보안뉴스 창간 17주년을 축하합니다!!

Home > 전체기사

25개 대형 자동차 브랜드 중 프라이버시 문제 없는 곳 없다

입력 : 2023-09-22 11:15
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
최근 모질라에서 새로운 프라이버시 관련 보고서를 세상에 내놓았다. 자동차 산업 내 주요 기업들을 조사한 결과를 담았는데, 단 한 곳도 호평을 받지 못했다. 이에 자동차 회사들이 크게 반발하고 있다.

[보안뉴스 문정후 기자] 이제는 자동차들도 인터넷에 연결되어 있는 시대다. 자동차와 관련된 데이터가 어딘가에 풍성하게 저장되고 처리된다는 뜻이다. 비영리 단체 모질라(Mozilla)에서 시작한 프라이버시 관련 프로젝트인 ‘프라이버시 낫 인클루디드(Privacy Not Included)’는 이런 점에 착안하여 유명 자동차 브랜드 25개를 꼼꼼하게 점검했다. 그리고 이런 결론을 내렸다. “현재 시장에 나와 있는 자동차들은 프라이버시 보호 측면에서 끔찍함 그 자체다.”

[이미지 = gettyimagesbank]


자동차는 사용자들로부터 각종 개인정보를 수집할 수 있다. 사용자라 함은 운전자와 동승자 모두를 말한다. 각종 커넥티드 서비스와 커넥티드 앱, 서드파티 커넥티드 자원 등이 자동차 안에 그득하기 때문이다. 그리고 자동차 업체들이 이런 정보들을 가지고 무슨 짓을 벌일지는 아무도 모른다. 아무 것도 안 할 수 있지만, 별별 수익 활동을 펼칠 수도 있다.

이런 결론에 자동차 회사들 대부분 동의하지 못한다. 그러나 모질라가 이번 프로젝트를 준비함으로써 자동차가 가진 프라이버시 문제점들에 대한 사람들의 관심이 커졌다는 것은 사실이다. 또한 자동차 회사들이 예나 지금이나 프라이버시와 데이터 보안에 있어 그리 우수한 집단은 아니었다는 것도 사실이다. 그렇다면 정확히 자동차 산업의 프라이버시는 무엇이 문제이며, 어떻게 향상시켜야 할까?

데이터 프라이버시 문제들
모질라의 연구원들은 600시간 이상을 들여 25개 자동차 브랜드들의 프라이버시 관리 및 보호 실태를 꼼꼼하게 분석했다. 그리고 조건에 부합하지 않는 차량과 브랜드들에는 ‘프라이버시 낫 인클루디드’라는 표식을 붙였다. 다른 건 다 있는데 프라이버시는 별도라는 뜻의 이 표식이 브랜드 평판에 좋은 영향을 줄 리가 없다. 다만 이번 조사를 통해 살아남은(즉 표식 붙는 것에서 면제된) 차량 브랜드는 하나도 없었다. 모질라가 보기에 이 정도는 해야 한다는 ‘최소한의 기준’에 아무도 부합하지 못했다는 것이다.

“25개 브랜드 모두가 불필요하게 많은 정보를 수집하고 있는 건 기본이었습니다. 이 ‘불필요한 정보’에는 개인의 민감 정보도 포함되어 있습니다. 성 생활과 성 지향성, 유전자 데이터, 이민자 지위 등과 같은 것들로 상황에 따라 극도로 민감할 수 있는 정보도 포함되어 있었습니다. 이런 정보들까지 수집할 수 있다고 프라이버시 관련 약관에 명시되어 있습니다. 실제로 이런 정보를 수집하든 안 하든 가능성을 열어둔 것 자체가 꽤나 의아스럽습니다.” 모질라의 프로그램 디렉터 젠 칼트라이더(Jen Caltrider)의 설명이다.

구매자들의 이용 약관에 “성 생활”과 “성적 활동”이라는 표현이 직접 언급된 건 닛산과 기아자동차였다. 이러한 지적에 대하여 먼저 닛산은 “(모질라가) 설정한 카테고리의 정보들 중 일부는 의도적으로 수집하고 있지 않다”며 “여기에는 성적 활동과 종교적 신념이 포함된다”고 해명했다. “다만 일부 정보가 의도치 않게 여러 가지 상황 속에서 저절로 수집될 때가 있고, 수집된 데이터를 통해 추측함으로써 정보를 얻을 때가 있습니다. 지역과 국가에 따라 이런 정도는 허용되기도 합니다.”

