[ESG NOW] 자율주행(FSD)…내 데이터 존중받고 있을까

‘달리는 컴퓨터’ 테슬라 FSD가 던진 숙제

요즘 테슬라의 FSD(운전자 감독형 자율주행기능)가 국내 도로에서도 실제 작동하는 모습이 동영상 사이트 등을 통해 공유되면서 관심이 커지고 있다.

정부 당국은 FSD 주행 중 사고가 발생하면 법적 책임은 운전자에게 있다는 점을 분명히 하고 있다. 자동차 자율주행 기술이 한 단계 더 진화했음을 보여주는 장면이다.

또 다른 변화에 주목할 필요가 있다. 자동차가 더 이상 ‘이동 수단’만이 아니라 카메라·센서·통신으로 움직이는 ‘데이터 플랫폼, 커넥티드카’가 됐다는 사실이다.

임병락 법무법인 화우 ESG센터 전문위원. [사진=법무법인 화우]

커넥티드카는 운전자의 편의를 높이기 위해 끊임없이 데이터를 만든다. 내비게이션을 쓰는 순간 위치정보가 쌓이고, 안전 기능을 쓰는 순간 주행 패턴이 기록된다. 음성 명령을 쓰면 차량 내부의 소리 데이터가, 주변 인식 기능이 켜지면 도로 환경의 영상 데이터가 생성된다.

문제는 데이터가 생성된다는 사실 자체가 아니라, 그 데이터가 어떤 목적으로, 누구에게, 얼마나 통제된 상태에서 활용되는지가 점점 불투명해지고 있다는 점이다.

이때 차량 데이터는 생각보다 쉽게 개인정보가 된다. 출퇴근 경로와 시간대는 생활권을 드러내고, 자주 들르는 장소는 개인의 취향과 관계를 드러낸다. 급가속·급제동 빈도 같은 주행 행태는 운전 성향을 넘어 보험료·신용평가 같은 민감한 판단에 영향을 줄 수 있다.

한번 외부로 공유된 데이터는 다시 회수하기 어렵고 커넥티드 서비스의 약관 동의 한 번으로는 소비자도, 기업도 이 리스크를 충분히 관리하기 어렵다.

이 경고를 잘 보여준 사례가 최근 미국 GM의 OnStar(차량 커넥티비티 서비스) 논란이다. 지난해 GM이 운전자의 급제동·급가속 기록 등 상세 주행 데이터를 운전자가 인지하지 못한 상태에서 데이터 브로커에게 넘겨왔다는 사실이 언론을 통해 드러났다.

나도 모르는 사이에 내 운전 습관이 보험료 인상 등의 근거로 쓰였다는 사실에 미국 소비자들은 분노했다. 집단 소송이 이어졌다.

결국 GM은 해당 데이터의 외부 공유 파트너십을 전면 중단하겠다고 선언했다. 이 사례의 핵심은 단순한 ‘법 위반 여부’를 넘어, 고객이 예상하지 못한 방식으로 데이터가 활용될 때 기업이 감당해야 하는 신뢰의 비용이 얼마나 큰지를 보여주었다는 점이다.

모빌리티 데이터가 편의 서비스의 부산물만이 아니라, 기업의 데이터 거버넌스와 책임 체계를 시험하는 자산임이 확인된 것이다.

유럽은 다른 방식으로 비슷한 결론에 도달하고 있다. 유럽연합(EU)은 커넥티드 제품에서 생성되는 데이터의 접근과 활용 규칙을 재정립하는 EU 데이터법(Data Act)을 도입했다. 올해 9월부터 EU 전역에서 적용되고 있다.

유럽 시장에서 사업을 하는 기업은 개인정보규정(GDPR)을 준수해야 하는 것은 물론이고, 커넥티드 제품에서 생성되는 데이터에 대한 권리와 접근 구조까지 설계해야 한다. 커넥티드카 경쟁은 ‘누가 더 많은 데이터를 갖느냐’가 아니라, ‘누가 데이터 권리를 더 정교하게 설계하느냐’로 이동하고 있다.

그렇다면 기업들은 무엇을 준비해야 할까. 커넥티드카 프라이버시는 완성차 제조사만의 문제가 아니다. 내비게이션·지도 서비스, 차량용 앱 생태계, 통신·클라우드 업체, 보험·정비 업체 등 모빌리티 플랫폼 전반이 데이터로 연결돼 있다.

데이터가 전체 가치사슬을 타고 흐르는 구조에서는 한 부분의 취약점이 전체 브랜드의 취약점으로 이어질 수 있다. 기업이 고민해야 할 것은 깨알 같은 동의서 문구가 아니라, 실제로 작동 가능한 데이터 거버넌스를 어떻게 구축할 것인지 대한 것이다.

첫째, 수집 목적을 쪼개고(목적 제한), 꼭 필요한 만큼만 모으는 것(최소 수집)이 출발점이다. 안전 기능 고도화를 위한 데이터와 마케팅·제휴 목적 데이터는 동일 선상에서 취급되기 어렵다.

민감도가 높은 데이터(정밀 위치, 운전 성향 분석, 영상·음성 등)는 기본값을 보수적으로 설정하고, 기능별로 사용자에게 선택권을 제공해야 한다.

둘째, 고지와 동의는 법무 문서가 아니라 사용자 경험(UX)으로 설계해야 한다. 고객이 내 데이터가 어디로 가는지를 이해할 수 있어야 신뢰가 생긴다. 동의를 받아 놓고도 분쟁이 발생하는 기업의 공통점은 동의의 형식은 갖췄지만 동의의 실질을 만들지 못했다는 점이다.

셋째, 제3자 제공과 위탁을 계약 조항이 아니라 통제 체계로 관리해야 한다. 어떤 데이터가 누구에게, 어떤 항목으로, 어떤 주기로 제공되는지 내부적으로 상시 추적할 수 있어야 하고, 제3자에게 제공한다면 그 필요성과 범위를 설명할 수 있어야 한다.

앞으로 기술은 더 빠르게 발전할 것이다. 한국에서 FSD가 작동하기 시작한 것도 그 신호다. 모빌리티 혁신의 승부처는 ‘얼마나 잘 달리느냐’만이 아니다. 얼마나 투명하게 설명하고, 얼마나 책임 있게 통제하며, 얼마나 믿을 수 있게 운영하느냐가 진짜 경쟁력이 된다.

커넥티드카 시대의 ESG 경영은 거창한 구호가 아니라, 고객이 매일 타는 차량에서 ‘내 데이터가 존중받고 있다’는 인식을 만들어내는 데서 시작된다.

임병락 전문위원(법무법인 화우 ESG센터) bllim@yoonyang.com