[고양=뉴시스] 김선웅 기자 = 6일 경기 고양시 킨텍스에서 열린 2023 월드스마트시티 엑스포에서 자율주행 차량이 소개되고 있다. 2023.09.06.

<이미지를 클릭하시면 크게 보실 수 있습니다>

CPPA(캘리포니아 개인정보보호국)는 지난 8월 인터넷 접속이 가능한 자동차, 일명 '커넥티드 카'에 대한 조사에 착수했다. CPPA는 커넥티드 카 제조업체들이 차량에서 수집한 데이터를 어떻게 처리하는지 면밀히 들여다 볼 계획이다.

기술 발전에 따라 자동차로 수집할 수 있는 데이터가 늘어나자 이를 안전하게 관리할 수 있는 규제가 필요하다는 목소리가 나온다. 보험사나 기업이 이미 차량데이터를 이용한 영업에 나선 상황에서 해킹 등 사이버공격으로 정보가 유출될 경우 2차 피해 발생 우려가 크기 때문이다.

실제로 지난 4월 테슬라 직원들이 자율주행 기술 개발을 위해 자사 차량에서 녹화된 고객 영상을 불법적으로 공유한 사실이 전(前) 직원들의 폭로로 드러나기도 했다. 이들은 고객의 알몸 영상이나 사고 영상 등 사적인 영상까지도 서로 돌려본 것으로 나타나 충격을 줬다.

육지희 KIET(산업연구원) 산업통상연구본부 연구원이 최근 작성한 보고서에 따르면 글로벌 시장조사업체 분석 결과 차량데이터 시장은 2021~2028년 연평균 38.5%씩 성장해 2028년에는 약 869억 달러(약 116조원)에 달할 전망이다. 차량데이터 관련 사이버보안 시장 역시 2022년 31억 달러(약 4조원)에서 연평균 18.15% 성장하며 2032년에는 164억3000만 달러(약 22조원)까지 확대될 것으로 예측된다.

보고서에 따르면 미국이나 유럽 주요국가들은 차량데이터 산업 확대에 따른 정보 유출의 위험성을 인지하고 보안 정책을 강화해 나가고 있다. 미국의 경우 고속도로교통안전국에서 보안 및 개인정보보호를 규정하고 있고 EU는 데이터보호위원회에서 관련 가이드라인을 제시하고 있다. 국내 기업들은 ISO/SAE 21434, ISO 27001 등 국제 표준 제도를 따르고 있다.

육 연구원은 차량데이터 보안 관련 규제 중 CSMS(유럽경제위원회 사이버보안 법규) 인증제를 주목하며 이같은 규정을 국내도 마련해야 한다고 지적했다. CSMS 인증은 차량용 SW(소프트웨어)와 전기·전자 부품에 대한 사이버보안 위험을 식별·분류·평가하고 이에 따른 보안 조치 역량을 갖춘 기업에 발급하는 인증이다. 유럽에서는 이 인증을 획득한 기업만 차량을 판매할 수 있다.

현재 국내에서는 국토교통부가 CSMS를 바탕으로 자동차 사이버보안 가이드라인을 만들어 배포하고 있을 뿐 관련 법과 제도가 마련돼있지 않다. 국토부 가이드라인에 CSMS 인증을 위한 사이버보안의 관리체계 및 요건, 제조사 권고사항 등이 명시돼 있지만 권고사항일 뿐 의무사항은 아니다. 또 CSMS는 형식승인 기반이지만 국토부 가이드라인은 자기인증과 형식승인 등 체계와 무관한 내용만 담겼다.

육 연구원은 "현재 CSMS 인증이 대표적인 사이버보안 제도이고 한국은 해당 인증을 획득했기 때문에 국내 시장에 미치는 영향이 크지는 않다"면서도 "향후 미래차 기술이 개발됨에 따라 차내에 탑재하는 SW 및 전장부품의 사이버보안 규정 또한 강화될 것이고 사이버보안 인증 획득을 위한 요건이 복잡해지면 수출 경쟁에서 뒤쳐질 가능성이 있다"고 말했다.

이어 "통상 관점에서 기업은 미래차 시장의 발전과 확대에 따라 도입되는 관련 규제를 확인하고 이에 대응하는 방안을 신속히 마련할 필요가 있다"며 "정부 역시 미래차 및 차량데이터 관련 글로벌 정책과 규제 동향을 확인하고 국내 기업에 미칠 수 있는 부정적 영향을 최소화하는 정책 도입이 필요하다"고 덧붙였다.

이정현 기자 goronie@mt.co.kr

ⓒ 머니투데이 & mt.co.kr, 무단 전재 및 재배포 금지