기아 역시 모질라가 지적한 유형의 정보를 따로 수집하고 있지 않다고 주장했다. “기아는 여태까지 단 한 번도 고객들의 성생활이나 성적 지향성과 관련된 정보를 수집한 적도 없고 수집하고 싶어했던 적도 없습니다. 차량 자체를 통해서나, 기아의 ‘기아커넥트서비스(Kia Connect Services)’를 통해서나 마찬가지였습니다. 저희가 ‘성생활’이라는 표현을 약관에 집어넣은 건 민감 정보를 ‘캘리포니아소비자보호법’에 의거하여 정의하고 예시를 들기 위해서였습니다.”

스바루의 경우 모든 데이터를 사용자가 원할 때만 수집한다고 밝혔다. “저희 스바루는 그 어떤 데이터도 저희 임의로 수집하지 않습니다. 사용자가 자발적으로 스바루의 데이터 측정 및 분석 서비스에 가입할 때에만 분석에 필요한 데이터만 수집됩니다. 또한 한 번 가입한 사용자는 언제든 원할 때 취소할 수 있습니다.”

자동차 회사들은 여러 경로를 통해 수집된 사용자 데이터를 어디에 사용할까? 모질라가 조사한 바에 의하면 자동차 회사들의 84%가 “개인정보를 공유할 수 있다”고 약관에 명시하고 있으며, 76%가 “개인정보를 판매할 수 있다”고도 적어놓았다. 다른 여러 활용처도 있겠지만 먼저는 ‘공유’와 ‘판매’가 이뤄질 수 있음을 알 수 있는 부분이다.

데이터 보호 전문 기업 프로테그리티(Protegrity)의 CPO인 단테 말라그리노(Dante Malagrino)는 “소비자 입장에서는 자신의 데이터가 특정 제품이나 서비스를 사용할 때 기업 쪽으로 넘어가는데, 그 데이터에 대한 제어 권한이 사실상 주어지지 않는다는 것이 문제”라고 지적한다. “스마트카 사업을 하는 회사들이 고객들의 정보를 어느 정도 필요로 하는 것은 사실입니다. 그건 누구나 인정합니다. 하지만 지금의 기업-소비자 관계에서 소비자는 주기만 하고 끝이라는 게 납득이 잘 가지 않죠. 제품과 서비스를 향상시키거나 개발하는 데 내 개인정보가 사용되는 건 무방한데, 딱 거기까지만 선을 그을 수가 없는 게 지금 소비자들의 입장인 겁니다.”

모질라가 이번에 조사했을 때 사용자 개개인들에게 자신의 개인정보에 대한 제어 권한을 허락한 기업은 8% 정도에 불과했다고 한다. 92%는 사용자에게 그 어떤 권한도 주지 않았거나 명목상의 권한만을 허용했다고 한다. “다만 르노와 다치아 정도가 고객들에게 데이터 삭제의 권한을 주고 있었습니다. 이 정도가 자동차 산업에서는 가장 모범적인 사례였습니다.”

북미BMW 본사에서는 “소비자가 어떤 개인정보를 회사가 수집해서 처리하도록 둘 것인지 상세하게 조절할 수 있도록 하고 있다”고 주장했다. “또한 고객들이 자신들의 데이터를 임의로 지울 수 있도록 하고 있습니다. 북미BMW는 차량 내 저장된 고객 개인정보를 판매하지 않습니다.” 모질라의 보고서가 발표되고 북미BMW 측에서 대응한 내용이다.

