 통신사 조건은 제품 주요 홍보 문구에서 비교적 작게 다루어집니다. 갤럭시 S26 구매 전 자신의 통신사를 먼저 확인하는 것이 실질적인 첫 번째 체크포인트입니다.
익시오 2.0이 추가한 기능 6가지, 실제로는 어디서 작동하나
LG유플러스는 2025년 10월 20일 익시오 2.0을 공개하면서 기존 1.0 대비 기능을 대폭 확장했습니다 (출처: LG유플러스 공식 보도자료, 2025.10.21). 2.0에서 추가된 주요 기능은 다음과 같습니다.
| 기능명 | OS | 작동 위치 | 비고 |
|---|---|---|---|
| AI 대화 검색 | Android/iOS | 서버(클라우드) | 통화 요약본 서버 저장 필요 |
| AI 스마트 요약 | Android/iOS | 하이브리드 | 요약 텍스트 6개월 서버 보관 |
| 실시간 보이스피싱 탐지 | Android/iOS | 온디바이스 | STT 변환 단계 온디바이스 |
| 위험 URL 탐지 | Android 전용 | 온디바이스 | 문자·카카오톡 URL 감지 |
| AI 문자 리마인더 | Android 전용 | 부분 서버 | 쿠폰·예약 일정 감지 및 알림 |
| 듀얼넘버 | iOS 전용 | 온디바이스 | 번호 2개 운용, 추가 요금 발생 |
(출처: LG유플러스 공식 보도자료 및 서울파이낸스 기술 분석 보도, 2025.12.12)
표에서 확인되듯, 익시오 2.0의 6가지 주요 기능 중 순수 온디바이스로만 작동하는 기능은 보이스피싱 탐지, 위험 URL 탐지, 듀얼넘버 3가지에 불과합니다. 나머지 핵심 기능인 AI 대화 검색과 AI 스마트 요약은 서버를 반드시 경유합니다. 이것이 의미하는 것은 “통화를 AI가 기억해 나중에 검색해준다”는 익시오의 가장 편리한 기능을 쓰는 순간, 해당 통화 내용의 텍스트 요약본이 구글 클라우드 또는 아마존 AWS 서버에 최장 6개월간 보관된다는 뜻입니다 (출처: 전자신문, 2025.12.07).
“온디바이스 AI”라는 말이 실제로 의미한 것
익시오 출시 당시 LG유플러스는 “클라우드에 의존하지 않고 디바이스 자체에서 AI 연산을 처리하는 온디바이스 AI를 핵심 차별점으로 내세웠다”고 서울파이낸스가 2025년 12월 12일 보도했습니다. 이 마케팅 메시지가 소비자에게 심어준 인식은 분명했습니다. ‘통화 내용이 서버에 올라가지 않는다, 해킹당해도 안전하다.’
그런데 2025년 12월 유출 사고 이후 LG유플러스가 배포한 공식 해명 자료는 전혀 다른 이야기를 했습니다. “모든 AI 통화앱의 기능을 온디바이스 AI로 대체하는 시도를 이어가고 있지만, AI 성능 및 경량화 등 추가적인 기술 확보에 시간이 걸리는 바 일부 기능은 서버를 거쳐 운영하고 있다.”(출처: LG유플러스 공식 해명 자료, 서울파이낸스 인용, 2025.12.12) 스스로 “과도기적 하이브리드 구조”임을 인정한 것입니다.
⚡ 이 구조가 실제로 의미하는 것
익시오 2.0의 “온디바이스 AI”는 보이스피싱 탐지 과정의 음성→텍스트 변환(STT)이 기기 내에서 처리된다는 의미입니다. 그러나 그 변환된 텍스트 요약본은 서버에 올라갑니다. 보안의 가장 민감한 단계인 “내 통화 내용 원문”은 기기에서 처리되지만, “통화 요약 결과물”은 서버에서 관리됩니다. 이 구분을 마케팅에서 명확히 하지 않았다는 점이 핵심 논란입니다.
