[자동차와 法] 소프트웨어 중심 자동차 시대…바퀴 달린 컴퓨터 맞이하는 낡은 법의 한계

복잡한 첨단 기능을 결합한 자동차에 결함과 오작동이 발생하면, 원인을 특정하기 어렵습니다. 급발진 사고가 대표적인 예입니다. 자동차를 둘러싸고 벌어지는 사고 유형도 천차만별입니다. 전기차 전환을 맞아 새로 도입되는 자동차 관련 법안도 다양합니다. 이에 IT동아는 법무법인 엘앤엘 정경일 대표변호사(교통사고 전문 변호사)와 함께 자동차 관련 법과 판례를 중심으로 다양한 사례를 살펴보는 [자동차와 法] 기고를 연재합니다.

교통사고가 나면 우리는 가장 먼저 운전자를 봅니다. 신호를 지켰는지, 속도는 줄였는지, 브레이크를 밟았는지, 전방은 주시했는지를 묻습니다. 이 질문은 여전히 중요하지만, 이제 충분하지는 않습니다.

바퀴 달린 컴퓨터 시대, 기계식 잣대의 한계

오늘날 자동차는 운전자가 조작하는 단순한 기계에 머물지 않습니다. 신차 한대에는 1억줄이 넘는 소프트웨어 코드가 실립니다. 비행기보다 훨씬 많은 코드로 구성된 기계가 자동차입니다.

최근 자동차는 스스로 차선을 읽고 보행자를 감지하며, 위험하다고 판단하면 경고하거나 제동에 개입합니다. 정비소에 가지 않아도 무선으로 업데이트(OTA)가 이뤄지기도 합니다. 자동차는 이미 ‘바퀴 달린 컴퓨터’에 가까워졌지만, 사고 책임을 따지는 우리의 법적 시선은 여전히 운전자 조작, 기계적 고장, 정비 하자를 중심으로 과거의 틀에 머물러 있습니다.

과거 자동차 결함은 브레이크가 고장 났는지, 부품이 어떻게 조립됐는지와 같이 비교적 눈에 보이는 문제였습니다.

하지만 현재 소프트웨어 중심 차량의 결함은 눈에 잘 보이지 않습니다. 같은 차라도 밤사이 OTA로 차로유지보조 로직, 자동긴급제동 조건, 운전자 경고 방식이 바뀔 수 있습니다. 따라서 사고 원인을 판단하려면 운전자가 무엇을 했는지뿐만 아니라, 그 순간 차량은 무엇을 인식했고 어떤 소프트웨어 버전이 작동하고 있었으며 제조사 서버에는 어떤 로그가 남아 있는지까지 확인해야 합니다.

문제는 이러한 결정적 자료가 대부분 운전자나 피해자 손안에 있지 않다는 점입니다. 블랙박스는 사고 장면을 보여주지만, 차량이 그 장면을 어떻게 해석했는지는 보여주지 못합니다. 사고기록장치(EDR)는 속도와 페달 조작은 담지만, 첨단운전자보조시스템(ADAS)이 보행자를 인식했는지, 왜 자동제동이 개입하지 않았는지, 업데이트 전후 알고리즘이 어떻게 달라졌는지를 충분히 설명하지 못합니다.

사고의 진실은 차량 저장장치와 제조사 클라우드, OTA 이력, 원격제어 로그에 흩어져 있는데, 피해자 측이 이를 요구하면 영업비밀, 보안, 개인정보라는 벽에 부딪히게 됩니다. 입증책임은 피해자에게 있는데 입증자료는 제조사 서버 안에 있는 구조입니다. 이것이 소프트웨어 차량 시대의 가장 큰 정보 불균형입니다.

정보불균형 깨기 시작한 주요국

이미 주요국은 운전자에게 불리한 정보불균형 구조를 깨기 시작했습니다.

유럽연합(EU)의 경우 데이터법을 2024년 1월 발효하고, 2025년 9월 12일 본격 적용했습니다. 커넥티드 차량 데이터에 대해 차주에게 무상 접근권을, 차주가 지정한 제3자(변호사·보험사·독립 정비업체)에게는 전송권을 부여합니다. 또한 2024년 개정 제조물책임 지침은 소프트웨어와 인공지능(AI) 시스템, 업데이트 이후 결함까지 제조물 책임 범위에 끌어들였습니다,

미국 도로교통안전국은 ADAS·자율주행 작동 중 사망·중상·보행자 충돌·에어백 전개 등 일정 중대사고를 곧바로 보고하도록 의무화했고, EDR의 충돌 전 기록 유지 의무를 5초에서 20초로 확대하고 있습니다. 매사추세츠주는 텔레매틱스 데이터에 대한 직접적인 접근 및 제3자 전송 통제권이 차량 소유자에게 있음을 명문화하기도 했습니다.

일본은 도로운송차량법을 개정해 OTA 차량의 사이버보안 적합과 자동운행장치 프로그램 변경 시 사전 허가를 요구했습니다. 중국은 자동차 데이터 안전 관리 규정으로 차내 처리 원칙과 데이터 역내 저장을 의무화했습니다.

이처럼 해외 각국의 접근 방식은 달라도 큰 방향은 정보불균형 해소로 귀결됩니다. 차량 데이터와 OTA를 더 이상 제조사 내부 문제로만 보지 않는다는 것입니다.

국내도 변화 움직임 감지

국내에서도 변화의 움직임이 감지되고 있다는 점에서 다행스럽게 생각합니다. 일례로 자동차관리법 개정으로 자동차 사이버보안 관리체계 인증과 안전한 소프트웨어 업데이트 규정을 신설했으며, 정비업 규제로 발이 묶여 있던 OTA의 시행규칙 정비도 진행 중입니다. 자율주행자동차사고조사위원회 제도와 자율주행정보 기록장치 보관 의무도 마련되어 있습니다.

그러나 사고 원인에 소프트웨어와 데이터가 깊이 관여되어 있음에도 이 영역의 데이터 접근권과 소프트웨어 결함의 책임 귀속은 아직 충분히 정리되지 않았습니다다. 제조물책임법 역시 출고 시점 결함을 중심으로 설계되어 있어, 출고 뒤 업데이트로 안전성이 달라진 차량을 그대로 다루기에는 한계가 분명합니다.

결론

자동차가 똑똑해진다는 것은 소비자에게 편리한 일입니다. 그러나 법이 함께 똑똑해지지 않으면, 그 편리함은 사고 피해자에게 불리한 침묵으로 돌아옵니다. 차량 데이터가 보험료 산정과 마케팅에는 활용되면서 정작 사고 원인 규명에 쓰이지 않는다면, 그것은 정보의 불균형으로 이어집니다.

지금 가장 먼저 손을 대야 할 것을 꼽는다면 두 가지입니다. 첫째, 중대 사고 시 OTA 이력과 ADAS 작동 로그 등 사고조사용 데이터에 대한 차주·수사기관·법원 감정인의 접근권을 명문화하는 일입니다. 둘째, 출고 이후 업데이트된 소프트웨어까지 포괄하도록 제조물 책임의 범위를 넓히는 일입니다. 차량이 업데이트로 새로워지는 시대에 법이 과거의 자동차를 전제로 현재의 교통사고를 판단해서는 안 될 것입니다.

정경일 변호사는 한양대학교를 졸업하고 제49회 사법시험에 합격, 사법연수원을 수료(제40기)했습니다. 대한변호사협회 등록, 교통사고·손해배상 전문 변호사로 활동하고 있으며, 현재 법무법인 엘앤엘 대표변호사로 재직 중입니다.

정리 / IT동아 김동진 기자 (kdj@itdonga.com)