과거 단순히 이동 수단에 불과했던 자동차가 이제는 첨단 기술과 결합하여 ‘커넥티드카(Connected Car)’로 진화하고 있습니다. 기존의 내연기관 자동차가 엔진, 변속기 등 수많은 기계 부품으로 구성되었다면, 최근의 자동차는 전기 동력과 네트워크 연결 기능을 갖춘 스마트 디바이스로 탈바꿈하고 있습니다. 이러한 변화는 우리에게 편리함을 가져다주지만, 동시에 새로운 도전 과제를 안겨주고 있기도 합니다. 그 중 하나가 바로 ‘차량 데이터 보안’이라 할 수 있습니다.
커넥티드카는 차량에 탑재된 각종 센서와 인터넷 연결 기능을 통해 방대한 양의 데이터를 수집하고 처리합니다. 이 데이터에는 주변 환경, 운전자, 차량 상태 등 다양한 정보가 포함되어 있습니다. 산업연구원의 보고서에 따르면, 자율주행차는 시간당 4테라바이트(TB)에 달하는 방대한 양의 데이터를 생성합니다.
이렇게 수집된 차량 데이터는 다양한 방면에서 활용될 수 있습니다. 예를 들어 자동차 제조사는 데이터를 분석하여 운전자에게 졸음운전 경고 등의 편의 서비스를 제공할 수 있으며, 제3자 서비스업체와 협력하여 다양한 개인 맞춤형 부가서비스도 개발할 수 있습니다. 이러한 시장 경쟁력에 이머전 리서치(Emergen Research) 자료에 따르면 차량 데이터 시장은 2021년부터 2028년까지 연평균 38.5%의 성장률을 기록하며 2028년에는 약 869억 달러 규모에 이를 것으로 전망되고 있습니다.
하지만, 이러한 데이터에는 국가의 중요한 정보 및 운전자의 프라이버시 정보가 포함되어 있어 해킹을 통한 차량 불법 제어나 개인정보 유출 등의 심각한 위험을 초래할 수 있습니다. 그리고, 이러한 추세에 발맞추어 자동차 사이버 보안 시장 역시 급격한 성장세를 보이고 있습니다. 사이버 보안 관련 소프트웨어 개발 분야가 해당 시장을 주도하며, 프리시던스 리서치(Precedence research)에 따르면 2022년 31억 달러 규모였던 사이버 보안 시장은 2032년까지 연평균 18.2%로 성장하여 약 164억 3,000만 달러 규모에 달할 것으로 예상되고 있습니다.
차량 데이터 보안 정책 마련하는 세계 주요국들
이처럼 차량 데이터 보안의 중요성이 나날이 커지면서 세계 주요국은 차량 데이터 보안을 위해 법제를 정비하고 있습니다.
EU는 2024년 1월 ‘데이터법(Data Act)’을 통과시켰습니다. 이 법에 따르면 차량 소유자의 요구 시, 자동차 제조사는 보험회사와 데이터를 공유할 의무가 있습니다. 이는 소비자의 데이터 주권을 강화하고 데이터 경제를 활성화하기 위한 조치로도 해석됩니다.
미국에서는 연방 차원의 포괄적인 법률은 아직 없지만, 주별로 다양한 움직임을 보이고 있습니다. 매사추세츠주의 차량 데이터 접근법(Vehicle Data Access Law)은 자동차 수리와 정비 업체의 차량 데이터 접근을 허용하려 하고 있습니다. 또한 캘리포니아주의 소비자 개인정보 보호법(CCPA)은 차량 데이터를 포함한 개인정보 보호에 강력한 규제를 적용하고 있습니다.
중국은 2021년에 ‘스마트 커넥티드카 데이터 공유 보안 요구 사항’ 및 ‘자동차 데이터 안전관리 규정’을 발표했습니다. 이 규정들은 자동차 제조사와 제3자 서비스업체 간의 안전한 차량 데이터 공유를 촉진하고, 데이터 처리자의 책임을 강화하는 것을 목표로 합니다. 특히 중국은 국가 안보를 이유로 데이터의 해외 이전을 엄격히 제한하고 있어, 글로벌 자동차 기업들의 중국 내 데이터 처리에 큰 영향을 미치고 있습니다.
