자동차 사이버보안 입문 — 기초 개념
VIN을 다룰 때 자주 나오는 말
"VIN은 차량 번호인데 개인정보는 아니지 않나요?"
"OEM은 VIN을 개인정보로 봐야 한다는데 우리(Tier 1)도 그런가요?"
"GDPR 적용 대상이면 VIN도 처리 근거가 있어야 하는 건가요?"
"Data Act가 GDPR이랑 뭐가 다른 건가요? 둘 다 신경 써야 하나요?"
VIN은 개인정보일까? 이 질문에 "예" 또는 "아니오"로 단답하면 틀린다.
2023년 EU 사법재판소(CJEU)가 이 질문에 직접 판결을 내렸다. 그 답은 "누가 보유하느냐에 따라 다르다"였다. 그리고 2025년 9월 EU Data Act 발효로 차량 데이터를 둘러싼 환경이 또 달라졌다.
2023년 EU 사법재판소(CJEU)가 이 질문에 직접 판결을 내렸다. 그 답은 "누가 보유하느냐에 따라 다르다"였다. 그리고 2025년 9월 EU Data Act 발효로 차량 데이터를 둘러싼 환경이 또 달라졌다.
VIN이란 무엇인가
VIN(Vehicle Identification Number)은 차량마다 부여되는 17자리 고유 식별번호다. 차량 앞 유리 하단, 도어 프레임, 차량 등록증에서 확인할 수 있다.
ℹ️ VIN 17자리의 구조
WMI (3자리): 제조사 코드 (예: KMH = 현대, WVW = VW, JHM = Honda)
VDS (6자리): 차량 유형, 모델, 엔진 등 차량 특성
VIS (8자리): 모델연도, 제조공장, 일련번호
VIN은 본래 목적상 "누가 운전하는가"(사람)가 아니라 "어떤 차량인가"(제품)를 식별하기 위해 만들어진 번호다. 라틴어로 표현하면 ad rem(사물 식별)이지 ad personam(사람 식별)이 아니다.
WMI (3자리): 제조사 코드 (예: KMH = 현대, WVW = VW, JHM = Honda)
VDS (6자리): 차량 유형, 모델, 엔진 등 차량 특성
VIS (8자리): 모델연도, 제조공장, 일련번호
VIN은 본래 목적상 "누가 운전하는가"(사람)가 아니라 "어떤 차량인가"(제품)를 식별하기 위해 만들어진 번호다. 라틴어로 표현하면 ad rem(사물 식별)이지 ad personam(사람 식별)이 아니다.
CJEU 판결 — 2023년 EU 사법재판소가 직접 답했다
VIN의 개인정보 해당 여부를 둘러싼 논쟁은 유럽에서 실제 소송으로 이어졌다. 2023년 11월, EU 사법재판소(CJEU)는 이 질문에 대한 판결을 내렸다(사건번호 C-319/22, Gesamtverband Autoteile-Handel v. Scania).
ℹ️ CJEU C-319/22 판결 요약 (2023년 11월)
사건 배경: 독일 자동차 부품 협회(Gesamtverband Autoteile-Handel)가 Scania에 독립 수리업체를 위한 차량 데이터(VIN 포함) 제공을 요구. 이 과정에서 VIN이 GDPR상 개인정보에 해당하는지 여부가 쟁점이 됨.
판결 핵심: "VIN은 그 자체로는 개인정보가 아니다(not personal in nature as such). 그러나 그 데이터를 보유한 자가 합리적으로 이용 가능한 수단을 통해 특정 자연인을 식별할 수 있다면 개인정보가 된다."
실무적 의미: VIN의 개인정보 해당 여부는 데이터의 속성이 아니라 보유자(Controller)의 상황에 따라 결정된다.
사건 배경: 독일 자동차 부품 협회(Gesamtverband Autoteile-Handel)가 Scania에 독립 수리업체를 위한 차량 데이터(VIN 포함) 제공을 요구. 이 과정에서 VIN이 GDPR상 개인정보에 해당하는지 여부가 쟁점이 됨.
판결 핵심: "VIN은 그 자체로는 개인정보가 아니다(not personal in nature as such). 그러나 그 데이터를 보유한 자가 합리적으로 이용 가능한 수단을 통해 특정 자연인을 식별할 수 있다면 개인정보가 된다."