하지만 로펌 컬헤인 미도우즈(Culhane Meadows)의 프라이버시 전문 파트너인 피터 카삿(Peter Cassat)은 “삭제를 허용하는 게 능사는 아니”라는 입장이다. “실제로 사용자가 정보를 찾아내 삭제하려 한다고 하면 무슨 일이 일어날까요? 특정 서비스가 기능하지 못할 거라는 걸 알게 될 겁니다. 개인정보라는 게 무조건 수집하면 안 되는, 그런 자원이 아닙니다. 서비스 제공에 꼭 필요한 것들도 분명히 존재합니다. 그러니 ‘삭제’는 곧 일부 기능의 오류나 제공 중단으로 이어지죠. 실제로 몇 년 전만 해도 개인정보 제공에 동의하지 않으면 앱 설치조차 안 되던 게 일반적이었던 걸 기억하면 이해하기가 쉬울 겁니다.”

또한 모질라는 “25개 브랜드 중 최소한의 보안 기준을 지키고 있는지 확실하게 확인할 수 있는 경우가 하나도 없었다”고 보고서를 통해 밝혔다. 그만큼 자동차라는 제품의 프라이버시 관련 정책들을 이해한다는 게 어렵다는 뜻이다. 카삿은 이 부분에서 설명을 추가한다. “데이터가 어떤 식으로 생성되고 수집되는지, 정확한 어떤 기법을 사용하는지를 대단히 모호하게 설명하는 분위기가 자동차 산업에 아직 존재합니다. 전문가들이 읽어봐도 잘 이해가 안 갈 정도지요.”

크라이슬러와 지프, 닷지, 피아트와 같은 브랜드를 보유하고 있는 거대 자동차 제조사인 스텔란티스(Stellantis)의 경우 “모질라의 보고서에 부정확한 내용이 많다”는 입장을 밝혔다. “여러 가지 주장을 하고 있는데 스텔란티스 브랜드와 관련해서는 부정확한 내용들이 대단히 많습니다. 저희는 데이터 프라이버시라는 문제를 대단히 중요하게 생각하고 있고, 잘 지켜질 수 있도록 세심한 노력을 기울이고 있습니다. 이 보고서를 보고 의문이 드는 고객분들께서는 저희 고객 센터에 그 어떤 질문이라도 던지실 수 있습니다.”

칼트라이더는 이번 보고서에 대해 “기업들의 입장과 견해에 차이가 있을 수밖에 없어 시시비비를 따지기가 힘들 것으로 보인다”며 “일반 소비자들의 경우 ‘자동차라는 게 인터넷에 연결된 또 다른 컴퓨터나 다름이 없다’는 것을 인지하는 게 가장 중요해 보인다”고 정리한다. “자동차도 컴퓨터나 모바일 기기처럼 사용자들을 추적하고, 모니터링하고, 어마어마한 정보를 수집해 갑니다. 또한 내비게이션이나 스트리밍 음악, 비상 시 응급 전화 기능 등 원격 망에 연결되어 있어야만 하는 서비스들까지 탑재되어 있으니 수집되는 정보는 더더욱 많아지죠. 이런 현상을 알고 있는 것과 모르는 것은 다릅니다.”

자동차 산업, 프라이버시를 어떻게 다뤄야 할까?
사실 프라이버시는 자동차 만이 아니라 모든 산업에서 민감하게 생각하는(그리고 어렵게 생각하는) 문제다. 그래서 적잖은 산업들은 이미 예전부터 엄격한 프라이버시 관련 규제를 정해 실천하고 있다. 예를 들어 의료 산업의 경우 HIPAA라는 것이 존재한다. 자동차 산업에도 자동차 산업에 맞는 고유한 프라이버시 규정이 필요한 걸까? 그럴지도 모른다. 하지만 그 전에 ‘캘리포니아소비자보호법(CCPA)’을 통해 자동차 산업 내 프라이버시를 다루려는 움직임이 생겨나고 있다고 한다.

IoT 보안 전문 업체 BG네트웍스(BG Networks)의 CTO인 로만 라이섹키(Roman Lysecky)는 “CCPA와 같은 엄격한 규정을 통해 자동차 산업의 프라이버시 문제를 다룬다면 지금보다 상황이 나아질 것은 분명한 일”이라고 말한다. “특히 사용자 데이터를 다루는 문제에 있어 세부적인 내용까지 포함시킬 수 있게 되는 게 바람직한 일입니다. 세부적인 실천 사항과 절차를 지정해주지 않고 ‘프라이버시를 지켜줘야 한다’는 선에서만 끝내면 아무도 프라이버시를 보호하지 않을 겁니다.”

