뉴스 > 산업

아차하면 매출 4%가 과징금으로, 게임사가 알아야 할 'GDPR'

/ 1

▲ 유럽 개인정보 보호법 시행 후 현지 서비스를 중단하는 게임이 속속들이 나타났다 (사진: 게임메카 촬영)

작년 5월에 ‘라그나로크 온라인’은 유럽 서비스를 종료했다. 당시 시행된 유럽 개인정보 보호법, 약칭 GDPR을 감당하기 어려웠기 때문이다. 이 뿐만이 아니다. 중소 게임사, 우버엔터테인먼트의 전투 게임 ‘슈퍼 먼데이 나이트 컴뱃’ 역시 법을 지키기 위해 들여야 할 비용이 높다고 판단해 유럽 서비스를 접었다.

여기에 게임 안에 광고를 노출하는 것을 주요 수익원으로 삼았던 중소 게임사도 이 법이 시행된 다음 광고 매출이 줄었다. 게임과 광고주를 연결해주는 온라인 광고 대행사 중 GDPR을 준비한 곳이 별로 없기 때문이었다. 구글도 예외는 아니다. 법 시행 후 구글 유럽 지역 디지털 광고 수요는 25%에서 40%까지 줄었다. 멀게만 느껴지는 유럽 법이 세계적으로 영향을 미치고 있는 것이다.

돈과 사람이 충분한 큰 기업에서는 새로운 법에 어느 정도 대비할 수 있다. 하지만 규모가 작은 게임사는 여럭이 충분하지 않은 것이 사실이다. 과연 GDPR은 무엇이고, 중소 게임사는 어떻게 대비해야 할까? 경기콘텐츠진흥원은 22일 ‘경기게임아카데미 오픈 세미나’를 통해 GDPR에 대해 알리는 시간을 마련했다. 강연은 법무법인 화우 이근우 변호사가 맡았다.


▲ 강연을 맡은 이근우 변호사 (사진: 게임메카 촬영)

구글 플레이에 올려놓은 게임을 유럽 이용자가 받는다면?

GDPR은 일반 개인정보 보호법(General Data Protection Regulation)의 준말로 작년 5월 25일부터 유럽연합 회원국 28개국에 적용됐다. 업체들이 어려워하는 점은 법을 지키기 위해 해야 할 가이드라인이 자세하지 않다는 것이다. 국내의 경우 개인정보보호법과 정보통신망법, 두 가지 법과 시행령, 시행규칙에 무엇을 하면 되는지 자세하게 나와 있다. 법대로만 하면 설령 개인정보가 유출되더라도 법적인 책임을 어느 정도 덜 수 있다.

그런데 유럽 GDPR은 내용은 자세하지 않은데 기업이 져야 할 책임은 무겁다. 법을 어기면 전체 매출 2% 또는 1,000만 유로(한화로 125억 원)을 과징금으로 내야 한다. 필요한 절차를 밟지 않고 외국에 개인정보를 넘긴 것과 같은 중대한 위반에는 전체 매출 4% 혹은 2,000만 유로(한화로 약 250억 원)로 과징금이 급상승한다.


▲ 법을 위반하면 과징금이 상당하다 (자료출처: 개인정보보호 종합포털 공식 홈페이지)

그렇다면 도대체 GDPR이 보호하는 ‘개인정보’란 무엇일까? 이근우 변호사는 이 역시 한국보다 범위가 넓다고 설명했다. 이 변호사는 “이름, 주소, 이메일 주소 같은 일반적인 것부터 사용자 위치정보나 인터넷 쿠키, 사용자가 작성한 리뷰 등 이 사람이 어떻게 활동하고 있는가를 보여주는 행동 양식도 포함된다”라며 “한국에서는 쿠키나 위치정보는 아직은 ‘개인정보’로 보지 않지만 GDPR에서는 이 역시 사용자 동의를 받아야 하는 ‘개인정보’로 취급한다”라고 설명했다.

책임을 지는 업체 범위도 넓다. EU 안에 있는 업체는 물론, EU 유저에게 게임과 같은 서비스를 제공하는 업체도 포함된다. 구글 플레이, 애플 앱스토어와 같은 글로벌 마켓을 통해 게임을 서비스하는 게임사 입장에서는 부담이 상당하다.


▲ EU 거주자를 겨냥해 게임을 제공한다면 법 적용 대상에 포함될 수 있다 (자료출처: 개인정보보호 종합포털 공식 홈페이지)

그렇다면 EU에 게임을 제공할 마음이 전혀 없었는데, EU에 사는 누군가가 우연히 내가 만든 게임을 다운받았다면 어떻게 되는 것일까? 이근우 변호사는 이 업체가 EU 유저에게 게임을 제공하기 위해 어떠한 노력을 들였는가를 중요하게 본다고 밝혔다. 이 변호사는 “독일어나 프랑스어처럼 EU 유저를 위한 언어를 지원하는 식이다”라고 설명했다.