2025년 11월 LG유플러스 이상엽 CTO는 “해킹이 발생해도 암호화된 데이터만 유출돼 피해를 방지할 수 있다”고 공개 발언했습니다. 그런데 불과 한 달 뒤, 해킹이 아닌 서버 캐시 설정 실수로 36명의 통화 내용 요약, 통화 시각, 통화 상대 전화번호가 101명에게 그대로 노출됐습니다 (출처: 서울파이낸스, 2025.12.12). 이것이 의미하는 것은 기술적 보안과 운영상 보안은 전혀 별개 문제라는 점이며, 아무리 좋은 암호화 기술이 있어도 서버 운영 실수 하나로 무력화될 수 있다는 현실입니다.
2025년 12월 유출 사고: 보이스피싱 탐지 앱의 역설
보이스피싱으로부터 사용자를 보호하겠다고 만든 앱이, 정작 사용자의 통화 정보를 타인에게 노출시켰습니다. 이 역설이 2025년 12월에 현실이 됐습니다.
사건 경위는 이렇습니다. LG유플러스는 익시오 서비스 운영 과정에서 통화 요약 등의 정보를 임시 저장하는 캐시(Cache)를 사용했습니다. 2025년 12월, 서버 기능 개선 작업 중 이 캐시 설정에 실수가 발생했고, 36명의 통화 내용 요약·통화 시각·통화 상대 전화번호가 101명의 다른 이용자 화면에 그대로 표시됐습니다. LG유플러스는 2025년 12월 6일 이 사실을 개인정보보호위원회에 자진 신고했습니다 (출처: 서울파이낸스, 2025.12.12).
⚠️ 유출된 정보의 실제 위험도
회사는 “음성 통화 원본과 주민등록번호, 금융 정보는 유출되지 않았다”고 해명했습니다. 그러나 통화 요약 텍스트와 통화 상대방 전화번호만으로도 개인의 의료 정보, 금융 거래, 가족 관계, 개인 일정 등 민감한 생활 정보가 충분히 드러날 수 있습니다. 특히 익시오의 “AI 스마트 요약” 기능은 부동산 중개, 영업 통화, 병원 예약 등 업무 맥락에 최적화된 요약을 제공하는 기능입니다. 이 요약본이 노출된다는 것은 사생활 침해 가능성이 단순 번호 유출보다 훨씬 크다는 의미입니다 (출처: 서울파이낸스, 2025.12.12).
사고 이후 익시오 신규 설치 수는 급감했습니다. 한국경제 보도(2025.12.13)에 따르면, 사고 이전 하루 평균 신규 설치 건수가 3,000건이었으나 사고 이후에는 평균 690건으로 77% 감소했습니다. 가입자 100만 명을 넘어선 앱이 한 번의 운영 실수로 신뢰를 대폭 잃은 것입니다.
캐시 실수 하나로 만들어진 연쇄 문제
이번 사고는 두 가지를 동시에 드러냈습니다. 첫째, 익시오가 홍보한 “온디바이스 AI” 구조가 실제로는 서버 의존적 기능을 포함하고 있었다는 점. 둘째, 서버에 저장된 정보에 대한 암호화 및 접근 통제 수준이 마케팅 메시지만큼 견고하지 않았다는 점입니다. 경쟁 서비스인 에이닷(SKT)은 서버 데이터를 암호화해 제한적으로 보관하고 음성 원본과 텍스트 파일을 서버 변환 즉시 삭제하는 구조여서, 이번과 같은 캐시 유출 사고가 구조적으로 발생하기 어렵다고 전문가들은 분석했습니다 (출처: 서울파이낸스, 2025.12.12).
이탈률 데이터로 본 익시오 vs 에이닷 직접 비교
두 서비스의 실사용 지속도를 가장 직접적으로 보여주는 지표는 이탈률입니다. 빅데이터 분석업체 아이지에이웍스 마케팅클라우드가 안드로이드 기준으로 측정한 수치는 다음과 같습니다 (출처: 아이지에이웍스 마케팅클라우드, 아이뉴스24 인용, 2026.03.12).