국제적으로는 UN 유럽경제위원회(UNECE)가 제정한 자동차 사이버 보안 관리 체계인 CSMS(Cyber Security Management System) 인증이 중요한 기준으로 자리 잡고 있습니다. 이 인증은 2022년부터 유럽연합, 일본, 한국 등에서 의무화되고 있습니다. CSMS는 차량의 설계부터 폐기까지 전 과정에 걸친 사이버 보안 관리를 요구하는 것이 특징이라 할 수 있습니다.
글로벌 자동차 기업들의 대응 전략은?
그렇다면 각국의 자동차 산업과 연계된 기업들은 변화하는 정책과 규제에 어떻게 대응하고 있을까요?
먼저, 미국의 테슬라는 명확한 데이터 수집 정책을 수립하고 주기적으로 소프트웨어 업데이트를 통해 보안을 강화하고 있습니다. 포드는 데이터 익명화와 다층적 보안 프로토콜을 적용해 소비자 프라이버시 보호에 힘쓰고 있습니다.
유럽의 경우, BMW는 GDPR (General Data Protection Regulation, 일반정보보호 규정) 준수를 위해 모든 데이터 수집 및 처리 과정을 투명하게 공개하고 데이터 보호 책임자를 지정하여 데이터 보호를 감독하고 있습니다. 폭스바겐은 데이터 최소화 원칙을 준수하며 데이터 보호를 위한 기술적 조치를 지속적으로 업데이트하고 있습니다.
중국 역시 발 빠른 움직임을 보이고 있습니다. 대표적으로 바이두는 개인정보보호법(PIPL) 준수를 위해 명확한 데이터 정책을 수립하고 데이터 암호화 및 접근 통제 시스템을 도입했습니다. 알리바바는 데이터 주체의 권리 보장을 위해 데이터 접근 및 삭제 요청을 신속히 처리하는 시스템을 구현하고, 직원 교육을 통해 데이터 보호 인식을 제고하고 있습니다.
이처럼 글로벌 기업들은 각국의 규제와 국제 표준을 준수하면서도 자사의 기술력과 특성을 살린 다양한 데이터 보안 전략을 펼치고 있습니다. 이는 차량 데이터의 안전한 활용이 향후 자동차 산업의 경쟁력을 좌우할 핵심 요소가 될 것임을 시사하기도 합니다.
한국의 차량 데이터 보안, 어디까지 왔나.
한국 역시 차량 데이터 보안과 관련된 규제가 강화되고 있습니다. 개인정보 보호법, 정보통신망법, 위치정보법 등을 통해 개인정보 보호에 관한 규제를 시행하고 있으며, 자동차관리법을 통해 차량의 운행 기록, 정비 이력 등 관리 정보를 보호하고 있습니다.
이러한 규제 환경에 대응하여 국내 자동차 기업들도 다양한 노력을 기울이고 있습니다. 대표적으로 현대자동차 그룹은 글로벌 규제에 선제적으로 대응하기 위해 전사 태스크포스팀(TFT)을 구축하고, EU 데이터법에 맞춰 차량 주행 데이터의 공개 가능 범위와 종류에 대한 내부 기준을 재정비하고 있습니다. 또, 데이터 공유 과정에서의 보안 시스템도 점차 강화하고 있는 것으로 알려지고 있습니다.
데이터 기반의 통합 모빌리티 서비스를 제공하고 있는 차봇모빌리티 또한 이러한 시장 변화에 발맞춰 차량 데이터의 안전한 활용과 혁신적인 서비스 제공에 주력하고 있습니다. 지난해 현대차 그룹과의 커넥티드카 연동 서비스 론칭에 이어, 올해 초에는 차량 데이터 솔루션 기업 ‘드림에이스’와 MOU를 체결해 운전자 차량 데이터 기반의 차량관리 솔루션 사업을 확장하고 있습니다. 더 나아가 활용되는 데이터 보안 강화를 위한 안전장치 마련에도 노력을 꾀하고 있습니다.
커넥티드카 시대의 차량 데이터 보안은 개인정보 보호, 더 나아가 국가 안보까지 연결되는 복합적인 과제라 할 수 있습니다. 진정한 의미의 스마트 모빌리티 시대를 안전하고 효과적으로 열어가기 위해서는 정부, 기업, 그리고 소비자 모두가 이 문제의 중요성을 인식하고 협력해 나가야 합니다. 그리고 차봇 역시 시장의 주요 플레이어로서 자사 내부의 보안 정책 마련을 넘어, 운전자들이 사이버 보안에 대한 경각심을 갖고 안전한 운전 생활을 이어 나갈 수 있는 방안을 모색해 나갈 방침입니다.