언어 외에도 EU에서 쓰는 ‘유로’를 결제 단위로 제공하거나 EU 유저를 콕 찍어서 게임을 광고하면 EU에 게임을 제공했다고 판단할 수 있다. 그는 “EU 유저를 겨냥한 활동 없이 단순히 글로벌 마켓에서 게임을 다운받은 정도는 EU에 게임을 제공한다고 보지 않는 것이 일반적이다”라고 말했다.


▲ 게임 내에서 이러한 것을 지원하고 있는지 살펴보자 (자료출처: 우리 기업을 위한 GDPR 1차 가이드라인/한국인터넷진흥원)

한국에 없지만 EU에는 있는 핵심적인 보호사항

그렇다면 유럽 진출을 꿈꾸는 게임사는 무엇을 대비해야 할까? 이를 이해하기 위해서는 GDPR의 목적을 파악해야 한다. 이 법의 목적은 ‘개인정보’를 쓸 수 있는 권리를 정보를 제공한 개인에게 되돌려주자는 것이다. 내가 준 정보 중 어떤 것을 어디에, 무엇을 위해 쓰는지 알려주고 동의를 받아야 한다. 한국처럼 통으로 묶는 것이 아니라 ‘쓰는 목적 하나 당 동의 하나’가 기본이다.

이를 원칙으로 업체가 제공하는 서비스에 맞춰 ‘당신의 개인정보를 이렇게 쓰고 있습니다’를 자세하고, 쉽게 알려주라는 것이 GDPR의 기본이다. 개인정보를 어떻게 보관하고 있는지, 개인정보를 제공하면 어떠한 일이 발생할 수 있는지, 정보를 주는 것을 원하지 않는다면 이를 거부할 수 있다는 점도 숨김 없이 알려야 한다.


▲ 개인정보를 활용하는 권리를 정보를 제공한 당사자에게 되돌려주자는 것이 GDPR의 목적 (자료출처: 우리 기업을 위한 GDPR 1차 가이드라인/한국인터넷진흥원)

특히 한국에 없는 이용자 권리가 GDPR에는 잔뜩 있다. 가장 대표적인 것이 ‘잊혀질 권리’다. 개인정보를 없애달라는 요청이 들어오면 기본적으로 한 달 안에 삭제해야 한다. 개인정보를 원하는 곳으로 이동시킬 수 있는 ‘개인정보 이동권’도 낯설다. 이용자가 A업체에 제공한 개인정보를 B업체에서도 쓰고 싶으니까 파일을 이용자에게 주거나, B업체에 정보를 옮겨달라고 요청하는 것이다.

앞서 이야기한 ‘잊혀질 권리’와 ‘개인정보 이동권’을 지키기 위해서는 받아놓은 개인정보를 체계적으로 정리해놔야 한다. 어느 정보가, 어디에 있는지 알아야 삭제나 이동 요청이 들어왔을 때 필요한 정보를 빼낼 수 있기 때문이다. 따라서 업체 입장에서는 개인정보를 잘 지키는 것과 함께 잘 정리해두는 것이 중요하다. 게임을 서비스하기 위해서 무슨 개인정보를 받고 있는지, 받은 정보를 어떻게 관리하고 있는지를 주기적으로 살펴야 한다.


▲ 국내에서는 생소한 다양한 권리가 있다 (자료출처: 개인정보보호 종합포털 공식 홈페이지)

개인정보 관리에 대한 책임을 지는 개인 또는 업체를 GDPR에서는 ‘컨트롤러’라 한다. 여기에 컨트롤러와 독립되어 개인정보 관련 업무를 총괄하는 전문가 ‘개인정보보호책임자’도 두어야 한다. 아울러 ‘컨트롤러’는 아니지만 ‘컨트롤러’를 도와서 개인정보를 처리하는 업체를 ‘프로세서’라 한다.

만약 유럽 서비스를 자체적으로 진행한다면 그 게임사는 ‘컨트롤러’다. 만약 유럽 서비스를 해주는 퍼블리셔가 있다면 퍼블리셔가 ‘컨트롤러’, 개발사는 ‘프로세서’가 된다. 포인트는 개인정보를 모으기 위해 유저와 직접 만나는 쪽이 어디냐는 것이다. 따라서 국내 업체 역시 유저에게 직접 개인정보를 받고 있다면 ‘컨트롤러’, 정보는 퍼블리셔가 받지만 개인정보 활용에 필요한 기능을 제공하고 있다면 ‘프로세서’다.

