게임 개발사 개인정보보호법 완전 가이드

온라인·모바일 게임은 수백만 명의 유저 계정, 결제 정보, 게임 내 행동 데이터, 채팅 로그를 처리합니다. 게임 산업은 특히 미성년자 유저 비중이 높아 청소년보호법, 게임산업법과 함께 PIPA(개인정보보호법)가 엄격하게 적용됩니다.

1. 게임 계정 가입 단계

수집 항목 최소화

게임 가입 시 과도한 정보를 요구하는 경우가 많습니다.

| 항목 | 필요성 | |------|--------| | 아이디, 비밀번호 | 필수 | | 이메일 | 계정 복구 목적 — 필수 | | 생년월일 | 청소년 보호, 성인 콘텐츠 차단 — 필수 | | 이름 (실명) | 결제·환불 처리 시만 필요 — 조건부 | | 주민등록번호 | 원칙 금지 — 본인 확인 수단으로 대체 | | 전화번호 | SMS 인증용 — 인증 후 보관 여부 검토 필요 | | 주소 | 실물 상품 지급 이벤트 외 불필요 |

본인 확인 의무

게임산업진흥에관한법률에 따라 온라인 게임은 회원 가입 시 본인 확인 의무가 있습니다. 주민등록번호 수집 금지로 인해 현재는 휴대폰 인증, 아이핀, 신용카드 인증 방식을 사용합니다.

2. 미성년자 보호

게임 업계에서 가장 중요한 PIPA 이슈 중 하나입니다.

만 14세 미만 가입

만 14세 미만 아동은 법정대리인(부모) 동의 없이 가입 불가:

미성년자 가입 프로세스:
1. 생년월일 입력 → 만 14세 미만 확인
2. 법정대리인 이메일·휴대폰 입력
3. 법정대리인에게 동의 요청 발송
4. 법정대리인 본인 확인 + 동의
5. 계정 활성화

결제 동의

미성년자의 인앱 결제는 법정대리인의 동의가 원칙입니다. 미성년자가 보호자 몰래 결제한 경우 취소 요청이 가능하며, 게임사는 이에 응해야 합니다.

청소년 이용 불가 콘텐츠

성인용 콘텐츠·게임은 성인 인증 필수. 생년월일 입력만으로는 부족하며 본인 인증 절차가 필요합니다.

3. 게임 내 데이터 처리

게임 플레이 데이터

| 데이터 유형 | 처리 목적 | 주의사항 | |-------------|-----------|----------| | 접속 로그 | 계정 보안, 어뷰징 탐지 | 6개월~1년 보관 후 파기 | | 게임 내 행동 (퀘스트, 전투) | 게임 밸런싱, 서비스 개선 | 분석 후 집계 데이터로 전환 | | 채팅 로그 | 욕설·불법 행위 탐지 | 3~6개월 보관 후 파기 | | 친구·파티 관계 | 서비스 제공 | 계정 삭제 시 파기 | | 아이템·재화 거래 | 거래 분쟁 대응 | 5년 보관 (전자상거래법) |

채팅 로그 보관

게임 내 채팅 로그는 욕설·명예훼손·성희롱 신고 처리에 필요하지만, 장기 보관은 개인정보 과다 수집이 됩니다. 3~6개월 보관 후 파기하되, 신고 접수된 채팅은 처리 완료 시까지 보관합니다.

4. 결제 및 환불

인앱 결제 정보

• 신용카드 번호 직접 저장 금지 — 앱스토어(Apple, Google)나 PG사 토큰 방식 사용
• 결제 내역 보관: 5년 (전자상거래법)
• 캐릭터·아이템 구매 기록: 거래 기록으로 5년 보관

확률형 아이템 규제

2024년 게임산업법 개정으로 확률형 아이템 확률 공개가 의무화됐습니다. 이와 연계해:

• 이용자의 구매 이력·확률 결과 기록 보관 의무 (분쟁 대응)
• 확률 조작 의혹 시 로그 제출 가능하도록 체계 구축

환불 처리

환불 요청 시 수집하는 정보(계좌번호 등)는 환불 완료 후 즉시 파기합니다.