실무적 의미: VIN의 개인정보 해당 여부는 데이터의 속성이 아니라 보유자(Controller)의 상황에 따라 결정된다.
이 판결에서 CJEU는 기존 Breyer 판결(C-582/14)의 원칙을 재확인했다. 개인 식별 가능성을 판단할 때는 "합리적으로 사용될 수 있는 모든 수단"을 고려해야 하며, 식별에 필요한 모든 정보가 반드시 하나의 주체에 있을 필요는 없다고 명시했다.
💡 Bird & Bird 법률 분석 (판결 직후)에 따르면
VIN은 원칙적으로 "ad rem(사물 식별)" 데이터이지만, 차량 등록증에 VIN과 소유자 정보가 함께 기재된다는 점에서 VIN과 특정인을 연결하는 수단이 합리적으로 존재한다. 따라서 OEM처럼 소유자 데이터베이스를 보유한 경우, 그들에게 있어 VIN은 개인정보다.
VIN은 원칙적으로 "ad rem(사물 식별)" 데이터이지만, 차량 등록증에 VIN과 소유자 정보가 함께 기재된다는 점에서 VIN과 특정인을 연결하는 수단이 합리적으로 존재한다. 따라서 OEM처럼 소유자 데이터베이스를 보유한 경우, 그들에게 있어 VIN은 개인정보다.
누가 보유하느냐에 따라 답이 달라진다
CJEU 판결의 핵심은 이것이다 — VIN의 개인정보 여부는 데이터 자체가 아니라 보유자의 상황에 달려 있다. 같은 VIN이라도 누가 갖고 있느냐에 따라 GDPR 적용 여부가 달라진다.
OEM (차량 제조사)
개인정보 가능성 높음
VIN + 차량 등록자 정보 보유
Connected Service 계정과 연동
VIN으로 소유자 즉시 식별 가능
→ OEM에게 VIN = 개인정보
Tier-1 / Tier-2 협력사
상황에 따라 다름
VIN + ECU SW 정보 보유
차량 소유자 정보 미보유가 일반적
VIN만으로 특정인 식별 불가
→ 일반적으로 개인정보 아님
독립 수리업체
상황에 따라 다름
VIN으로 차량 정보 조회
수리 기록과 연결 가능
차량 소유자 파악 수단 여부가 관건
→ CJEU는 개별 판단 위임
⚠️ CJEU는 "for them"이라는 표현을 반복 사용했다
판결문에서 "VIN이 그들에게 있어(for them) GDPR상 개인정보를 구성한다"는 표현이 반복된다. 이것은 데이터 자체의 속성이 아니라 보유자 관점에서의 해석이라는 것을 강조한 것이다. 법무법인 Shoosmiths는 이 표현이 "데이터가 보유자에 따라 서로 다른 성격을 가질 수 있다는 가능성의 문을 열었다"고 분석했다.
판결문에서 "VIN이 그들에게 있어(for them) GDPR상 개인정보를 구성한다"는 표현이 반복된다. 이것은 데이터 자체의 속성이 아니라 보유자 관점에서의 해석이라는 것을 강조한 것이다. 법무법인 Shoosmiths는 이 표현이 "데이터가 보유자에 따라 서로 다른 성격을 가질 수 있다는 가능성의 문을 열었다"고 분석했다.
GDPR과 EU Data Act — 다루는 것이 다르다
VIN 논쟁에서 자주 혼동되는 것이 GDPR과 EU Data Act의 차이다. 둘 다 "데이터"를 다루지만 목적과 대상이 완전히 다르다.
