[규제] 개인정보 보호 논란…유비소프트 GDPR 위반 위기와 대응 방향
글로벌 게임산업 동향
집필: EC21R&C 김종우 선임연구원
Executive Summary
게임 데이터 수집 관행과 규제 충돌
유비소프트, 싱글플레이어 게임에서도 ‘항상 온라인’ 구조 및 사용자 무동의 데이터 전송
10분간 150회 이상 외부 전송, 제3자 제공(구글, 아마존 등)에 대한 명시적 동의 미흡
NOYB, GDPR 제6조 ‘필요성 원칙’ 및 제5·13·14조 ‘투명성·정보제공 의무’ 위반 주장
오프라인 모드 숨김, 기본설정에서 데이터 수집 강제 → ‘Privacy by Default’ 원칙 위반 지적
개인정보 정의 확대 판례에 따라 게임 플레이 기록, 기기 ID 등도 규제 대상 가능성 부각
글로벌 규제 대응 패러다임의 변화
GDPR은 동의 외에도 ‘계약·정당 이익’ 등 근거 필요하며 ‘필요 최소한’ 원칙 엄격 적용
제재 수위: 전 세계 매출의 4% 또는 2천만 유로 중 큰 금액 → 기업 리스크 상당
데이터 이동권·잊힐 권리 등 사용자 권한 보장 요구 증가, 기술적 대응 필수
국외 이전 시 적정성 판단 미보유 국가(한국)는 추가 보호조치 필요
대응 전략: ▲기본 설정 최소 수집화 ▲지역별 동의 절차 분리 ▲DPO, DPIA 체계 구축
글로벌 선도 기업의 대응 사례와 시사점
Valve·CD Projekt Red: 옵트아웃 기능·오프라인 모드 제공
Xbox·닌텐도: 프라이버시 영향평가 및 계층적 동의 시스템(Layered Consent) 도입
EA·Epic: 익명화 분석, DPO 운영, 지역별 개인정보 방침 구축
CMP(동의 관리 플랫폼)로 사용자의 데이터 제어 권한 강화
한국 개발사는 초기 설계부터 Privacy by Design 체계 내재화 필요
프라이버시 보호는 리스크 회피 수단이 아닌 사용자 신뢰와 글로벌 경쟁력 확보 요소로 인식 전환 필요
1. 유비소프트 GDPR 위반 논란 개요
‘항상 온라인’ 구조와 무동의 데이터 수집
유럽 디지털 권리센터(NOYB)는 싱글플레이어 게임 <파 크라이 프라이멀> 실행 시 유비소프트 계정 로그인을 강제하고, 10분간 150회 이상 외부 서버로 데이터를 전송한 유비소프트를 GDPR 위반 혐의로 제소했다. 전송된 데이터는 구글, 아마존, 데이터독 등 제3자에게 전달되었으나, 사용자의 명시적 동의는 없었다. NOYB는 이러한 수집이 GDPR 제6조(1)항의 ‘필요성’ 원칙을 위반한다고 주장하며, 약 9,200만 유로(1,436억 원)의 제재를 요구했다.
이번 사례는 싱글플레이어 게임에서도 네트워크 연결을 기본 설정으로 둔 ‘항상 온라인’ 구조와 과도한 데이터 수집 관행이 규제에 저촉될 수 있음을 시사한다. 기본적인 인증 외 수집된 사용자 행동 데이터, 구매 이력, 기기 ID 등의 수집 행위가 기능 수행에 필수인지 여부에 대한 법적 판단이 불가피해졌다.
유비소프트는 게임 데이터 일부를 비식별정보로 간주했으나, NOYB는 게임 점수·기기 식별자·플레이 시간·광고 반응 등도 개인식별 정보로 해석 가능하다고 주장했다. 이는 최근 EU 판례에서 비식별 문자열도 GDPR 적용 대상이 될 수 있다고 본 판결과 맞물린다. 게임 데이터를 개인정보로 인정할 경우, 기존 게임 산업의 데이터 활용 범위 전반이 규제 대상이 될 수 있다.
