[아이뉴스24 문영수, 성지은 기자] 오는 25일 유럽의 강화된 개인정보보호법(GDPR) 발효를 앞두고 게임업계가 대응 준비에 만전을 기하고 있다.
게임업계 '빅3'를 비롯해 컴투스, 카카오게임즈 등 유럽 시장에 진출한 주요 게임사들은 강화되는 GDPR 조건을 충족하고, 정보보안담당자(DPO)를 선임하는 등 현지 게임 서비스에 차질이 없도록 준비한다는 계획이다.
글로벌 오픈마켓에서 주로 유통되는 모바일 게임은 이미 국경 없는 산업으로 이번 GDPR 발효에 따른 영향이 적지않을 것으로 업계는 예상하고 있다.
◆유럽 개인정보보호법이란?
GDPR은 1995년부터 운영돼 온 유럽연합 정보보호법(Data Protection Directive)을 대폭 강화한 규정으로 오는 25일부터 적용된다. EU 거주 시민의 개인정보를 처리하는 모든 정보 통제자, 정보 처리자, 정보보호책임자(DPO) 등이 적용 대상이다.
특히 유럽 국가에 사업장을 가지고 있지 않아도 EU 거주 정보 주체에게 재화 또는 서비스를 제공하거나 정보주체의 행동을 모니터링하는 기업들까지도 법 적용에 포함된다.
이에 따라 대상 기업은 GDPR 정책을 채택, 시행해야 하며 개인정보 처리활동 역시 기록해야 한다. 아울러 리스크가 있는 처리 활동 전에 영향평가를 실시하고 별도의 데이터 보호 최고책임자(DPO)를 지정해야 한다.
이용자의 개인정보 수집 및 처리 절차 역시 대폭 강화된다. 특히 16세 미만 온라인 서비스 이용 시 반드시 보호자의 동의가 필요하다.
GDPR이 발효되면 개인의 정보 통제권도 대폭 강화된다. 정보제공자(이용자)는 언제든 정보 제공 동의 철회가 가능하며 당사자가 원하지 않을 경우 개인정보를 삭제 할 수 있다. 아울러 본인의 정보 열람, 처리 현황에 대한 요구 등도 가능해진다.
무엇보다 법 위반에 따른 처벌 조항도 강력하는 점에서 업계가 긴장하고 있다. 개인정보 처리 원칙, 동의요건, 국외이전 등심, 위반내용이 심각한 경우 전 세계 연간 매출액의 4% 또는 2천만 유로 중 더 높은 금액을 과징금으로 부과하는 것.
일반적 위반의 경우에도 전 세계 연간 매출액의 2% 또는 1천만 유로 중 더 높은 금액을 과징금으로 부과하기 때문에 부담이 상당할 것으로 예상된다.
국내 개인정보보호법과의 차이도 관심사. GDPR은 개인정보의 수집, 이용 목적 고지, 개인정보 처리에 대한 동의 내용은 한국과 유사하나 '개인정보 수정, 삭제, 처리 제한, 반대권'과 자동화된 결정 관련 권리, 제3국 이전 시 안전조치를 포함한다는 점에서 차이를 보인다.
◆주요 게임사들 '이상 무'
이처럼 강력한 개인정보보호법이 유럽 전역에 시행되는 만큼 관련 국에서 서비스를 해온 주요 게임사들도 영향에 촉각을 곤두세우고 있다. 발빠른 대응에 나선 곳도 있다.
넷마블, 넥슨, 엔씨소프트 등 이른바 빅3 업체의 경우 지난해 부터 대비해온 만큼 GDPR 시행에 따른 여파는 없을 것으로 보고 있다.
넷마블은 "GDPR 시행에 따른 서비스 차질은 없다"고 밝혔다.
또 엔씨소프트는 "현재 유럽 지역에 게임을 서비스하고 있어 GDPR이 요구하는 사항들을 반영하기 위한 준비를 진행 중"이라며"정보보호담당자(DPO, Data Protection Officer) 선임도 준비하고 있다"고 말했다.
넥슨 역시 지난해 12월 GDPR 관련 예산 5억원을 투자하고 대응 조직인 글로벌보안본부의 인력을 늘릴 계획이라고 언급한 바 있다.
'서머너즈워', '검은사막 온라인'으로 유럽 시장서 주요 성과를 내고 있는 컴투스, 카카오게임즈 역시 일찌감치 관련 대응에 나선 만큼 큰 지장은 없을 것으로 내다봤다.
컴투스는 "작년부터 관련 대응을 위해 정보를 수집하고, 유관부서와 함께 대응을 준비해왔다"며 "이번 개정된 GDPR 시행과 관련 문제가 없도록 대응하고 있다"고 밝혔다.
카카오게임즈 역시 "카카오게임즈 유럽법인과 본사가 함께 공동으로 준비하고 있다"고 말했다.
반면 GDPR에 따른 변화를 안내하는 과정에서 잡음이 나온 사례도 있다.
'라그나로크 온라인'을 북미 시장에 서비스해온 그라비티 미국 지사는 지난달 25일 게임포털인 '워포탈' 페이스북 페이지를 통해 GDPR을 이유로 유럽서 북미 서버에 접속하는 이용자들이 이날부터 접속할 수 없다고 공지하기도 했다.
이후 해당 메시지가 라그나로크 온라인의 유럽 지역 서비스 종료로 와전되는 등 혼란이 일기도 했다. 관련 외신 보도가 잇따르자 그라비티 측은 해당 메시지를 삭제하는 등 진화에 나섰다.
그라비티 관계자는 "유럽에서 VPN 등을 이용해 북미 서버에 우회접속하는 이용자들의 결제 등을 차단한다는 내용이었는데 오해를 살 여지가 있었다"며 "현재는 관련 외신 보도 정정 등을 요청한 상황"이라고 설명했다.
상대적으로 대응 준비 등 여력이 부족한 소규모 업체의 경우 GDPR로 인해 피해를 입을 수 있다는 지적도 없지 않다.
게임업계 관계자는 "정보 취합 능력이 부족한 소규모 게임사의 경우 GDPR 관련 대응이 상대적으로 미흡할 수밖에 없다"며 "관계 부처가 관련 자료를 취합해 신속히 안내해줬으면 하는 아쉬움이 있다"고 말했다.
정부는 행정안전부, 한국인터넷진흥원(KISA)을 중심으로 국내와 유럽에서 GDPR 설명회를 개최해 왔다. 최근에는 산업통상자원부, 중소벤처기업부, 방송통신위원회, 행정안전부, 외교부, 국무조정실 등 대응 체계를 확대하고 나섰다. 이들 관계부처는 5~6월 중 합동으로 기업 대상 설명회를 열고 GDPR을 알리는 데 집중한다는 방침이다.
한편 정부가 제작·배포하는 온라인 교육 콘텐츠는 KISA 내 온라인 GDPR 전담창구(http://gdpr.kisa.or.kr)에서 내려받을 수 있다.
문영수기자 mj@inews24.com 성지은기자 buildcastle@inews24.com
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기