[보안뉴스 김형근 기자] 미국 자동차 기업 제너럴 모터스(GM)가 고객 동의 없이 주행 데이터를 수집·판매한 것으로 드러났다. 이에 캘리포니아주와 1275만 달러 규모의 합의금을 지불하기로 했다. 이는 캘리포니아 소비자 개인정보보호법(CCPA) 역사상 단일 기업에 부과된 가장 큰 수준의 벌금으로 기록됐다.

보안 전문매체 더 레코드 등 외신 보도에 따르면 GM은 긴급 지원 서비스인 온스타(OnStar)를 통해 수백만 명의 위치 정보와 주행 습관을 수집해 온 것으로 드러났다.


[출처: 연합]

조사 결과, GM은 수집한 주행 데이터를 베리스크와 렉시스넥시스 등 데이터 브로커에게 팔아 약 2000만 달러의 수익을 챙겼으며, 이 데이터는 다시 보험사들로 넘어가 고객들의 보험료를 인상하는 결정적 근거로 악용됐다.

GM은 “데이터를 팔지 않는다”는 거짓말로 사용자들을 속였으며, 수집한 정보를 필요 이상으로 장기간 보관하며 안보 시스템을 유린했다.

특히 유출된 정보에는 운전자의 일상적인 습관과 이동 경로가 포함돼 있어, 악용될 경우 심각한 사생활 침해로 이어질 수 있다.

이번 합의에 따라 GM은 향후 5년간 데이터 브로커에 대한 주행 정보 판매를 중단해야 하며, 기존 데이터도 180일 이내에 삭제해야 한다. 또 이미 정보를 사들인 브로커들에게 해당 데이터의 영구 삭제를 요청하는 등 보안 침해 내용을 즉각 지우기로 했다.

비록 캘리포니아주는 강력한 개인정보 보호법을 방패 삼아 최악의 사태를 면했으나, 규제의 사각지대에 놓인 다른 주의 사용자들은 자신의 주행 정보가 보험사에 넘겨지는 과정을 속수무책으로 지켜봐야 했다.

자동차 제조사가 차량 상태 점검과 서비스 개선을 명분으로 주행 데이터를 수집하는 기존 규정을 교활하게 악용해 고객의 명시적 동의 없이 민감한 정보를 외부 브로커에게 판매해 안보 유린을 자행한 사건이다.

결국 기업이 약탈한 데이터가 개인의 안보를 위협하는 음해성 무기로 돌변할 수 있음을 보여주는 사례로, 통합적인 데이터 관리 기강이 시급함을 시사한다.

[김형근 기자(editor@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>