글로벌 자동차 기업들이 차량 소유주의 정치적 견해나 유전 정보까지 수집하고 있다는 외신의 지적이 나왔다.

특히 국내 기업인 기아자동차는 심지어 차량 소유주의 성생활과 관련된 내밀한 개인 정보까지 수집하고 있다고 지적됐다.

지난 5월 테슬라가 전현직 직원과 고객, 협력업체의 고객 개인정보가 보호되지 않고 있다고 내부직원의 충격적인 내부 고발이 나온 바 있다.

영국 일간 가디언은 현지시간으로 6일 미국의 비영리단체 '모질라 재단'이 전 세계 25개 자동차 기업을 대상으로 조사한 결과, 모든 업체가 필요 이상으로 많은 개인 정보를 수집했으며 수집한 정보를 차량 운행 등과 무관하게 사용한 것으로 드러났다고 보도했다.

조사 대상 업체의 84%는 차량 소유주로부터 수집한 개인 정보를 서비스 제공업체나 정보 중개업자 등과 공유할 수 있다고 밝혔다. 또 76%는 수집한 개인 정보를 판매할 수 있다고 했다.

자동차 업체들이 수집하는 정보는 운전 속도, 차량 목적지 등 운행 정보는 물론 차 안에서 듣는 음악, 의료 및 유전 정보, 성생활 관련 정보에 이르기까지 광범위했다. 가디언은 "자동차가 운전자들에게 '사생활 악몽'을 안겨줬다"고 지적했다.

닛산은 수집하는 정보에는 "성적 활동"(sexual activity)이 포함돼 있으며 기아도 개인 정보 처리 방침에 "성생활"(sex life) 정보를 수집할 수 있다고 명시했다.

특히 기아의 개인 정보 처리 방침에는 성생활 외에 "성적 성향, 인종이나 민족, 종교적·철학적 신념, 정치적 견해, 노조 가입" 등을 포함한 "특수 범주의 정보"도 처리할 수 있다고 되어 있다고 가디언은 전했다.

이에 기아 미국법인은 "소비자로부터 성생활 또는 성적 지향 정보를 수집하지 않고 있으며 수집한 적도 없다"면서 "사생활 보호 정책에 포함된 해당 카테고리는 캘리포니아 소비자 개인정보 보호법(CCPA)에 정의된 민감한 정보 유형의 예일 뿐"이라고 말했다.

조사 대상 업체 중 운전자가 개인 정보를 삭제할 권리가 있다고 밝힌 업체는 닛산-르노-미쓰비시 얼라이언스 산하인 르노와 다치아 등 2곳뿐이었다.

이 두 업체는 유럽에 본사를 두고 있어 세계에서 가장 엄격한 수준의 개인정보 보호법인 유럽연합(EU)의 일반정보보호법(GDPR)을 적용받는다.

고객 개인 정보 유출 논란으로 도마 위에 올랐던 전기차 업체 테슬라는 이번 조사에서도 보안, 데이터 통제, 인공지능(AI) 등 모든 평가 기준을 충족시키지 못한 것으로 나타났다.

테슬라는 올해 초 직원들이 고객 차량의 영상 자료 등을 공유하는 등 개인 정보를 제대로 보호하지 못하고 있다는 비판을 받았다.

모질라 재단은 조사 대상 업체들이 개인 정보 암호화 등 최소한의 보안 기준을 충족시키고 있는지는 확인할 수 없었다고 밝혔다.

최근 몇 년간 자동차 업계가 전기차 전환, 무선 네트워크 서비스 확대 등에 속도를 내면서 자동차 업체들이 수집할 수 있는 개인 정보도 늘어나고 있다는 지적이 나온다.

자동차 소프트웨어에 무선 네트워크를 결합해 차량 이용 편의를 높이는 커넥티드 서비스, 구글 지도 등을 통해 수집한 운전자의 정보를 토대로 운전자의 관심사 등 더 많은 정보를 생성할 수 있다는 것이다.

컨설팅 업체 맥킨지는 자동차 업체들이 차량 호출, 차량 내 애플리케이션, 무선 소프트웨어 업그레이드 등 새로운 서비스를 도입하면 1조5천억달러(약 2천조원)에 달하는 추가 수익을 올릴 수 있다고 예상하기도 했다.

하지만 차량에 인터넷이 더 많이 연결되고 자율 주행이 가능해지면 더 큰 혼란이 야기될 것이라는 우려도 일부 전문가들 사이에서 나오고 있다고 가디언은 덧붙였다.

고객 개인정보와 관련 세계 각국은 강력한 법적 제재를 강화하는 추세다.

아일랜드는 지난 5월 페이스북 모기업 메타플랫폼(이하 메타)이 아일랜드 유럽본부에 대해 개인정보보호법 위반을 이유로 역대 최대 과징금 폭탄을 받은 바 있다.

아일랜드 데이터보호위원회(DPC)는 22일(현지시간) 메타에 개인정보보호법 위반을 이유로 12억유로(약 1조7,천00억원)의 과징금을 부과했다. 아일랜드 당국의 조치는 유럽연합 27개 회원국을 대표한 것이다.

DPC는 또 메타에 앞으로 6개월 이내에 이용자들의 관련 데이터를 미국으로 전송하는 것을 중단하고, 관련 데이터를 삭제하라고 명령했다.

이번 과징금 액수는 유럽연합(EU) 내에서 개인정보보호법 위반으로 부과된 것 중 역대 최고액이다.
2021년 룩셈부르크가 세계 최대 전자상거래 업체 아마존에 물린 7억4,600만유로(1조600억원)의 1.5 배를 넘는 수준이다.

한국도 동의 없이 이용자의 행태정보를 수집해 맞춤형 광고를 한 메타에 대해 2년 연속 과징금을 부과했다. 개인정보위원회는 지난해(308억원)에 이어 지난 7월 74억원의 과징금을 부과했다. 개인정보위는 메타아일랜드와 인스타그램에 각각 65억1,700만원과 8억8,600만원의 과징금을 부과했다.

개인정보보호위원회는 2018년 7월 14일 이전 한국 이용자에게 페이스북과 인스타그램 서비스를 제공한 메타 아일랜드와 인스타그램이 이용자의 타사 행태정보를 수집해 맞춤형 광고로 수익을 창출하는 과정에서 이용자로부터 적법한 동의를 받지 않았다.