“개인정보보호 담당자, 변화하는 환경 속에서 각 단계 흐름 이해하고 조율하며, 일관된 보호체계 유지될 수 있도록 해야”
개인정보란 살아 있는 개인에 관한 정보로서, 해당 정보만으로 또는 다른 정보와 쉽게 결합하여 개인을 식별할 수 있는 모든 정보를 말한다. 일반적인 개인정보 범위에는 이름, 주소, 연락처, 이메일 주소, 계좌나 카드 정보 등이 포함된다. 또한 게임회사에서는 개인정보 범위를 식별할 때에 닉네임, 광고식별자, 온라인 식별자(IP주소, MAC주소, 쿠키 ID, 기기정보)에 대한 고려도 필요하다. 이는 개인 식별 가능성이 있기 때문이다. 그렇다면 이용자의 접속일시, OS정보만으로 개인정보라고 판단할 수 있을까? 이 경우 해당 정보는 단독으로 개인 식별이 어려워 개인정보에 해당하지 않을 수 있지만, 이름이나 연령 등 식별 가능한 정보와 함께 제공된다면 개인정보로 간주될 수 있다.
게임회사에서의 개인정보보호 실무는 게임 개발 프로세스의 각 단계와 밀접하게 연계되어 수행된다. 이 프로세스는 기획, 개발, QA, 런칭, 운영, 종료로 구분된다.
기획단계는 게임의 컨셉을 수립하며 게임성, 사업성 등을 검토하는 단계이며 실제 해당 서비스를 런칭할 국가, 타겟 연령 등을 결정하게 된다. 개인정보보호 담당자는 출시 플랫폼, 인프라 구성, 출시 국가, 대상 연령 등 서비스를 구성하는 기본 요소를 파악한다. 출시 국가는 해당 국가의 개인정보 보호 법령과 대상 연령(이용등급)에 따른 추가 조치 필요여부, 예를 들어 디지털 동의 연령(해당 국가에서 법정 대리인 동의가 필요한 연령 기준) 확인과 이에 따른 법정대리인 동의의 필요 여부와 방법 등을 함께 검토한다. 또한 출시 플랫폼에 따라 플랫폼사의 별도 정책을 확인하거나, 특히 모바일의 경우 UI구현 한계가 존재하므로 이에 따른 고려사항을 함께 검토한다.
개발 단계에서는 기획한 내용을 바탕으로 게임을 구현하는 단계로서, 이 과정에서 구체적인 데이터 수집 및 이용 항목, 저장 위치 등이 결정된다. 개인정보보호 담당자는 앞서 검토한 국가별 규제 요구사항을 기반으로 처리 목적, 수집 항목, 보유기간 등의 적절성을 검토하고, 저장 위치에 따라 정책상에 고지되거나 공개되어야 할 사항을 확인한다. 또한 게임상에서 반드시 구현되어야 하는 개인정보 수집 및 이용 동의 절차 및 화면 구성, 개인정보 처리방침 링크 제공, 정보주체 권리 보장을 위한 열람/수정/삭제 기능 등을 설계하고, 이 요건이 반영될 수 있도록 개발부서와 구현 방안을 지속적으로 조율한다.
QA 단계에서는 서비스가 외부로 공개, 제공 가능하도록 완성도를 높이는 단계이며, 실제 게임이 의도한 대로 잘 구동되는지 여부를 확인한다. 개인정보보호 담당자는 앞서 검토했던 개인정보보호 요건이 서비스에 반영되었는지 확인한다. 그리고 확정된 스펙을 기반으로 서비스 아키텍처 및 개인정보 흐름 식별, 국외이전 등을 고려하여 사전 개인정보 영향평가를 실시하고 개인정보 처리방침, 동의서 등의 산출물을 마련한다.
런칭 단계는 게임이 일반 이용자에게 공개되는 단계이다. 특히 런칭 때에는 유저 모객을 위하여 다양한 이벤트 등 프로모션을 제공하게 된다. 개인정보보호 담당자는 각 프로모션별 개인정보 처리 항목 및 흐름, 위탁/제공 여부, 보유 기간 등을 검토하여 이벤트 안내 시 포함되어야 하는 개인정보 관련 유의사항을 구성하고, 개인정보 수집 및 이용 동의서 등을 마련한다.
운영 단계에서는 게임이 정식으로 출시된 이후, 기능 개선, 이벤트 등 프로모션 제공, 유지보수 등이 지속적으로 이루어진다. 이 단계에서는 기능 업데이트나 백엔드 인프라 구조 변경 등이 발생할 수 있으므로 사전에 보안성 검토를 실시하고 이에 따른 보호조치를 적용한다. 또한 개인정보 처리방침 개정이나 개인정보 영향평가 갱신이 필요한 경우, 이를 반영하여 조치한다. 개인정보 처리 위수탁이 발생하는 경우, 신규 벤더(수탁 업체)에 대한 보안 평가, 계약서 검토 등의 절차도 수행해야 한다.
종료 단계는 게임 서비스 제공을 종료하는 단계로서, 개인정보보호 담당자는 이용자의 개인정보를 안전하게 처리, 보호할 수 있도록 한다. 서비스 종료 전 이용자에게 사전 고지를 위한 개인정보 처리 관련 안내 문서를 마련하며, 서비스 운영 등의 목적으로 수집한 개인정보의 보존 또는 파기 등 안전한 처리 방안을 마련한다. 또한 수탁사 등 제3자에 의해 처리되던 개인정보에 대한 적절한 이전, 파기 또는 반환 조치가 이행되도록 하고, 서비스 종료 이후에 발생할 수 있는 개인정보 관련 문의에 대한 후속 관리 방안을 마련한다.
게임회사에서의 개인정보보호는 서비스 라이프사이클 전 과정에 걸쳐 세심한 관리가 필요한 영역이다. 개발 초기부터 종료 이후까지 각 단계에서 필요한 사항을 사전에 파악하고, 관련 부서와 지속적으로 협업하여 이용자의 개인정보보호 기반을 마련하고, 변화에 유연하게 대응하는 것이 중요하다. 이러한 개인정보보호 활동은 관련 법령 준수뿐만 아니라 회사와 이용자 사이의 신뢰를 구축하고 지속가능한 서비스를 만드는 핵심 요소이다. 개인정보보호 담당자는 변화하는 환경 속에서 각 단계의 흐름을 이해하고 조율하며, 일관된 보호체계가 유지될 수 있도록 해야 한다.
[글. 크래프톤 프라이버시팀 팀장 김보선 (awesome@krafton.com)]
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
![[키워드PICK] MoE, 초거대 AI의 한계 넘는 선택적 지능의 시대](https://www.hellot.net/data/photos/20250622/art_17487067972686_18fadc.jpg)
![[인터뷰] 포티가드랩 듀렐 루이스 디렉터 “랜섬웨어 대응의 핵심, 확산 차단과 선제적 훈련이 중요”](https://www.dailysecu.com/news/photo/202505/166597_195249_2319.jpg)