<표> GDPR과 한국 개인정보보호법 주요 조항 비교
GDPR의 데이터 최소화 원칙은 게임사가 수집한 분석·마케팅용 정보, 행동 추적 데이터를 정당화할 수 있는지 의문을 제기하고 있다. 유비소프트는 오프라인 모드를 숨기고 스팀 계정 정보 외 별도 사용자 정보를 수집해 기본 설정으로 활용했으며, 이는 최소 수집 원칙과 충돌한다. 이후 유사 사례에서 게임 출시 구조, 분석 도구 연동 방식, 동의 절차 등에 대한 규제 당국의 감시 강화가 예상된다.
2. EU GDPR과 유비소프트 위반 혐의의 법적 쟁점
GDPR 제6조(1)항: ‘필요성’ 원칙 위반 여부
GDPR 제6조(1)항은 개인정보 처리의 합법성을 위해 ‘정보주체의 동의’ 또는 ‘객관적 필요성’에 기반해야 함을 명시하고 있다. 유비소프트는 사용자 동의 없이 게임 실행 중 데이터를 수집했고, 이는 ‘기능 수행에 필요한 수준’을 넘어섰다는 점에서 필요성 요건을 충족하지 못한다는 비판을 받는다.
NOYB는 특히 오프라인 모드가 숨겨진 옵션으로 존재했다는 사실을 근거로 들며, 데이터 수집이 기술적으로 필수적이지 않았다고 주장했다. 이는 기본 설정에서 데이터 수집을 강제한 구조가 GDPR 제6조 및 ‘기본 설정에 의한 프라이버시(Privacy by Default)’ 원칙과 충돌함을 시사한다.
명시적 동의 없이 제3자에게 데이터 제공
또 다른 쟁점은 유비소프트가 수집한 데이터를 구글, 아마존, 데이터독과 같은 제3자에게 전송하면서도, 이에 대한 정보주체의 명시적 동의를 받지 않았다는 점이다. GDPR 제13·14조는 제3자 제공 시 수령자, 처리 목적, 항목 등을 이용자에게 고지하고 동의를 받아야 함을 규정한다.
유비소프트의 EULA(최종 이용자 계약)는 제3자 제공에 대한 구체적인 설명이 부족했고, 이에 따라 GDPR의 투명성 원칙(제5조) 위반 소지가 있다. 특히 수신처 대부분이 미국 기업이라는 점에서, GDPR 제44조 이하 국외 이전 규정 위반 여부도 쟁점으로 제기되고 있다.
현대의 개발사는 다수는 분석·클라우드·마케팅 연동을 위해 다양한 외부 서비스와 데이터를 연계하나, GDPR은 이 모든 데이터 흐름에 대해 명확한 근거와 프로세스를 요구한다. 유비소프트 사례는 글로벌 게임사가 게임 기획 초기부터 ‘프라이버시 중심 설계(Privacy by Design)’와 ‘표준 설정에 의한 프라이버시(Default by Privacy)’ 원칙을 갖춘 구조적 대응이 필요함을 시사하고 있다.
<표> 유비소프트 GDPR 위반 혐의 세부 내용과 관련 GDPR 조항
한국 개인정보보호법과 GDPR 비교, 유의해야 할 핵심 차이점
GDPR과 한국 개인정보보호법은 기본 원칙(동의 기반, 최소 수집 등)은 유사하지만, 실제 운영 측면에선 차이점이 존재한다. 첫째, GDPR은 단순한 동의 외에도 계약 이행, 법적 의무, 정당한 이익 등 여섯 가지 처리 근거를 인정하며, ‘필요성(necessity)’ 기준을 엄격히 적용한다. 예외 근거를 남용하거나 기술적으로 불필요한 데이터를 기본 설정에 포함할 경우 위반 소지가 크다.
