폭스바겐의 자회사이자 소프트웨어 업체인 카리아드(Cariad)에서 대규모 데이터 유출 사고가 발생했습니다. 전기차를 소유한 약 80만 명의 개인정보 데이터가 온라인에 공개되어 몇 달 동안 누구나 접근할 수 있었던 것으로 밝혀졌습니다. 폭스바겐뿐 아니라 자회사인 세아트(Seat), 아우디(Audi), 스코다(Skoda) 차량들도 영향을 받았습니다.

80만 명 개인정보 유출… 폭스바겐 사건의 전말 

2024년 12월 27일 독일 주간지 슈피겔에서 단독 보도한 바에 따르면 이번 사고는 독일 이외에도 폭스바겐과 폭스바겐 자회사 전기차를 보유한 전 세계 사람들이 영향을 받았다고 합니다. 온라인에 노출된 데이터에는 고객 개인정보(이름, 연락처 등)와 GPS 위치추적 데이터가 포함되어 있었습니다. 무엇보다 GPS 로그 데이터가 노출되었다는 것은 조금 더 심각한 의미로 다가옵니다. 한 개인이 특정 시간대에 자동차가 집에 주차되어 있는지, 고속도로를 주행 중인지, 또는 특정 장소에 위치하고 있는 지까지 확인할 수 있기 때문입니다. 만약 PII(개인 식별 정보)와 결합하게 된다면 어떤 사람의 생활 패턴을, 나아가 어떤 삶을 살고 있는지를 거의 정밀하게 추적해 낼 수 있는 수준이기 때문입니다. 문제는 이런 개인정보들이 아마존 클라우드 스토리지 시스템에 아무런 보호 장치나 별다른 조치 없이, 수개월간 외부 인터넷망에 고스란히 연결되어 있었다는 것입니다. 이번 사건은 해커 협회 Chaos Computer Club(CCC)의 경고를 통해 밝혀졌으며, 익명의 해커로부터 제보를 받은 것으로 전해졌는데요. 제보자에 따르면 클라우드 스토리지의 소유자는 폭스바겐의 소프트웨어 개발 자회사 카리아드였다고 합니다.

업체 측에서 클라우드 설정을 하면서 휴먼 에러를 범했던 것입니다. 카리아드는 폭스바겐 그룹 내에 있는 모든 전기차에 사용할 수 있는 전용 플랫폼을 개발한다는 목표를 가지고 설립된 회사로, 모든 전기차 데이터가 한 곳으로 모이는 스토리지였습니다. 해커들 입장에선 시스템의 보안취약점만 뚫어내면 폭스바겐사 전기차 고객들의 개인정보를 한 번에 입수할 수 있는 고가치 표적(HVT)이 될 수밖에 없었습니다. 문제는 핵심 데이터를 부주의하게 노출한 폭스바겐의 관리 부실과, 본사조차 이러한 상황을 인지하지 못했던 점에서 드러난 안일함이었습니다.

폭스바겐 측은 해당 데이터가 몇 달 동안 누구나 접근가능한 상태였지만, 실제로 누군가가 이를 악용한 증거는 없는 것으로 보인다고 밝혔습니다. 더불어 카리아드는 민감한 데이터는 노출되지 않았다고 주장하면서, 비밀번호나 결제 데이터는 영향을 받지 않았기 때문에 고객들의 별도 조치를 취할 필요는 없다고 말했습니다. 개별 데이터에 접근하는 과정 또한 높은 수준의 전문 지식과 상당한 시간 투자가 필요하고 말하며, 특정 사용자의 데이터를 결론지으려면 여러 보안 메커니즘을 우회하고 다른 데이터 세트와 결합되어야 된다고 말했습니다.

하지만 이번 사건이 특별히 심각한 문제가 된 건, 정치계에서 활동하고 있는 인물들이 온라인에 공개된 80만 명 중에 포함되어 있었기 때문입니다. 슈피겔에 의하면 나드야 바이페르트(Nadja Weippert)와 마르쿠스 그뤼벨(Markus Grübel)이 피해자 목록에 있었다고 하는데요. 바이페르트는 현재 독일녹색당 데이터 보안 문제 담당 대변인이고, 과거 토슈테트 시의 시장이었습니다. 또한 마르쿠스 그뤼벨은 연방의회 의원, 즉 독일연방의 국회의원이었습니다. 독일내 두 주요 정계인사들이 매일 어떤 스케줄을 소화하고 어떤 위치에 나타나는지에 대한 일거수일투족이 고스란히 노출된 것입니다. 그 뿐만이 아닙니다. 정부 기관 요원들과 주요 기업들의 임원들, 함부르크 경찰과 관련된 정보들도 대량 섞여 있었던 것으로 알려졌습니다. 특히 ID.3와 ID.4의 경우 시동이 언제 켜졌는지, 또 언제 어느 위치에서 몇 시 몇 분에 정확히 시동이 꺼졌는지 까지도 노출된 데이터에 포함되어 있었고, 2024년 이전 데이터까지도 포함되었다고 밝혀졌습니다.