CCPA를 통해서든 자동차 산업만의 독자적인 규정을 통해서든 자동차 제조사들이 지켜야만 하는 것이 생긴다는 건 자동차 기업들에도 좋은 일이다. 정보를 잘못 수집하고 다뤘다가 집단 소송에 걸리면 기업으로서 큰 타격을 입을 수밖에 없기 때문이다. 카삿은 “지금도 사실 누군가 문제를 삼으면 충분히 법정에서 다퉈볼 만한 문제들이 자동차 산업 내 산재해 있다”고 말한다. “기준이 분명해져서 불필요한 사회적 비용이 소모되는 일이 없도록 하는 게 모두를 위해 좋은 일입니다.”

하지만 칼트라이더는 조금은 다른 생각이다. “규정이 생기고, 그것이 법 조항으로까지 발전한다고 해서 자동차 기업들이 프라이버시를 철저하게 보호할 거라고 생각하지 않습니다. 결국 누군가 고소를 하고 법정 공방에서 패배를 해 봐야 그 때부터 실질적인 변화가 일어나기 시작할 겁니다. 데이터를 수집하고 처리하고 활용한다는 것은 어마어마한 돈과 관련이 있기 때문입니다. 새로운 방식을 마련해 접목시킨다는 것은 기업으로서 큰 결단을 내려야 하는 일입니다.”

말라그리노는 “그런 점을 역이용해 프라이버시를 강화한 후 오히려 이를 마케팅 도구로 활용하려는 기업도 나올 것”이라고 짚는다. “자동차 업체들 간 경쟁이 치열한 건 모두가 잘 아는 일이죠. 뭐든지 경쟁사와의 차별성을 강조할 수 있을 만한 것이면 다 해보려는 것이 자동차 업체들의 생리라고 할 수 있습니다. 그런 점이 긍정적으로 작용한다면 자동차 산업 내에서도 프라이버시 보호 문화가 자리를 충분히 잡을 수 있다고 봅니다.”

그 사이 소비자들은?
자동차 산업이 프라이버시와 관련하여 성숙해져가는 동안 소비자들은 어떻게 해야 할까? 성숙하기 전 단계에서 만든 자동차들을 울며 겨자 먹기로 구매해야 하는 걸까? “어쩔 수 없이 그래야 한다”고 칼트라이더는 말한다. “다만 수집되는 데이터가 무엇인지, 프라이버시 보호와 관련된 회사의 방침이 무엇인지를 조사해서 꼭 필요한 정보만 제공할 수 있도록 하는 건 가능합니다. 또한 소비자의 권리를 십분 활용해 프라이버시를 잘 보호하는 회사의 제품을 골라 구매하는 것도 좋은 방법입니다.”

말라그리노는 “일정 수준의 개인정보는 서비스와 맞교환하는 재화 역할을 한다는 걸 기억하는 게 중요하다”고 지적한다. “한 때는 모두가 개인정보에 대해 무지했어요. 지금은 모두가 개인정보에 대해 지나치게 예민하죠. 조금이라도 개인정보를 가져갔다 하면 그 기업에는 바로 낙인이 찍힙니다. 너무 극과 극을 오가고 있어요. 충분히 활용하도록 하면서 불법적인 행위는 적발해 막는, 그런 중도적인 방법론에 대해 논할 때가 됐습니다. 자동차 산업에도 그런 방식들이 도입되어야 합니다.”

글 : 캐리 팔라디(Carrie Pallardy), IT 칼럼니스트
[국제부 문정후 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
 하이젠 파워비즈 23년 11월 16일~2024년 11월 15일까지 아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018 넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지
설문조사
2023년 주요 보안 위협 가운데, 올해 말까지 가장 큰 피해를 끼칠 것으로 예상되는 위협은?
공급망 공격
다크웹 기반 랜섬웨어 조직
북한/중국/러시아 등 국가 지원 해킹그룹 활동
스마트폰을 노린 보안 위협
OT 타깃 공격
피싱 공격
기타(댓글로)