| 구분 | GDPR | EU Data Act |
|---|---|---|
| 목적 | 자연인(사람)의 개인정보 보호 | 커넥티드 제품이 생성하는 데이터의 공정한 접근·공유 |
| 핵심 대상 | 개인정보 (이름, 주소, VIN이 개인과 연결될 때 등) | 차량 사용 데이터 (주행거리, 연비, 진단 코드, 배터리 상태 등) |
| 발효 | 2018년 5월 | 2025년 9월 12일 (완전 적용) |
| 차량에서의 의미 | OEM이 차량 소유자 개인정보(VIN 포함 가능)를 처리하는 방식 규제 | 차량이 생성하는 데이터에 소유자·제3자가 접근할 권리 보장 |
| 주요 의무 | 개인정보 처리 근거, 정보주체 권리 보장 | 커넥티드 차량 데이터의 사용자 접근 및 제3자 공유 허용 |
ℹ️ EU Data Act — 차량 분야 주요 사항 (2025년 9월 12일 발효)
커넥티드 차량 소유자·사용자는 자신의 차량이 생성하는 데이터에 접근할 권리를 갖는다. OEM을 거치지 않고 제3자(수리업체, 보험사, 플릿 관리 서비스 등)에게 직접 데이터를 제공하도록 요청할 수 있다. 유럽 집행위원회는 2025년 9월 차량 분야 특화 가이던스를 발표해 주행거리, 연비, 진단 코드, 배터리 상태 등의 운영 데이터가 Data Act 적용 범위에 포함됨을 명시했다.
커넥티드 차량 소유자·사용자는 자신의 차량이 생성하는 데이터에 접근할 권리를 갖는다. OEM을 거치지 않고 제3자(수리업체, 보험사, 플릿 관리 서비스 등)에게 직접 데이터를 제공하도록 요청할 수 있다. 유럽 집행위원회는 2025년 9월 차량 분야 특화 가이던스를 발표해 주행거리, 연비, 진단 코드, 배터리 상태 등의 운영 데이터가 Data Act 적용 범위에 포함됨을 명시했다.
두 규제가 충돌하는 지점이 있다. Data Act는 차량 데이터를 공유하도록 요구하는데, 그 데이터가 GDPR상 개인정보를 포함할 수 있기 때문이다. OEM은 Data Act에 따라 데이터를 공유하면서 동시에 GDPR의 개인정보 보호 의무도 이행해야 한다. Shoosmiths 법무법인은 이 상황을 "차량 제조사들이 Data Act 의무를 이행할 때 더 무거운 GDPR 부담을 지게 될 수 있다"고 분석했다.
SDV 시대 — VIN보다 더 예민한 데이터들
흥미롭게도 CJEU 판결과 EU Data Act의 논쟁이 진행되는 동안, 실제로 더 예민한 문제가 등장했다. VIN 자체보다 VIN과 결합되는 차량 데이터들이다.
❌ 차량 데이터는 이름이 없으니 개인정보가 아니다
✅ 이름 없는 데이터도 패턴으로 특정인을 식별할 수 있으면 개인정보가 될 수 있다
매일 오전 8시에 같은 집에서 출발해 같은 회사에 도착하는 GPS 기록은 이름이 없어도 그 차량의 사용자를 상당히 높은 확률로 특정할 수 있다. 충전 패턴, 자주 방문하는 장소, 주행 습관이 결합되면 더욱 그렇다. EU 법원도 이런 "추론 가능성"을 개인 식별 가능성 판단에 포함시키고 있다.
EU Data Act 차량 분야 가이던스(2025년 9월)가 명시적으로 적용 범위에 포함시킨 데이터는 주행거리, 연료·전기 소비량, 진단 코드, 배터리 상태 등이다. 이 데이터들은 GDPR 관점에서도, Data Act 관점에서도 동시에 다루어야 하는 영역이 된다.
자동차 사이버보안 엔지니어에게는 어떤 의미인가
🔧 현업에서 느끼는 변화들
OEM은 VIN을 개인정보로 처리해야 하는 상황이 됐다 — CJEU 판결 이후 유럽에서 커넥티드카 서비스를 운영하는 OEM은 VIN이 포함된 데이터를 처리할 때 GDPR 처리 근거(Article 6)가 필요하다. TARA에서 VIN이 Asset으로 포함되는 이유가 여기 있다 — VIN 유출은 단순한 차량 번호 노출이 아니라 개인정보 침해가 될 수 있다.
Tier 1·2 협력사는 VIN이 일반적으로 개인정보가 아니지만 맥락을 봐야 한다 — 차량 소유자 데이터베이스가 없는 협력사에서 VIN은 차량 식별자다. 하지만 커넥티드 서비스 데이터, 진단 데이터, 위치 데이터와 VIN이 함께 처리되는 시스템을 구축한다면 개인정보 처리 이슈가 생긴다. CJEU 원칙("합리적으로 이용 가능한 수단으로 식별 가능한가")을 자사 시스템에 적용해봐야 한다.
