‘사생활 침해 논란’ 자동차 정보 수집, 안전 위한 프라이버시는 어디까지 침해할 수 있나?
美 모질라 재단, 자동차 업계 25곳 모두 개인정보 침해 밝혀 기아도 개인정보 수집 중, 닛산은 개인 성생활 정보까지 수집 안전 및 기술 보호 위해 필요하다는 목소리도
지난 6일(현지 시간), 미국의 오픈소스 소프트웨어 개발 지원기관인 모질라 재단에서 전 세계 25개 업체의 자동차 기업들이 필요 이상의 개인 정보를 수집하고 있다는 보고서를 냈다.
영국 일간지 가디언의 보도에 따르면, 모질라 재단의 개인 정보 수집 관련 조사 결과, 자동차 기업들이 차량 운전 보조에 필요한 정보보다 더 많은 개인 정보를 수집하고 있는 것으로 밝혀졌다. 조사 대상 업체의 84%는 차량 소유주로부터 수집한 개인 정보를 서비스 제공업체나 정보 중개업자 등에게 공유하고 있거나 할 의향이 있으며, 76%는 수집한 개인 정보를 판매할 의향이 있다고 답했다. 모질라 재단은 무료 인터넷 브라우저로 널리 알려진 ‘파이어폭스(Firefox)’를 운영하는 기관이다.
자동차 기업들 개인 정보 과도 수집, 판매 의향도 거침없어
모질라 재단의 이번 발표는 BMW, 포드, 토요타, 테슬라, 기아, 닛산 등이 포함된 25개 자동차 브랜드를 대상으로 개인정보 보호 수준을 조사한 결과에 따른 것이다. 재단 관계자는 “조사 결과 25개 브랜드 모두 ‘사생활 보장 안 됨(Privacy Not Included)’ 등급에 해당하는 것으로 나타났다”면서 “이들 브랜드의 차량은 공식적으로 우리가 사생활 보호 수준을 평가한 제품들 중 최악의 범주에 해당한다”고 지적했다.
특히 자동차 브랜드들은 운전 속도, 운전 장소, 차에서 듣는 노래 등 운전자에 대한 방대한 정보를 수집할 수 있는 것으로 나타났다. 이 중 6개 브랜드는 운전자의 의료 정보와 유전자 정보 등 내밀한 정보까지 수집하는 것으로 드러났다. 스마트 기기 및 운영체제를 통해 개인의 활동 정보를 수집하던 것에 대한 각종 경고 메세지로 구글, 애플, 삼성전자 등의 기업이 개인 정보 보호에 대한 각국 정부의 견제 대상이 되는 동안 자동차 활용 데이터는 아무런 제재 없이 자동차 기업들에 의해 수집되고 있었던 것이다.
모질라에 따르면 기아의 사생활 보호정책에는 ‘인종 또는 민족, 종교 또는 철학적 신념, 성적 지향, 성생활 및 정치적 의견’과 ‘노동조합 가입 여부’를 포함한 ‘특수 범주’ 데이터를 처리할 수 있다고 명시돼 있다. 재단은 이 중 닛산이 ‘성행위’를 수집하는 데이터에 포함시킨 것을 강조하기도 했다.
자동차 기업들, 개인 정보 보호는 뒷전?
모질라 재단의 발표가 나오자 기아 미국법인 측은 즉각 자료를 통해 “2018년 제정된 캘리포니아의 소비자 개인정보보호법(CCPA)에 따라 자동차 제조사가 ‘민감한 개인 정보’를 수집할 수 있지만, 실제로 당사가 수집하고 있지는 않다”면서 “기아는 소비자로부터 ‘성생활 또는 성적 지향’ 정보를 수집한 적이 없다”고 밝혔다.
데이터 업계의 한 관계자는 전기차 전환과 자율주행 기능 확대 등으로 인해 자동차 기업들도 IT기업들만큼이나 적극적으로 데이터를 활용해야 하는 시대가 온 것이 이번 조사의 배경일 것이라고 설명했다. 미국 비영리 매체 더마크업에 따르면, 운전자가 차에 타는 순간부터 여러 개의 센서가 작동해 개인의 운전 경험 정보가 모두 데이터로 바뀌고, 특히 차량 위치, 속도, 운전자의 주행 습관, 듣고 있는 노래, 오일 잔량 같은 데이터들이 라디오, 내비게이션, 엔터테인먼트 시스템, 기타 차량 정보 시스템 등에 기록되는 것으로 알려졌다. 이들 데이터는 차량의 컴퓨터를 통해 자동차 제조업체 서버로 전송되고, 업체들은 수집한 데이터를 바탕으로 운전자의 지능, 능력, 관심사 등을 유추할 수 있다.
자동차 기업들의 개인정보 보호 부실은 모질라 재단의 보고서에 그치지 않는다. 지난 5월 테슬라 내부고발자가 제공한 약 100기가바이트 상당의 자료에는 다량의 고객 개인정보와 함께 10만 명이 넘는 전현직 직원의 이메일 주소와 전화번호, 연봉, 은행 계좌 등이 들어있었다. 제작 과정과 관련한 기밀 정보는 물론 일론 머스크 테슬라 최고경영자(CEO)의 사회보장번호도 확인할 수 있었던 탓에, 당시 사건을 보도했던 독일 경제지 한델스블라트는 고객 개인정보의 해외 이전 등을 제한하는 유럽연합(EU) 개인정보보호법(GDPR)을 위반한 것으로 확인될 경우 테슬라 연간 매출의 최대 4%, 약 32억6천만 유로(약 4조6천억원)에 이르는 과징금이 부과될 수 있다고 설명했다.
운전자 안전 보호을 위해 필수 기능이라는 목소리도 높아
반면 자동차 업계와 데이터 업계에서는 블랙박스가 사고 발생 시 중요한 증거물로 활용되는 것과 같은 맥락에서, 기술 발전과 운전자 안전 보호를 위해 운전자 행동 정보 수집을 지나치게 민감하게 차단하는 것은 부적절하다는 의견을 제기한다.
블랙박스로 사고 원인을 파악하고 문제점을 개선해 나가는 데 효과적인 자료를 수집할 수 있는 것처럼, 자동차 운전자들의 행동 정보를 수집할 수 있는 경우에는 사고 예방 기능을 강화한 차량을 제작하거나, 자율주행 기술력을 끌어올릴 수 있다는 것이다. 실제로 자동차에 블랙박스가 적용되면서 그간 차량 사고 시 타이어 스키드 자국이나 파손 부위, 진행 방향 및 목격자 진술 등 복잡했던 조사가 확연히 줄어든 것이 이들이 주장하는 사례다. 블랙박스가 교통사고에 대한 최고의 CCTV 역할을 수행하고 있는 것이다.
차량 운전자의 행동 정보를 파악할 경우, 법정 진술 자료 등으로 활용해 억울한 피해자가 생기는 것을 방지할 수 있는 것은 물론, 운전 양식에 적합한 차량 내부 배치, 안전 설계 등에 활용될 수 있는 가능성이 무궁무진한 데도 불구하고 지나치게 개인 정보 보호를 앞세울 경우 기술 발전이 더뎌질 수 있다는 지적도 나온다.