이석원 기자
비영리 단체인 모질라재단(Mozilla Foundation) 조사에 따르면 최근 몇 년간 제조된 자동차는 운전자 데이터를 수집하고 있다는 게 밝혀졌다. 모질라가 실시 중인 개인 정보에 관한 대처 프로젝트(Privacy Not Included)는 인터넷으로 이어지는 다양한 기기에 대한 안전성을 조사하고 있다. 최근 조사 보고 대상은 자동차다.
조사 대상이 된 건 BMW, 포드, 테슬라 등 대형 제조업체 25개사다. 거의 모든 제조업체가 만든 인터넷 연결 가능 모델에서 기본 프라이버시와 보안 표준을 준수하지 않는 것으로 나타났다. 자동차에서 수집되는 데이터는 인종, 운전자 표정, 체중, 건강 상태, 운전해서 가는 곳 등 다양하다. 일부 차량에선 성적 활동이나 이민 정보 등 설마 자동차가 이런 것도 수집하나 싶은 데이터도 포함하고 있다.
조사 보고서에선 많은 이들이 자동차 안은 사적인 공간이라고 생각한다고 지적한다. 병원에 전화하거나 아이와 얘기를 하거나 때론 다른 이들에게 알려지지 않은 곳으로 향할 수도 있다. 하지만 자동차가 개인적인 공간이라는 생각은 더 이상 통용되지 않는다는 지적이다. 최근 신차는 방대한 개인 정보를 수집하는 “타이어가 붙은 프라이버시 침해 머신”이라는 것.
요즘 차량은 카메라와 마이크, 전화 등 많은 도구를 통해 승차자 정보를 수집할 수 있다. 제조업체는 앱이나 웹사이트를 통해 데이터를 수집하게 되면 제3자에게 해당 데이터를 판매하는 것도 가능하다.
모질라 조사에서 최악으로 지적받은 곳은 닛산이다. 닛산 프라이버시 규약을 보면 사용자 성적 행동, 건강 상태, 유전적 데이터 등을 수집하고 있지만 이 데이터를 구체적으로 어떻게 모으고 있는지 자세한 사항은 밝혀지지 않았다. 또 수집한 데이터에 있어 기호나 특성, 심리적 트렌드, 경향, 행동, 분위기, 지능, 소질을 데이터 브로커나 법적 기간, 제3자와의 공유 또는 판매할 권리는 닛산이 보유한다고 한다.
다른 제조업체도 마찬가지다. 폭스바겐은 안전벨트나 브레이크 움직임에 관한 데이터를 수집하고 운전자 성별이나 연령과 매치시킨 타깃 광고를 전개한다. 기아차는 프라이버시 규약에서 성생활을 모니터링할 권리가 보유되고 있다. 메르세데스는 프라이버시 보호가 의심되는 틱톡을 시스템에 사전 설치한 자동차를 출하하고 있다.
또 데이터를 수집하는 사용자에게 동의하는 방법도 엉망이다. 스바루의 경우 소유자, 운전자에 한하지 않고 스바루 차량을 타는 것으로 데이터 수집에 동의한 사용자라고 간주해버린다. 이는 다른 많은 자동차 제조업체가 개인 정보 보호 약관에 대해 승객에게 알리는 건 운전자 책임이라고 생각하기 때문이다. 도요타는 프라이버시에 관한 규약이 12종류나 있는데 이를 운전자가 숙독해 동승자에게 설명하기에는 장애물이 너무 높다.
데이터를 수집한 경우에만 머무르지 않고 자동차와 데이터 처리 문제에 대해 모질라 보고서는 각사가 수집한 데이터를 암호화할 수 있을지 어떨지까지는 확인할 수 없었다고 한다. 모질라가 우려하고 있는 건 각사별 프라이버시 워싱. 개인 정보를 제대로 취급하고 있으니 걱정말라고 어필하고 소비자를 세뇌시키는 것이다. 하지만 실제로는 이와 정반대 입장이다.
미국에선 많은 자동차 기업이 미국자동차혁신협회가 정하는 소비자 프라이버시 보호 원리에 서명하고 있지만 원래 이 조직 자체가 자동차 기업이 만드는 단체이며 강제력이 있는 건 아니다.
모질라 보고서에 대한 대응인지 9월 5일자로 자동차혁신협회는 프라이버시 보호 원리에 대해 미 의회에 선언서를 제출했다. 어쨌든 커넥티드카가 늘면서 차량 내부는 개인 공간이라는 인식은 버리고 행동하는 게 좋을 수 있다. 관련 내용은 이곳에서 확인할 수 있다.
정용환 기자
이원영 기자