둘째, 제재 수준이 훨씬 무겁다. GDPR은 전 세계 매출의 4% 또는 2천만 유로 중 큰 금액까지 과징금을 부과할 수 있어, 위반 시 재정적 리스크가 한국법보다 훨씬 크다. 셋째, 데이터 주체의 권리 보장 범위가 넓다. GDPR은 데이터 이동권, 잊힐 권리 등의 권리를 보장하고, 이에 따른 기술적 지원이 필수다. 넷째, 국외 이전에 대한 요건도 엄격하다. 한국은 민간 분야에서 EU의 ‘적정성 결정’을 받지 않아, SCC(표준계약조항) 등 별도 보호조치가 필요하다.
개인정보 보호 전략 수립 시 고려해야 할 점
한국의 개발사가 EU 시장에 진출할 경우, 글로벌 규제 대응을 위한 운영체계가 필요하다. 우선, 게임 설계 단계에서 ‘프라이버시 중심 설계(Privacy by Design)’ 원칙을 적용해야 한다. 기본 설정으로 최소수집 구조를 채택하고, 옵트아웃 및 동의 선택지를 명확히 제공해야 한다. 또한, 지역별로 개인정보 처리방침과 동의 절차를 분리하고, 국외 이전에 대한 고지 및 권리 거부 수단을 제공하는 등 세분화된 정책 운영이 요구된다. 마지막으로, DPO(개인정보 보호책임자) 지정, DPIA(개인정보영향평가), 사용자 권리 행사 포털 등 GDPR 적용 기업으로서의 조직적·기술적 요건을 갖춰야 한다.
<표> GDPR과 한국 개인정보보호법 핵심 비교와 진출 시 유의점
3. 글로벌 개발사의 대응 사례와 한국 게임산업의 대응 전략
위반 리스크 회피에서 사용자 신뢰 확보로
유비소프트 사례 이후 글로벌 게임사들은 개인정보 보호 규제를 단순한 리스크 관리 차원을 넘어, 사용자 신뢰 제고와 브랜드 차별화 전략의 핵심 요소로 인식하고 있다. 특히 EU 시장 중심으로 데이터 최소화와 프라이버시 중심 설계(Privacy by Design) 전략을 강화하는 흐름이 뚜렷해지고 있다.
Valve는 ‘오프라인 모드’를 스팀에 기본 제공하며 최소 수집 체계를 유지하고 있고, CD Projekt Red는 게임 설정 내에서 데이터 수집 옵트아웃 기능을 명시화해 사용자 통제를 보장하고 있다. 마이크로소프트 Xbox는 게임 개발 초기 단계에서 프라이버시 영향평가(PIA)를 의무화하고 있으며, 닌텐도는 사용자가 데이터 유형별로 수집을 선택할 수 있는 계층화된 동의(Layered Consent) 시스템을 도입했다.
기술적·조직적 대응의 통합적 접근
EA와 Epic Games는 지역별 프라이버시 법령을 반영한 맞춤형 개인정보처리방침과 DPO 체계를 운영하며, 분석 데이터는 익명화하거나 로컬 기기 중심으로 처리하는 기술 전략을 병행한다. 소니는 개인정보를 원칙적으로 기기 내에서 분석하고 필요 최소한만 서버에 전송하는 ‘로컬 처리’ 방식을 채택함으로써 데이터 이동 및 국외 이전 리스크를 최소화하고 있다. 동시에, 일부 기업은 동의 관리 플랫폼(CMP; Consent Management Platform)을 구축하여 사용자의 개인정보 관련 동의·철회·조회·삭제 권한을 포괄적으로 관리할 수 있도록 사용자 통제력을 제고하고 있다.
이러한 전략은 법적 기준 충족을 넘어, 개인정보 보호 자체를 기능적 차별성과 사용자 신뢰 확보 수단으로 전환하는 추세를 반영한다. 한국 게임사들도 초기 설계 단계부터 프라이버시 보호를 내재화하고, 글로벌 대응 체계를 갖춘 거버넌스를 구축할 필요가 있다.
