By admin 
최근 Avis 고객 약 30만 명의 기밀 정보가 노출된 데이터 침해 사건은 렌터카 업계의 심각한 취약점을 드러냈습니다.
그러나 운전자가 렌터카를 이용할 때 종종 간과되는 또 다른 보안 위험이 있습니다. 바로 렌터카의 인포테인먼트 시스템에 모바일 기기를 동기화할 때 모르게 개인 데이터를 남기는 것입니다.
개인정보 보호 전문가에 따르면, 이런 겉보기에 무해한 행위가 연락처 목록, 음성 및 문자 메시지, 비밀번호, 차고 코드, GPS 데이터, 의료 및 금융 정보 등 민감한 정보를 대량으로 노출시킬 수 있다고 합니다.
자동차는 바퀴 달린 컴퓨터에 가까워지면서 데이터 프라이버시 문제로 인해 더욱 엄격한 조사를 받고 있으며, 2030년까지 판매되는 승용차의 95% 이상이 내장형 연결 기능을 갖출 가능성이 높습니다. 이는 국가 안보 우려 수준에 도달했으며, 바이든 행정부는 이번 주에 중국 하드웨어나 소프트웨어가 장착된 모든 커넥티드 카가 미국 시장에 출시되는 것을 금지하려고 한다고 발표했습니다.
사이버보안 전문가이자 Privacy4Cars의 설립자인 안드레아 아미코에 따르면, 많은 렌터카가 이미 존재하며, 이러한 차량의 인포테인먼트 시스템은 휴대폰을 연결할 때마다 사용자의 정보를 저장하는 디지털 금고와 같으며, 수동으로 삭제할 때까지 해당 정보가 그대로 유지되어 다른 렌터, 렌터카 직원, 자동차 제조업체, 사이버 범죄자가 접근할 수 있습니다.
사이버 보안 위험에 특화된 보험사인 하트포드 스팀 보일러의 최고 제품 및 위험 책임자인 제임스 하자르는 이 위협을 아는 소비자가 거의 없으며, 이를 방지하기 위한 조치를 취하는 사람은 더욱 적다고 말했습니다. 하자르에 따르면, 57%의 사람들이 스마트폰을 렌터카와 동기화하고, 이 중 절반도 안 되는 사람들이 차량을 반납하기 전에 프로필과 데이터를 삭제하는 것을 기억합니다.
이 정보를 삭제하지 않는 것은 단순히 프라이버시 문제가 아니라 보안 문제입니다. Amico는 GPS 데이터가 집, 직장 및 기타 자주 방문하는 장소로 이어지는 빵가루 역할을 할 수 있다고 말하며, 충분한 데이터 포인트가 있으면 악의적인 행위자가 일상을 지도에 표시하고 심지어 그 데이터를 소셜 미디어 계정에 연결하여 악용될 수 있는 자세한 프로필을 만들 수 있다고 덧붙였습니다.
“이 정보를 사용하여 신원을 훔치는 것은 매우 어려울 것이지만, 당신이 누구인지, 어디에 있었는지 식별하는 데 충분할 수 있습니다. 그리고 그것은 할머니에게 전화를 걸어 돈을 사기하려고 하는 사람에게 판매하기에 충분한 정보일 수 있습니다. [saying] Protegrity의 수석 제품 보안 아키텍트인 클라이드 윌리엄슨은 “사고를 당했거나 체포된 적이 있습니다.”라고 말했습니다. “그것은 사람들에게 일어나는 매우 흔한 종류의 공격입니다. 신원을 훔쳐서 신용카드를 개설하려고 하는 것보다 훨씬 더 흔합니다.”
개인정보 보호정책에는 고객이 책임을 져야 한다고 명시되어 있습니다.
전문가들은 렌터카 회사가 고객을 더 잘 보호하기 위해 모범 사례를 구현해야 한다는 데 동의합니다.
“회사가 차량 바닥 매트를 진공 청소하듯이 인포테인먼트 시스템도 진공 청소하지 말아야 할 이유가 없습니다.” Amico는 렌터카에서 데이터를 제거하는 것도 주유나 차량 내부 청소처럼 일상적으로 해야 한다고 제안했습니다.
사이버 보안 회사 SubRosa의 CEO인 존 프라이스는 렌털 회사가 이 정보를 무단 액세스로부터 보호할 의무가 있다고 강조합니다. 이는 개인 식별 정보(PII)를 처리하는 기업에 기대되는 데이터 보호 책임의 틀에 속하기 때문입니다. 그럼에도 불구하고 많은 렌털 회사는 적절한 보호를 적용하는 데 뒤처집니다.
Avis와 Enterprise가 온라인에 게시한 개인정보 보호정책은 책임이 고객에게 있음을 명확히 밝히며, 렌터가 Bluetooth, USB 또는 기타 방법을 사용하여 차량에 정보나 기기를 동기화하도록 선택하는 경우 기기의 데이터가 차량의 인포테인먼트 시스템과 같은 시스템에 액세스하여 저장될 수 있다고 경고합니다. 렌터는 렌털 기간이 끝나면 모든 정보를 삭제해야 하며, 렌터카 회사는 차량에 남겨진 데이터에 대해 책임을 지지 않는다고 명시합니다.
