상위 30개 게임 중 11개 중국 업체 개발 게임'채팅'부터 '앱 목록'까지 개인정보 무분별 수집개인정보로 AI 학습까지…국내사 경쟁력 역차별 우려
[IB토마토 송혜림 기자] 국내 모바일 게임 시장 상위권을 장악한 중국 게임사들이 이용자의 상세한 기기 정보부터 채팅 기록, 설치 앱 목록까지 광범위한 개인정보를 수집하고 있는 것으로 나타났다. 이를 통해 서비스 개선과 맞춤형 광고, 부정행위 탐지 등 경쟁력을 높이고 있지만 국내 게임사와 비교해 개인정보 수집 범위가 지나치게 넓다는 지적이 나온다. 국내 게임사와 중국 게임사 간 규제 적용 차이에 따른 역차별 논란은 물론 개인정보 유출과 보안 리스크에 대한 우려도 커지고 있다.
특히 수집된 데이터를 인공지능(AI) 모델 학습에 활용하거나 영문 약관 우선 조항을 내세우는 등의 행태로 국내 이용자 권익을 침해한다는 지적도 나오고 있지만, 현행법상 해외 게임사 약관을 제재할 수단이 부족한 실정이다. 지난해 10월 시행된 해외 게임사 국내 대리인 지정 제도도 중소형 게임사 배제와 미미한 패널티로 실효성에 대한 의문이 제기된다.
중국 게임사, 유저 개인정보 광범위 수집
(사진=구글앱스토어)
11일 구글플레이에 따르면 이날 오후 3시 기준 전체 모바일 인기 게임 앱 30위 중 중국 게임사가 개발한 게임은 총 11개(36.7%)다. 대표적으로 센츄리 게임즈(Century Games)의 'WOS: 화이트아웃 서바이벌', 호타 스튜디오(Hotta Studio)의 '이환', 호요버스(HoYoverse)의 '붕괴', '원신' 등이 있다. 게임 앱 순위는 매일 변동되나 상위권 대부분 중국 개발사들이 만든 게임들이 차지하고 있다.
업계에선 중국 게임사들이 인기를 끄는 배경엔 막대한 자본으로 높은 퀄리티를 구현한 덕분이라고 입을 모은다. 외신에 따르면 중국 게임사의 양대 축인 텐센트(Tencent)와 넷이즈(NetEase)는 지난 한 해 매출만 2416위안(한화 51조6105억원), 921억 위안(한화 19조 6744억원)을 벌어들였다.
다만 중국 게임사들의 개인정보 처리 규정을 자세히 뜯어보면, 단지 자본의 차이로 인해 국내 게임사가 순위 경쟁에 밀렸다고 보기는 어렵다. 상위권 게임의 중국 개발사 또는 다른 국가에 소재를 뒀지만, 모회사가 중국 게임사인 6곳(호요버스·호타스튜디오·센추리게임즈·헝그리스튜디오·마이크로펀)과 한국 주요 게임사인 넥슨·NC·
펄어비스(263750)·
크래프톤(259960) 4개사와 비교해 보니, 각 게임사 별로 규정 내용은 상이하나 일반적으로 국내 게임사보다 지나치게 넓은 개인 정보를 수집하고 있다. 또, 이를 마케팅이나 인공지능(AI) 학습에 다용도로 학습해 서비스 경쟁력을 강화하는 모습이다.
호요버스와 마이크로펀 등은 보안 및 부정행위 탐지를 명목으로 이용자의 기기 모델이나 IP 주소를 넘어 CPU데이터, IMEI(고유 식별번호) 데이터, 그래픽 카드, 화면 해상도, 배터리 수준, 사용 가능한 저장 공간 등 매우 상세한 기기 정보를 수집하고 있다. 또 일부 게임사는 'Finger Printing(생체 지문)'도 수집 항목에 명시했다. 생체 지문은 기기 고유의 설정 값 조합을 통해 사용자를 식별하는 기술이다. 서버에 기기 특정 값으로 저장돼 앱을 지웠다가 깔거나 다른 계정으로 접속해도 동일인임을 파악할 수 있다.
보통 국내 게임사가 OS 정보나 모델명, 기종 등 기본 디바이스 정보만 수집한다는 점을 고려하면 수집 범위가 상당하다. 또, 특정 게임사는 동일한 명목하에 사용자가 설치한 게임 앱 외의 설치된 앱 목록은 물론 앱 설치 및 업데이트 시간, 부팅 시간 등까지 무분별하게 수집하고 있다고 명시하고 있다.
한 가지 더 주목할 점은 '채팅 기록'이다. 엔씨와 크래프톤 등 국내 게임사들은 채팅 기록은 개인정보 일부를 삭제하거나 대체해 특정 개인을 식별할 수 없도록 가명화해 연구 및 통계 등의 목적으로 처리한다고 명시하고 있다. 또, 채팅 기록을 저장하더라도 채팅 수나 발신 내역 등에 한해 게임 세션이 종료되면 즉각 파기하고 있다. 그러나 대부분 중국 게임사는 채팅 기록 암호화에 대해 안내하고 있지 않았고, 게임 세션이 지나도 특별한 목적 없이 한 달 이상 보관하는 경우도 있었다.