5. 핵·어뷰징 탐지와 개인정보

게임사는 부정 이용자를 탐지하기 위해 광범위한 모니터링을 합니다.

허용 범위

• 게임 내 행동 패턴 분석 (비정상 속도, 반복 행동): 서비스 무결성 목적으로 가능
• IP 주소 로깅 (다중 계정 탐지): 6개월 보관 후 파기
• 기기 정보 수집 (기기 지문, MAC 주소): 어뷰징 탐지 목적 — 처리방침 고지 필요

제한 범위

• 이용자 PC의 다른 프로그램 목록 스캔: PIPA 위반 가능 — 필요 최소한으로 제한
• 키로거 유사 방식의 입력 모니터링: 금지
• 게임 외 인터넷 사용 현황 수집: 금지

영구 정지 처리

어뷰징으로 영구 정지 처리된 계정의 정보:

• 계정 정보: 정지 사실 보관 (재가입 방지 목적)
• 개인정보: 정지 후 5년 보관 후 파기 (분쟁 대응)

6. 글로벌 서비스·국외 이전

한국 게임사가 글로벌 서비스를 운영하거나, 해외 게임사가 한국 서버를 운영하는 경우:

국내 서비스 → 해외 서버

• 한국 유저 데이터를 해외 서버(AWS 도쿄, 싱가포르 등)에 저장 시 국외 이전 해당
• 처리방침에 이전 국가, 수령자, 목적, 기간 명시
• 유저 동의 또는 표준 계약 조항(SCC) 방식 선택

해외 게임사의 한국 서비스

PIPA는 한국 유저에게 서비스를 제공하는 해외 사업자에게도 적용됩니다(역외 적용). 일정 규모 이상이면 국내 대리인 지정 의무가 있습니다.

7. 서비스 종료 시 데이터 처리

게임 서비스 종료는 다수 유저에게 영향을 미치므로 특별한 절차가 필요합니다.

종료 전 유저 고지

• 서비스 종료 최소 30일 전 공지 (게임산업법 권고)
• 개인정보 처리 계획 명시: 파기 일정, 캐릭터·아이템 환불 여부

유료 재화 환불

• 미사용 유료 재화(캐시, 젬 등) 환불 의무
• 환불 처리 과정에서 수집한 계좌번호: 환불 완료 후 파기

데이터 파기

• 게임 캐릭터·아이템 데이터: 서비스 종료 시 파기
• 결제 기록: 5년 보관 후 파기
• 채팅 로그: 종료 시 즉시 파기

8. 개인정보처리방침 게시

게임사 처리방침에 포함해야 할 게임 특화 항목:

1. 미성년자 처리 기준 (만 14세 미만 법정대리인 동의)
2. 게임 내 데이터 처리 (접속 로그, 채팅, 행동 데이터)
3. 어뷰징 탐지 목적 데이터 수집 범위
4. 국외 이전 (글로벌 서버 위치 명시)
5. 서비스 종료 시 처리 방침
6. 확률형 아이템 관련 기록 보관

9. PipaGuard 게임 개발사 지원

PipaGuard는 게임사의 개인정보 관리를 지원합니다.

• 미성년자 동의 프로세스 가이드: 법정대리인 동의 절차 설계
• 채팅 로그 보관 기간 알림: 3개월 파기 주기 자동 알림
• 국외 이전 처리방침 템플릿: 글로벌 서버 이전 고지 표준 문구
• 서비스 종료 체크리스트: 파기·환불·고지 단계별 가이드

👉 pipaguard.vercel.app에서 무료로 시작하세요.

마치며

게임사에서 PIPA 핵심은 미성년자 법정대리인 동의, 채팅·로그 보관 기간 준수, 어뷰징 탐지 범위 한정 세 가지입니다. 수억 명 유저를 보유한 글로벌 게임사도 PIPA 위반으로 과징금을 받은 사례가 있습니다. 서비스 설계 단계에서부터 개인정보 보호를 내재화하세요.