하지만 대부분의 고객은 모바일 기기를 이러한 시스템에 동기화하면 회사가 개인 데이터에 액세스할 수 있는 권한이 즉시 부여된다는 사실을 알지 못합니다. 이러한 정책은 임대 과정에서 항상 명확하게 전달되지 않아 소비자는 거의 읽지 않는 개인정보 보호정책의 미세한 글자를 탐색해야 합니다.
“소비자에게 부담을 주는 것은 옳지 않습니다. 자동차 렌털 계약서를 읽어보면, 데이터는 자동차에 두고 가라고 되어 있고, 그것은 당신의 문제라고 합니다. 소비자에게 규제 책임을 할당할 수는 없습니다.” Amico가 말했습니다.
Pvotal Technologies의 CEO인 야신 만라즈는 Android Auto와 Apple CarPlay와 같은 서비스가 데이터 보호 기능을 크게 개선했지만 소비자가 렌털 차량에서 데이터를 동기화하는 데 전혀 안전하다고 느끼기까지는 아직 갈 길이 멀다고 말했습니다.
“2022년 풀뿌리 운동은 렌털 회사와 제조업체가 ‘게스트 프로필’을 넘어서 고객 데이터가 사용 중에 저장되고 렌털 기간이 끝나면 즉시 삭제되는 임시 가상 환경을 만들도록 밀어붙였습니다. 이것이 모든 지속적인 우려를 해결하는 가장 빠른 방법이었을 것입니다. 안타깝게도 이 조치는 제조업체에 대한 입법 지원이나 재정적 혜택이 없기 때문에 재빨리 보류되고 기각되었습니다.”라고 Manraj는 말했습니다.
렌터카 업계의 규제 부족은 개인정보 보호 위험을 더욱 심화시키고 렌터카 회사가 수집할 수 있는 데이터 양이 증가했습니다. “이것만으로도 내부 정책과 고객 커뮤니케이션 관행을 대대적으로 정비해야 합니다. 무서운 점은 렌터카 회사가 얼마나 많은 고객 데이터를 수집하고 있는지 정확히 알지 못할 수 있다는 것입니다. 즉, 위험 관리 프레임워크가 잘못되었을 가능성이 큽니다.” NYU의 글로벌 문제 센터의 부교수인 니콜라스 리스가 말했습니다.
전문가들은 렌터카 회사가 고객 정보를 더 잘 보호하기 위해 채택해야 할 몇 가지 잠재적 솔루션을 강조했습니다. 가장 분명한 것은 자동 데이터 삭제 또는 차량 반납 시 동기화된 데이터를 자동으로 삭제하는 시스템입니다. “렌털 간 자동 데이터 삭제는 보편적인 조치가 되어야 합니다.”라고 Lorri는 말했습니다. BlueVoyant의 외부 사이버 평가 책임자인 얀센-아네시.
Comparitech의 소비자 개인 정보 보호 옹호자인 폴 비숍은 “고객은 렌터카와 기기를 동기화하는 데 따른 위험에 대해 경고를 받아야 하며, 렌터카를 반납할 때 동기화를 해제하라는 메시지를 받아야 합니다.”라고 말했습니다.
또한, 자동차 제조업체는 저장된 데이터에 대한 무단 액세스를 방지하기 위해 인포테인먼트 시스템 내에 암호화 프로토콜을 설치해야 하며 렌터카 회사는 고객에게 렌터카와 기기를 동기화하는 데 따른 위험에 대해 교육하고 데이터를 삭제하는 방법에 대한 명확한 지침을 제공해야 합니다.
여기에는 스마트폰을 렌터카에 연결하면 경고 메시지가 울리고 운전자에게 데이터가 저장, 캐시 또는 액세스된다는 것을 알리는 것이 포함될 수 있다고 Manraj는 말했습니다. 렌털 세션이 종료된 후 삭제되는 임시 게스트 프로필도 잔여 데이터가 남을 위험을 크게 줄일 수 있습니다.
윌리엄슨은 결국 모든 것이 한 가지로 귀결된다고 말했습니다. “위험을 감수할 가치가 있다고 확신하지 않는 한 렌터카에 휴대전화를 연결하지 마세요.”
하지만 편의성이 최우선이라면 전문가들은 다음 단계에 따라 정보를 보호할 것을 권장합니다.
대여품 반납 시 데이터 처리 단계
차량의 Wi-Fi 및 블루투스 설정에서 휴대폰의 연결을 해제하세요. 자동차의 인포테인먼트 시스템을 열고 Bluetooth 또는 Wi-Fi 설정으로 이동합니다. 페어링된 장치 목록을 확인하고 본인의 장치 중 하나를 수동으로 연결 해제해야 합니다.
탐색 기록을 지웁니다. 자동차 시스템의 내비게이션 설정으로 들어가서 위치 기록을 지웁니다. 이렇게 하면 집이나 직장 주소와 같은 개인 정보를 노출할 수 있는 저장된 목적지, 경로 또는 최근 검색 내용이 제거됩니다.
인포테인먼트 시스템을 공장 초기화합니다. 모든 데이터가 완전히 지워졌는지 확인하려면 시스템 설정에서 공장 초기화를 수행하는 옵션을 찾으세요. 그러면 인포테인먼트 시스템이 원래 상태로 복원되어 저장되었을 수 있는 개인 데이터나 페어링된 장치가 제거됩니다.