| 측정월 | 익시오 이탈률 | 에이닷 전화 이탈률 | 격차 |
|---|---|---|---|
| 2025년 9월 | 53.1% | 15.9% | +37.2%p |
| 2025년 10월 | 45.4% | 18.6% | +26.8%p |
| 2025년 11월 | 47.7% | 14.2% | +33.5%p |
| 2025년 12월 | 51.2% | 13.9% | +37.3%p |
| 2026년 1월 | 35.2% | 14.8% | +20.4%p |
| 2026년 2월 | 31.8% | 11.5% | +20.3%p |
(출처: 아이지에이웍스 마케팅클라우드 / 아이뉴스24, 2026.03.12 / 안드로이드 OS 기준)
📊 이 수치가 의미하는 것을 직접 계산해보면:
익시오 이탈률 31.8%는 익시오를 한 달 이용한 100명 중 32명이 그 달에 앱을 삭제하거나 사용을 중단한다는 의미입니다. 반면 에이닷은 100명 중 약 12명만 이탈합니다. 다시 말해 익시오는 에이닷보다 이탈이 약 2.8배 더 많이 발생합니다. 갤럭시 S26에 기본 탑재됐다는 사실이 단기 신규 유입은 만들 수 있어도, 장기 유지는 또 다른 문제라는 뜻입니다. 아이지에이웍스는 2026년 3~5월 예상 이탈률을 39.4%로 제시했습니다.
기능 완성도 비교: 무엇이 갈리는가
단순 이탈률 외에도 두 서비스의 실질적 차이는 ‘범용성’에서 납니다. 에이닷은 통화 영역 외에도 일정 관리, 개인비서형 챗봇, 타 앱 연동 등 생활 전반으로 기능이 확장되어 있습니다. 익시오는 2.0 업데이트에서 AI 대화 검색과 스마트 요약을 추가해 이 격차를 좁히려 했지만, 2025년 8월 비즈조선 보도에 따르면 에이닷 사용 시간이 익시오의 약 3배로, 범용성에서 여전히 격차가 있습니다 (출처: 비즈조선, 2025.08.21). 이것이 의미하는 것은 익시오가 “통화에 특화된 AI 보안 앱”이라는 포지션을 유지하는 한, 일상 전반을 커버하는 에이닷 대비 이탈 요인이 구조적으로 더 많을 수밖에 없다는 뜻입니다.
MWC 2026 ‘익시오 프로’의 KB국민은행 연계, 아직 현실이 아닌 이유
2026년 2월 스페인 바르셀로나 MWC 2026에서 LG유플러스는 ‘익시오 프로(ixi-O Pro)’를 공개했습니다 (출처: LG유플러스·연합뉴스 보도자료, 2026.02.23). 발표 내용은 인상적이었습니다. 통화·문자·일정 데이터를 종합해 상황에 맞는 정보를 먼저 제안하는 초개인화 AI 에이전트이며, KB국민은행과 연계해 보이스피싱 탐지 신호를 금융 거래 이전에 차단한다는 내용이었습니다.
그런데 여기서 중요한 단어를 짚어야 합니다. LG유플러스가 공식 발표에서 사용한 표현은 “익시오가 미래 AI Call Agent로 진화하는 모습을 선보인다”와 “MWC26에서 통신-금융 보이스피싱 실시간 대응 협업 체계를 공개한다”입니다. 현재 서비스 출시가 아니라, 미래 방향성과 협업 구조를 ‘공개(선보인다)’한 것입니다. 연합뉴스를 통해 배포된 공식 보도자료 원문에도 “MWC26에서 선보이는 미래 모습”이라는 표현이 명확합니다 (출처: LG유플러스 연합뉴스 배포 보도자료, 2026.02.23).
🔍 “공개”와 “출시”는 다릅니다
갤럭시 S26에 현재 탑재된 익시오는 2.0 버전입니다. KB국민은행과 연계해 이상 거래 감지 시 계좌 지급 정지까지 자동 처리하는 2중 방어망은 익시오 프로의 구성 요소입니다. 현재 출시 일정은 공식 발표되지 않았습니다. 즉, MWC에서 발표된 보이스피싱 통신-금융 연계 기능을 기대하고 갤럭시 S26과 LG유플러스를 선택했다면, 그 기능은 현재 이용 가능한 서비스가 아닙니다. 이것이 의미하는 것은 MWC 발표 뉴스만 보고 기기 구매 결정을 내리기 전에, 현재 2.0 버전의 실제 제공 기능 목록을 LG유플러스 공식 사이트에서 직접 확인해야 한다는 뜻입니다.
