기아는 올초 소셜미디어 때문에 홍역을 치렀습니다. 틱톡에서 인기를 끈 '기아 챌린지' 때문입니다. usb 선만 있으면 특정 연도 기아차는 쉽게 훔칠수 있다는 겁니다.(현대차도 마찬가지입니다.) 방법을 언급하긴 망설여집니다. 정말 쉬워보여섭니다. 이걸 하는 친구들을 '기아보이즈'라고 부른답니다.
현대기아차는 이미 대규모 리콜을 했습니다. 보상책도 내놨습니다. 2억 달러, 우리돈 2천 6백억 원이상을 내놓기로 했습니다. 이 때 기아 측은 차량 도난 사건에 대한 "법적 책임이 없음에도 불구하고" 현지 소비자와의 신뢰를 회복하기 위해 피해 보상에 합의'한다고 했습니다.
그런데 기아와 현대차가 다시 한 번 "법적 책임이 없음에도 불구하고" 홍역을 치를 것 같습니다. 이번엔 개인정보 보호 때문입니다.
■ 기아차, 고객의 성생활 정보를 수집한다
미국의 모질라 파운데이션이란 단체가 있습니다. 파이어폭스란 인터넷 브라우저를 만든 곳입니다. 온라인 데이터 공개에 관심이 많고, 또 개인정보보호에 관심이 많습니다. 이 곳에서 자동차 회사들과 관련한 조사를 진행했습니다. 자동차사들이 얼마나 개인정보를 보호하려고 애쓰고 있고, 또 개인정보 탈취를 피하려면 어떻게 할 지를 알립니다.
전반적으로 자동차 회사들이 엉망이란게 보고서 요점입니다. (특히 테슬라는 최악이라고 합니다.) 그런데 현대차와 기아 관련 부분이 심상치 않습니다. 우선 기아입니다.
닛산과 함께 언급하는데, 지금까지 본 가장 소름끼치는(The creepiest) 사례라며 말을 꺼냅니다.
| 닛산은 당신의 성적 활동(sexual activity)에 대한 정보를 수집합니다. 기아도 사생활 정책에 '당신의 성생활(sex life)' 정보를 수집할 수 있다고 언급했습니다. 자동차 회사들의 개인정보 정책을 읽는 건 정말 무서운 도전(scary endeavor)입니다. |
단체에서 요약한 기아의 커넥티드 서비스에서 수집하는 데이터 가운데 관련 항목을 모아봤습니다. 성적 정보(sex and gender information)와 유전적 정보(genetic information), 성 생활(sex life) 성적 지향 정보(sexual orientation information) 등이 포함되어 있습니다.
단체는 그러면서 '자동차 제조업체가 그런 정보를 수집해야하는 "좋은" 이유가 있나요? 아닐걸요? 라고 질문 형식의 비판을 합니다. 최대한 넓은 범위의 자료 수집을 위해 작성된 것으로 보이는데, 태양 아래 모든 개인 정보일 수 있다고 비꼽니다.
| 기아차는 이 산더미 같은 데이터를 사용해서 '추론( inferences)'이라고 부르는 작업을 거쳐 새 정보도 만들어냅니다. 더 많은 데이터를 만들어냅니다. 당신이 가는 모든 곳에서 당신에 대해 매우 친밀한 것들을 그들이 알고 있다는 사실을 고려할 때 그건 더욱 소름끼칩니다.(That’s extra creepy) |
■ 현대차, 정부가 합법적 요청을 하면 '비공식'적으로도 정보를 줄 수 있다
현대차도 유사한 문제가 있습니다. 그러나 반복하지 않겠습니다. 모질라는 또다른 문제를 지적합니다. 정부에 개인정보를 제공하는 문제와 관련해섭니다.
| 어떤 자동차 회사도 모질라의 개인정보 표준에 부합하는 언어를 사용하지 않습니다. 그런데 현대는 한걸음 더, 한 수준 더 나아갔습니다 .(Hyundai goes above and beyond.) 현대의 개인정보 보호 정책을 보면 그들은 "합법적인 요청이라면, 공식적이든 비공식적이든' (Lawful requests, whether formal or informal.) 정보를 제공해달라는 정부 요청에 응할 것"이라고 되어 있습니다. 이건 정말 심각한 '빨간불'에 해당합니다. |
그러니까 정부의 '비공식적인 요청'에도 응할 수 있다는 것이 문제입니다. 모질라가 보기에 '정말 불법적인 행위에 연루되어 있는 사람에 대해 공식적인 요청이 있을 경우에 매우 제한적으로 응해야 하는 것'이 개인정보 제공 요청이기 때문이지요.
이게 문제가 더 심각한 이유는 현대차가 굉장히 많은 정보를 수집하기 때문이라고 합니다. 살펴보면 현대차는 'my Hyundai with Bluelink'앱을 이용해서 더 많은 정보를 수집합니다. 앱사용 데이터, 계정 정보, 제3자 정보, 전화기 위치 등이 추가됩니다. 또 자동차 연결 서비스를 이용하면 '다른 운전자와 승객이 당신의 개인정보에 접근할 수 있다'고 경고합니다. 게다가 현대차 딜러, 공공출처, 계열사와 협력업체와 데이터 집계-중계업체, 정부기관 등으로부터도 정보를 수집합니다.
이 산더미 같은 데이터를 가지고 '비공식적 정부의 요청'에 응할 수 있다는게 문제라는 겁니다. 그러면서 이렇게 비꼽니다.
| 그럼 경찰은 부탁한다고 말할 필요도 없다는 뜻인가요? (Does that mean the police don’t even have to say please?) 현대차가 비공식적 요청 만으로 개인정보와 자동차 정보, 정확한 위치정보를 사법당국과 정부에 공유할 수 있다고 밝힌 것은 참으로 두려운(truly frightening) 일입니다. 잘못된 활용의 가능성은 어마어마하게 높은데(Sky high) 말입니다. |
■ 자동차 회사들 전반이 개인정보 보호에 있어서 최악
오해하지는 마셨으면 좋겠습니다. 모질라 측이 현대차와 기아에만 이렇게 모질게 평가한 것은 아닙니다. 오히려 '자동차 업계 전반이 지금까지 살펴본 가장 개인정보에 둔감한 편'에 속한다고 했습니다. 특히 앞서 밝혔듯, 테슬라는 최악입니다. 모질라가 정한 다섯개 기준 모두에서 문제적인 유일한 자동차 회사였습니다.
기아와 현대는 4개 부문에서 기준 미달이었습니다. 토요타나 포드, 아우디, 벤츠, 렉서스, 혼다, 쉐보레, 폭스바겐과 같습니다. 다만 국내에서 판매량이 가장 많은 자동차 업체인 만큼, 더 소상히 알아야 할 필요성이 있다는 이야기입니다.
참고로 기아 미국 법인에서는 "소비자로부터 성생활 또는 성적 지향 정보를 수집하지 않고 있으며 수집한 적도 없다"면서 "사생활 보호 정책에 포함된 해당 카테고리는 캘리포니아 소비자 개인정보 보호법(CCPA)에 정의된 민감한 정보 유형의 예일 뿐"이라고 해명했습니다.