한국인터넷진흥원에 따르면 국내 기업들은 사생활 침해와 개인정보 유출 사고 방지를 위해 개인정보 수집 최소화 원칙을 준수해야 한다. 수집하고자 하는 개인정보가 업무 수행에 필요한 정보인지는 개인정보처리자가 입증해야 한다. 또, 상품 및 서비스 홍보와 마케팅 목적으로 개인정보를 수집하는 경우에는 그 목적을 명확히 알 수 있도록 고지하여야 한다.
수집한 개인정보 AI 모델 학습에 무분별 활용
더 큰 문제는 수집된 데이터의 활용이다. 국내 게임사들을 비롯해 중국 게임사들도 개인정보와 행태 정보를 결합 및 분석해 맞춤형 광고를 제공하고 서비스 개선 등을 위해 개인정보를 이용하고 있다. 다만 개인정보 수집 범위의 출발선부터 다른 상황에서 서비스 경쟁력에 차등이 생길 수밖에 없다는 불만이 나온다.
호요버스 개인정보보호약관 중 일부. (사진=호요버스)
특히 호요버스가 제작한 게임들의 개인정보보호 약관에는 사용자가의 사적 채팅 데이터 등 입력 콘텐츠를 사용해 'AI 모델'을 훈련하고 개선할 수 있다고 명시하고 있다. 비식별 처리를 한다고 해도 AI의 답변을 통해 개인정보 유출 리스크가 존재할 수 있다. 설정 페이지를 통해 모델 학습에 대한 동의를 철회할 수 있다고 하나, 실제 게임을 다운로드 해 보면 사전에 AI 학습 동의에 대한 명확한 안내 팝업이나 공지는 쉽게 찾아볼 수 없었다.
호요버스 측은 <IB토마토>와의 메일 서면 문답에서 "현재 어떠한 AI 모델 학습 구성 요소도 포함되어 있지 않으며, 개인 정보가 해당 목적으로 사용되고 있지 않다"라고 해명했다.
중국 게임사의 개인정보 이용약관에 대한 문제가 불거진 게 처음은 아니다. 지난 2020년에는 미호요가 서비스하는 ‘원신’의 안티치트 프로그램이 정보 수집을 위한 백도어 프로그램이란 의혹이 제기된 바 있다. 2021년에는 롱위안이 국내 출시한 ‘카오스 아카데미’가 이용약관에 사용자 동의 없이 개인정보를 수집 및 사용한다고 명시해 논란을 빚은 바 있다. 2024년에는 넷이즈 ‘원스 휴먼’이 여권 정보, 프로필 사진 등 민감한 개인정보가 수집 대상으로 언급돼 사용자들의 불만을 샀다.
그러나 일부 게임사들은 영문 약관 우선 조항을 내세우고 있어 해석이 충돌하면 영문판이 기준이 되고 있다. 번역본을 보고 문제를 제기해도 영문판을 기준으로 다시 정당성을 따져야 한다는 것이다. 또, 개인정보 책임자가 해외에 있고 개인정보가 해외 서버에 분산 저장돼 있어 분쟁 발생 시 역시 해외법을 따를 가능성이 크다.
해외 게임사 국내 대리인 제도는 실효성 의문
현행법으로는 본사가 중국에 있는 게임 기업을 제재하거나 시정을 요구하기 어렵다. 모바일 게임은 자체 등급 분류 사업자가 사행성, 선정성, 폭력성 등을 고려해 등급 분류를 내리는데 약관은 게임물관리위원회심사 대상이 아니다. 문제로 삼는다고 해도 이용자가 약관에 동의했고 개인정보 수집과 관련한 내용은 게임 내 요소가 아니어서 제재할 근거를 대기도 어렵다.
한국 사용자들이 해외 게임 약관으로 인해 받는 피해를 줄이기 위해 지난해 10월 '해외 게임사 국내 대리인 지정 제도'가 정식 시행됐다. 그러나 반년 만에 실효성 논란이 불거졌다. 해외 게임사 국내 대리인 지정 제도는 △전년도 매출 1조원 이상 △전년도 기준 다운로드 수가 하루 평균 1000건 이상인 게임물을 배급하는 해외 게임사에 국내 대리인 지정 의무를 부과하는 제도다.
다만 해당 제도는 기준에 맞지 않는 중소형 게임사들은 법망을 피해 간다는 점, 제도 위반 시 연 매출 대비 미미한 과태료 2000만원이 부과된다는 점 등 허점이 많다는 평가가 나온다. 대리인 지정 대상 중 한 곳인 중국 게임사 '칠리룸'은 여전히 지정 요구에 무대응으로 일관하고 있다고 알려져 있다.
문화체육관광부 관계자는 <IB토마토>와의 통화에서 "현재 대리인을 선정하지 않은 곳들은 5월 중으로 지정할 수 있도록 촉구하고 있다"면서 "해당 제도는 과태료나 망 차단 등 실효성을 갖출 수 있도록 지난해 말부터 보안 입법을 준비하고 있는 상황"이라고 말했다.
<IB토마토>는 중국 게임사들에 홈페이지와 개인정보처리방침 하단에 기재된 이메일을 통해 입장을 요청했으나, 호요버스를 제외한 상당수 업체로부터 답변을 받지 못했다.
송혜림 기자 diving@etomato.com