무게 자체는 ‘컨트롤러’에 좀 더 실리지만 개인정보 보호에 대한 책임은 ‘컨트롤러’와 ‘프로세서’ 두 곳에 모두 있다. 이근우 변호사는 “만약 퍼블리셔가 개인정보에 대한 업무를 모두 처리하며, 개발사에서는 개인정보에 대한 어떠한 일도 하고 있지 않다면 ‘프로세서’가 아닐 수 있다”라고 말했다. 따라서 게임사 입장에서는 자사가 ‘컨트롤러’인지, ‘프로세서’인지 판단하고, 둘 중 하나라면 법에서 요구하는 조건을 만족하고 있는지를 잘 따져봐야 한다.


▲ 정보 보호와 함께 강조되는 것이 정보 처리 과정을 실시간으로 확인하는 모니터링이다 (자료출처: 우리 기업을 위한 GDPR 1차 가이드라인/한국인터넷진흥원)

조심해야 할 것 두 가지, 맞춤형 광고와 미성년자

마지막으로 살펴볼 것은 주의해야 할 점이다. 우선 프로파일링이다. 게임으로 예를 들면 진행이 막힌 유저에게 새로운 아이템이나 캐릭터를 추천하는 기능을 말한다. 게임을 주로 즐기는 이용자에게 새로운 게임을 홍보하는 맞춤형 광고도 이에 속한다. ‘진행이 막혔다’ 혹은 ‘게임을 주로 즐긴다’와 같은 ‘행동’을 분석해 이에 맞는 기능을 제공하는 것을 ‘프로파일링’이라고 하며 이를 원하지 않는 유저에게는 제공하지 말아야 한다.

한 가지 주의할 점은 만 16세 미만의 아동에게는 ‘프로파일링’을 기반으로 한 광고가 금지되어 있다는 것이다. 이근우 변호사는 “아동의 행동을 파악해서 이에 맞는 상품을 홍보하는 맞춤형 광고를 하지 말라는 것이 원칙이다”라고 설명했다. 아동은 성인보다 취향을 저격하는 맞춤형 광고에 취약하기 때문에 이를 보호해야 한다는 뜻이 반영되어 있기 때문이다.


▲ 아동에게는 맞춤형 광고가 원천적으로 금지되어 있다 (사진: 게임메카 촬영)

아동의 개인정보를 사용하는 것도 마찬가지다. 국내와 마찬가지로 만 16세 미만의 청소년의 개인정보를 이용하기 위해서는 부모와 같은 법정대리인의 동의가 필요하다. 이근우 변호사는 “또한 아동에게는 개인정보 사용에 대한 동의를 구할 때 아동이 그 내용을 이해할 수 있을 정도로 쉽고, 명확하게 써야 한다. 이 부분은 오는 6월부터 국내에도 시행되는 정보통신망법 개정안에도 포함되어 있다”라고 전했다.

그렇다면 유럽 진출을 준비 중인 게임사가 체크해야 할 것은 무엇일까? 이근우 변호사는 3단계로 나누어 설명했다. 그는 “1단계는 법 적용 대상인지 파악하는 것이다. 게임을 제공하는 과정에서 개인정보를 다루는 일을 하는지, 하지 않는지를 확인해야 한다”라며 “2단계는 빠르게 할 수 있는 일을 하는 것이다. 개인정보보호책임자 지정이나 개인정보 처리 과정을 기록하는 것 등이다”라며 “3단계는 법을 지키기 위한 내부지침을 마련하고, 이용자가 개인정보를 제공했을 때 어떠한 영향을 받는지를 파악하는 ‘영향평가’에 필요한 예산, 조직 등을 보완하는 것이다”라고 설명했다.


▲ 차근차근 GDPR을 대비해보자 (자료출처: 개인정보보호 종합포털 공식 홈페이지)

궁극적으로는 게임을 개발하는 단계에서 개인정보 활용에 대한 방향을 잡아야 한다. 이를 GDPR에서는 ‘데이터 프로텍션 바이 다자인 앤드 바이 디폴트’라고 한다. 가급적 적은 개인정보를 쓰고, 이 정보를 받으면 유저가 어떠한 영향을 받을지 분석하고, 그 결과를 고려해 게임에 반영하는 것을 개발 초기부터 염두에 두어야 한다는 것이다. 받은 정보를 안전하게 보관하고, 이용자 권리를 보장해주기 위한 방안을 마련하는 것은 기본이다.
이 기사가 마음에 드셨다면 공유해 주세요
게임잡지
2005년 3월호
2005년 2월호
2004년 12월호
2004년 11월호
2004년 10월호
게임일정
2024
03