이달 25일 EU권 국가에서 ‘GDPR(EU 일반 개인정보보호규정)’이 시행됐다.
이는 EU에서 2016년 5월 첫 발의, 2년의 유예기관을 마친 후 완전 적용된 것으로서 1995년에 실시된 EU 개인정보보호 지침을 완전히 대체한다. 특히, 가장 중요한 건 이전과 달리 기업에게 실제 규제가 가해지는 강행 규정이라는 점이다.
EU가 발표한 전문에 따르면 순수한 개인 활동 또는 가정활동 과정 상 개인정보 처리는 문제가 되지 않는다. 다만 EU 외부 정보주체에 재화나 용역을 제공하는 경우도 적용 범위에 포함되기 때문에 유럽을 대상으로 활동하는 국내 기업들이 포함된다. 또한, 확대된 개인정보 영역엔 개인을 식별할 수 있는 디지털 정보. 즉, IP 주소, 쿠키 RFID 등이 포함돼 IT기업뿐만 아니라 게임사들도 대상이 되고 있다.
물론 EU는 영세 및 중소기업의 특성을 참작해, 250인 이하의 사업자는 기록 작성에 한해 일부 조항을 면제해주기로 결정했다. 그럼에도 유럽 등지에 출시를 마쳤던 중소게임사들이 타격을 입을 것으로 예상되고 있다. 한 국내 캐주얼 모바일게임 전문 업체 대표는 “GDPR에 맞춰 수정한 건 규정 및 팝업창을 띄워 안내하는 정도에 그쳤다”라며 “사실 우리 같은 소규모 업체는 대응이 불가능한 상황”이라고 말했다. 또한, 해당 기업의 매출은 GDPR 적용 후 5% 이상 감소한 것으로 알려졌다.
더불어 한국인터넷진흥원 관계자는 “최근 GDPR과 관련해 상담을 요청한 중소 게임사들이 여럿 있었다”라며 “그 중 몇몇은 아예 유럽 게이머들을 차단하는 편이 낫겠다”라고까지 말하는 상황이라고 전했다.
반면 3N으로 대표되는 국내 대형 게임사들은 1여년 이상의 준비과정을 거쳤다. 먼저 넷마블의 경우 보안조직 내 별도 개인정보보호 전담 TF팀을 신설, 작년부터 GDPR 대응을 거쳐 왔다. 넥슨은 개인정보보호정책, 서비스 이용약관, 사용자 라이선스 등 EU가 제시한 규정에 맞게 법적검토를 진행 및 개정하는 과정을 마쳤다. 더불어 관리, 기술, 영역 부분은 현재 보완을 진행하고 있다. 반면 엔씨소프트는 미국 지사 엔씨웨스트가 GDPR 관련 업무를 관장, 주도해 대응을 마친 상황이다.
이같은 대형 게임사들이 꼽은 GDPR 대응의 핵심 중 하나는 ‘개인정보보안책임자(이하 DPO)’와 EU 내에 위치할 ‘대리인’ 임명이다. 즉, 규정 및 전문 인력뿐만 아니라 유럽에 정통한 전문가가 필요한 상황이다. 이렇게 본다면 결국 중소 규모 게임사들에게 가장 부담이 되는 건 ‘예산’일 수밖에 없다. 이에 정부 관계자는 “현재 GDPR과 관련한 예산이 산정되지 않아 내년에 지원책이 마련될 예정”이라고 전하며 올해는 세미나 개최 및 가이드라인, 컨설팅에 집중할 예정이라고 밝혔다.
이밖에 업계에서 지적한 또 한가지 문제점은 ‘구체적인 방법이 포함된 가이드라인’의 필요성이다. 현재 정부의 가이드라인은 큰 도움이 되긴 하지만, 한편으론 GDPR을 설명하는데에만 무게가 실렸기 때문이다. 현재는 설명이 아닌 업체의 입장에서 실질적으로 마련할 수 있는 ‘대응책’이 필요하다는 것이다. 이에 업계 관계자는 “중소기업에게 실질적인 도움이 되려면 각 산업 분야별로 어떻게 대응하는 게 좋을지 구체적인 방법이 포함된 가이드라인이 제공되야 한다”라며 “그러면 시간과 비용을 아낄 수 있을 것으로 예상된다”고 전했다.
[경향게임스=형지수 기자]