[FETV=신동현 기자] 국내 대표 게임사들이 정보보호와 개인정보보호 체계를 전면적으로 강화하고 있다. 국내 개인정보보호법과 정보통신망법 준수에 초점을 맞추던 과거와 달리, 최근에는 유럽의 GDPR(일반 개인정보보호 규정)과 아시아태평양 지역의 APEC CBPR(국경 간 프라이버시 규칙) 등 글로벌 체제에 대응하고 있다.

주요 게임사들의 ESG 보고서에 따르면 넥슨, 엔씨소프트, 넷마블, 카카오게임즈 등은 정보보호와 개인정보보호 체계 강화에 본격적으로 나서고 있다. 기존에는 국내 개인정보보호법과 정보통신망법 등 국내 법규 준수에 초점을 맞췄다면 최근에는 유럽의 GDPR(일반 개인정보보호 규정), 아시아태평양 지역의 APEC CBPR(국경 간 프라이버시 규칙) 등 글로벌 규제 대응까지 범위를 확대하고 있다.

2023년 넷마블과 카카오게임즈는 아시아태평양 지역에서 인정하는 개인정보 보호 인증인 'APEC CBPR'(Cross-Border Privacy Rules, 국경 간 프라이버시 규칙)을 새로 취득했다. APEC CBPR은 아시아태평양경제협력체(APEC) 회원국 간 개인정보 국외이전 시 안전성을 보장하는 인증 제도로 회원국 간 개인정보 이전 시 별도의 복잡한 절차 없이 정보를 안전하게 이전할 수 있다.

위메이드의 경우 APEC CBPR과 함께 미국 캘리포니아 소비자 개인정보 보호법(CCPA)에 대한 인증도 새로 취득했다.

엔씨소프트는 기존 ISMS-P, ISO(국제표준화기구) 인증에 더해 CBPR 인증도 획득했다. 이를 통해 글로벌 시장에서도 개인정보 보호 수준을 공식적으로 인정받았으며 해외 자회사에도 동일한 보호 체계를 적용하고 있다.

펄어비스는 개인정보 보호 대응 범위를 기존 16개국에서 20개국 이상으로 확대했으며 개인정보 암호화 기술 등을 추가 도입해 개인정보 보호 기술을 고도화했다.

이용자들에게 친화적으로 정보 제공하는 전략도 활용하고 있다. 넥슨은 기존 인증을 유지하면서도 아동·청소년 이용자의 개인정보 보호를 위해 안내 문서를 쉽게 제작해 정보 보호 안내를 강화했다.

NHN은 그림과 아이콘 등을 활용해 이해하기 쉽게 구성한 ‘알기 쉬운 개인정보처리방침’을 정식 도입해 이용자 편의를 개선했다.

크래프톤은 위험관리 계획을 통해 관리적, 물리적, 기술적 리스크를 식별하고 개선하는 방식을 채택하고 있다.

내부 직원의 정보보호 인식과 대응력을 높이기 위한 교육과 캠페인도 진행하고 있다. 넥슨은 숏폼(Short-form) 영상 콘텐츠로 정보보호 교육을 제공하며 넷마블과 NHN은 직무별 맞춤형 교육 프로그램을 운영 중이다. 엔씨소프트와 위메이드는 해외 자회사를 포함한 전 직원을 대상으로 글로벌 개인정보 보호 규정 교육을 실시하고 있고 펄어비스는 협력사 직원까지 교육 대상을 확대했다

크래프톤은 침해사고와 IT 재해에 대비한 모의훈련을 연 1회 실시하며 개인정보 처리 수탁자 관리 감독과 개인정보 이용내역 통지, 손해배상 책임보험 가입 등 다각적인 보호 체계를 운영하고 있다.

침해사고 부문의 경우 넥슨과 엔씨소프트는 연례적으로 침해 사고 대응 모의훈련을 실시하며 실제 위협 상황에 대한 대응 능력을 강화하고 있다. 넷마블과 NHN은 24시간 상시 모니터링 체계를 운영해 실시간으로 보안 상황을 감시하며 펄어비스와 위메이드는 SIEM(보안 정보 이벤트 관리) 시스템을 통해 사전 차단과 자동 대응 시스템을 정비했다.