자율주행 시대의 보안 과제, 데이터가 흉기로 변할 때

자동차는 점점 디지털화되고 있습니다. 그리고 자율주행을 포함한 각종 첨단 기술이 적용되고 있습니다. 흔히들 말하는 '바퀴 달린 스마트폰'이라고 볼 수 있습니다. 일각에서는 이제 개인의 모든 것을 담고 있는 '디지털 금고'가 되어간다고 해도 과언이 아닙니다. 이번 폭스바겐 사태는 지금까지 고객들의 개인정보를 등한시했던 자동차 업계에서는 묵직한 경고로 받아들여야 하는 이유이기도 합니다. 하지만 일련의 사태의 중심에 있는 데이터 스토리지의 보안 자물쇠는 너무나 허술했습니다. 전세계에서 완성차 기업 top5 순위권에 위치한 대기업인 폭스바겐 조차도 약 백만명에 달하는 피해자를 냈을 정도입니다.

거기다 이런 기업들은 통상, 자력으로 데이터 웨어 하우징이나 소프트웨어 개발을 하지 않고 별도의 외부 기업이나 위탁업체에 아웃소싱을 하게 되는데, 이 과정에서 지속적으로 보안사고가 발생하고 있는 거 죠. 그리고 특히 이런 외부 기업들이나 스타트업들은 상대적으로 자체 보안 시스템에 대한 투자도 부족합니다. 결과적으로 고객들의 모든 데이터는 해커들에게 노출되면서 개인 일거수일투족이 전부 감시당할 수 있게 된 것입니다. 더욱 큰 위기는 자율주행 기술이 고도화될수록 자동차 데이터의 가치는 더욱 높아진다는 것입니다. 자율주행 시스템은 주변 환경을 정확하게 인식하고 판단하기 위해 방대한 양의 데이터가 요구되는데요. 만약 자동차 데이터가 해킹혹은 조작될 경우, 자율주행 차량은 도로 위의 흉기로 돌변할 수도 있습니다. 이번 사태는 소프트웨어와 데이터 보안관리 문제에 대한 자동차 업계의 과제를 드러냈다고 하는 것이 바로 이런 이유에서입니다. 폭스바겐은 이번 사태에 대해 보안절차를 개선하고 보안시스템을 강화하겠다는 입장을 밝혔지만, 깨진 신뢰는 쉽게 회복되지 않을 것으로 보입니다.

보안 강화의 첫걸음, 데이터 포트리스와 규제의 필요성

문제는 현재 자동차에서 생성되고 수집되는 데이터에 관한 규정조차 제대로 수립되어 있지 않다는 것입니다. 자동차 구매자들이 할 수 있는 최선의 방안은 조심하는 것 이외에 없기 때문에 더욱 위험합니다. 자동차 제조사들은 되도록이면 고객데이터를 적당히 수집해야 하지만, 한편으로는 더 많고, 다양한 고객 데이터를 확보하는 것은 마케팅 측면에서 매우 유리하기 때문에 데이터수집에 대한 공지를 고객에게 고지하든, 고지하지 않든 최대한 수집하려 들 것입니다. 소비자들은 본인이 타고 있는 자동차가 차주와 관련된 정보를 생각보다 훨씬 많이 가져가고 있다는 것을 반드시 인지하고 문제를 제기해야 합니다. 물론 소비자 한 사람 한 사람의 개별 행동만으로 얻어낼 수 있는 결과는 그리 많지 않을 수 있습니다. 그렇기 때문에 차량 데이터는 차량 소유주의 것이라는 걸 분명히 하는 목소리를 다 같이 낼 필요가 있습니다. 소비자 단체로 제조회사들에 문의하고, 불만을 제기하며, 시정을 꾸준히 요구하면서 기업의 문을 두드릴 수도 있고, 어떤 차량모델이 어떤 데이터를 수집해 어떻게 활용하고 있는지를 널리 알려 일반 소비자들이 해당 차량 구매 시 한 번 더 고민할 수 있게끔 해서 기업들을 움직이게 해야 하겠죠.

기업 역시 이런 자율주행 시대에, 소비자 안전의 첫걸음은 보안이라는 것을 깊이 새겨야 합니다. 데이터 웨어하우징 대신 데이터 포트리스(Data Fortress)가 필요합니다. 익명화나 암호화 등 제도적 보완을 하는 한편 전체적인 보안 인프라에도 투자를 아끼지 말아야 합니다. 정부 역시 자동차 데이터 보호 규제를 강화하고, 운전자의 개인 정보를 철저하게 보호해야 합니다. 강력한 규제나 컴플라이언스가 없다면 기업들은 굳이 보안시스템에 비용을 지출하지 않을 것이고, 소비자 역시 어떤 개인정보데이터를 어떻게 가져가는지 모르는 상황에서 리스크에 노출될 수밖에 없을 것입니다.