개인정보 보호 패러다임의 선제적 전환 필요
국내 기업은 글로벌 규제에 대응하기 위해 ‘최소 수집 원칙’을 개발 초기 단계에 내재화해야 한다. 게임 기능별로 꼭 필요한 데이터만 식별·수집하는 데이터 다이어트 체계를 구축하고, 싱글플레이어 게임에는 오프라인 모드를 기본 제공해야 한다. 그리고 개인정보 처리의 투명성과 사용자 통제권을 기술적으로 구현해야 한다. 데이터 대시보드, 계층화된 동의(Layered Consent), 제3자 공유 알림 기능 등은 실시간 제어 가능성을 통해 사용자 신뢰를 확보할 수 있다. 한편, 개인정보 보호를 단순한 규제가 아닌 경쟁력으로 인식해야 한다. 프라이버시 존중을 브랜드·마케팅 전략에 통합함으로써, 글로벌 사용자 기반에서 차별화된 이미지를 구축할 수 있다.
경영 차원에서는 개인정보 보호를 기업 전략과 연결하고, CEO 및 C레벨이 직접 관여하는 프라이버시 거버넌스를 구축해야 한다. 또한 전담 DPO/CPO, 기술 인력 확보, 전사 교육을 통해 조직 내 역량을 강화해야 한다. 글로벌 시장에서는 지역별 규제에 대응할 수 있는 맞춤형 구조가 필요하며 EU⋅미국⋅중국 등 지역별 데이터 기준을 반영한 개인정보처리방침, 국외 이전 동의 체계, 데이터 흐름 통제 도구 등을 조기에 마련해야 한다.
이와 같이 이용자 프라이버시를 사용자 중심의 개발 혁신과 경쟁력 제고 수단으로 접근한다면, 규제 대응은 비용이 아닌 기회가 될 수 있을 것이다.
참고문헌
- GamesIndustry.biz, "NGO files complaint against Ubisoft for data protection concerns and forcing always-online connections", 2025년 4월 24일,
https://www.gamesindustry.biz/ngo-files-complaint-against-ubisoft-for-data-protection-concerns-and-forcing-always-online-connections - TelecomLead, "Want to play games alone? Ubisoft still wants to spy on you", 2025년 4월 24일, https://telecomlead.com/broadband/want-to-play-games-alone-ubisoft-still-wants-to-spy-on-you-120776
- PC Gamer, "Here's another headache for Ubisoft: lawsuit alleges it illegally shared Ubisoft Store customer data with Meta", 2024년 10월 9일, https://www.pcgamer.com/gaming-industry/heres-another-headache-for-ubisoft-lawsuit-alleges-it-illegally-shared-ubisoft-store-customer-data-with-meta/
- CCN, "Ubisoft Accused of Illegally Harvesting Far Cry Gamer Data and Sending to Amazon, Google", 2025년 4월 24일, https://www.ccn.com/news/technology/ubisoft-accused-sending-far-cry-data-google-amazon/
- 80.lv, "Ubisoft Faces Lawsuit for Forcing Internet Connection in Single-Player Games", 2025년 4월 25일, https://80.lv/articles/ubisoft-faces-lawsuit-for-forcing-internet-connect-in-single-player-games
- NOYB, "Play alone? Ubisoft is still watching you", 2025년 4월 24일, https://noyb.eu/en/play-alone-ubisoft-still-watching-you
- Digital Watch, "Ubisoft under fire for forcing online connection in offline games", 2025년 4월 25일, https://dig.watch/updates/ubisoft-under-fire-for-forcing-online-connection-in-offline-games
- Eurogamer, "Privacy firm files Ubisoft legal complaint over data collection, forced online in single-player games", 2025년 4월 29일, https://www.eurogamer.net/privacy-firm-files-ubisoft-legal-complaint-over-data-collection-forced-online-in-single-player-games
- The Register, "Ubisoft NOYB complaint", 2025년 4월 24일, https://www.theregister.com/2025/04/24/ubisoft_noyb_complaint/
- 개인정보보호위원회, "개인정보 보호법", 2023년 개정
- 한국인터넷진흥원, "EU 일반 개인정보보호법(GDPR) 가이드북", 2021년