Data Act 발효로 차량 데이터 공유 환경이 바뀌었다 — 2025년 9월부터 유럽에서는 차량 소유자가 OEM을 거치지 않고 제3자에게 차량 데이터를 제공하도록 요청할 수 있다. 이 공유 과정에서 GDPR과 Data Act의 의무가 충돌하는 영역이 생긴다. 유럽 OEM과 협력하는 Tier 1 공급사라면 이 규제 환경 변화를 파악해야 한다.
그래서 VIN은 개인정보인가
💡 CJEU 판결(C-319/22, 2023년 11월)이 내린 결론을 한 문장으로
"VIN은 그 자체로는 개인정보가 아니다. 그러나 합리적으로 이용 가능한 수단을 통해 특정 자연인을 식별할 수 있는 자에게는 개인정보가 된다."
OEM에게는 개인정보다. 차량 소유자 DB가 없는 Tier 1 협력사에게는 일반적으로 개인정보가 아니다. 그 중간 어딘가(독립 수리업체, 보험사 등)는 보유한 수단에 따라 달라진다.
"VIN은 그 자체로는 개인정보가 아니다. 그러나 합리적으로 이용 가능한 수단을 통해 특정 자연인을 식별할 수 있는 자에게는 개인정보가 된다."
OEM에게는 개인정보다. 차량 소유자 DB가 없는 Tier 1 협력사에게는 일반적으로 개인정보가 아니다. 그 중간 어딘가(독립 수리업체, 보험사 등)는 보유한 수단에 따라 달라진다.
VIN을 "개인정보인가 아닌가"로 이분법적으로 접근하면 항상 막힌다.
올바른 질문은 "우리 조직이 VIN으로 특정인을 식별할 수 있는 수단을 합리적으로 보유하고 있는가"다.
그 질문의 답이 곧 GDPR 적용 여부를 결정한다.
핵심 요약
1
CJEU는 2023년 11월 판결에서 "VIN 자체는 개인정보가 아니다"라고 했다 — 단, 합리적 수단으로 특정인을 식별할 수 있는 자에게는 개인정보가 된다. (C-319/22, Scania 사건)
2
답은 보유자에 따라 달라진다 — OEM(소유자 DB 보유)에게는 개인정보. 소유자 정보 없는 Tier 1에게는 일반적으로 비개인정보. 중간 주체는 보유 수단으로 판단.
3
GDPR과 Data Act는 다른 문제를 다룬다 — GDPR은 사람 보호, Data Act는 차량 생성 데이터의 공정한 접근·공유. 2025년 9월 Data Act 발효로 둘의 충돌 지점이 생겼다.
4
VIN보다 더 예민한 것은 차량 데이터 패턴이다 — GPS 기록, 충전 패턴, 주행 습관은 이름 없이도 특정인을 식별할 수 있어 GDPR 적용 대상이 될 수 있다.
5
올바른 질문은 "우리 조직이 VIN으로 특정인을 식별할 수 있는가"다 — 이 질문이 GDPR 적용 여부를 결정한다. 이분법적 판단이 아닌 맥락 기반 판단이 필요하다.
반응형
'차량 사이버보안 > ISO21434 실무' 카테고리의 다른 글
| Security Impact Analysis는 어떻게 수행할까? — 변경관리에서 가장 중요한 한 장의 문서 (0) | 2026.06.08 |
|---|---|
| TARA는 언제 다시 해야 할까? — 변경관리(Change Management)의 현실 (1) | 2026.06.08 |
| 보안 요구사항은 누가 작성해야 할까? — 시스템 엔지니어 vs 보안 엔지니어의 현실 (0) | 2026.06.05 |
| 자동차 사이버보안 산출물 총정리 — TARA부터 Cybersecurity Case까지 한눈에 보기 (0) | 2026.06.01 |
| 왜 차량 사이버보안은 결국 “문서 싸움”이 될까?— Secure Boot보다 더 중요한 건 “설명할 수 있는가”다 (0) | 2026.05.20 |