다만 익시오 프로가 그리는 방향 자체는 의미 있습니다. 통화 중 실시간으로 피싱 패턴을 감지하고, 그 신호가 금융 거래 시스템으로 자동 전달되어 출금 자체를 막는 구조는 보이스피싱 피해 예방에 있어 기존 방식과 다른 패러다임입니다. 지금까지의 보이스피싱 대응이 “사용자가 의심하고 직접 끊는 것”에 의존했다면, 익시오 프로의 구조는 사용자가 속는 상황에서도 금융 거래 단계에서 차단하는 2단계 방어입니다. 이 구조가 실제로 구현된다면, 현재 스캠 탐지 앱들과 차별화된 실질적 보호 수단이 될 수 있습니다.
자주 묻는 질문 5가지
마치며 — 익시오 2.0을 어떻게 볼 것인가
익시오 2.0은 분명 의미 있는 서비스입니다. 보이스피싱 피해가 연간 수천억 원에 달하는 한국 상황에서, AI가 통화 중 실시간으로 의심 패턴을 탐지하고 알림을 주는 기능은 실생활에서 유용하게 작동합니다. 안티딥보이스 기능처럼 딥페이크 음성까지 탐지하는 접근은 다른 서비스에서 찾기 어려운 차별점이기도 합니다.
그러나 “온디바이스 AI”라는 마케팅 메시지가 소비자에게 심은 인식과 실제 기술 구조 사이의 간극이 결국 신뢰를 깎았습니다. 통화 요약이 서버에 저장된다는 사실을 출시 당시 전면에 내세웠다면, 2025년 12월의 유출 사고가 “배신감”이 아닌 “운영 실수”로 처리될 수 있었을 것입니다. 갤럭시 S26 탑재를 통해 신규 사용자를 대거 확보하는 기회를 얻었지만, 이탈률 문제를 해결하지 못한다면 일시적 유입에 그칠 가능성이 높습니다.
MWC 2026에서 발표된 익시오 프로의 방향성은 올바릅니다. 단순 탐지를 넘어 금융 시스템과 연동한 2단계 차단 구조, 그리고 스마트폰을 넘어 차량·로봇까지 확장하는 보이스 기반 에이전트 비전은 현재 어떤 통신사도 갖지 못한 차별화 포인트가 될 수 있습니다. 문제는 그 비전이 ‘현재의 약속’이 아니라는 것입니다. 갤럭시 S26과 함께 익시오 2.0을 선택한다면, 현재 버전의 실제 기능 범위와 데이터 저장 구조를 명확히 이해하고 시작하는 것이 가장 현명한 접근입니다.
본 포스팅 참고 자료
- ① LG유플러스 공식 보도자료 — 갤럭시 S26 시리즈 개통 시작 (2026.03.06) https://www.lg.co.kr/media/release/29918
- ② LG유플러스 공식 보도자료 — 익시오 2.0 공개 (2025.10.21) LG U+ 공식 보도자료
- ③ LG유플러스·연합뉴스 — 익시오 프로 MWC 2026 발표 (2026.02.23) https://www.yna.co.kr/view/RPR20260223000900353
- ④ 서울파이낸스 — ‘온디바이스 보안’ 논란 분석 (2025.12.12) https://www.seoulfn.com/news/articleView.html?idxno=615372
- ⑤ 아이지에이웍스 마케팅클라우드 / 아이뉴스24 — 익시오·에이닷 이탈률 비교 (2026.03.12) 아이뉴스24 관련 기사
- ⑥ 전자신문 — 익시오 통화정보 서버 저장 구조 분석 (2025.12.07)
- ⑦ 한국경제 — 유출 사고 후 신규 설치 급감 보도 (2025.12.13) https://www.hankyung.com/article/202512129318g
※ 본 포스팅 작성 이후 서비스 정책·UI·기능이 변경될 수 있습니다. 익시오 2.0은 LG유플러스의 지속적인 업데이트 정책에 따라 기능 및 데이터 저장 구조가 달라질 수 있습니다. 본 글에 사용된 수치는 공식 발표 및 공개된 빅데이터 분석 자료를 기반으로 하며, 작성 기준일 이후의 수치는 상이할 수 있습니다. 익시오 서비스 이용 전 반드시 LG유플러스 공식 사이트(www.lguplus.com)에서 최신 약관 및 기능을 확인하시기 바랍니다.
댓글 남기기