국내 게임사의 텐센트 클라우드 의존과 정보보호 리스크

中 정보 유출 우려 커지는데…넥슨·넷마블·크래프톤·시프트업, '텐센트 클라우드' 의존 : 네이트 뉴스

中 정보 유출 우려 커지는데…넥슨·넷마블·크래프톤·시프트업, '텐센트 클라우드' 의존 : 네이

 

• 국내 게임사의 텐센트 클라우드 의존 현황
  • 넥슨, 넷마블, 크래프톤, 시프트업 등 주요 게임사가 텐센트 클라우드를 사용
  • 게임 퍼블리싱 지원, 중국 본토 회선 연계, 데이터 전송 비용 절감 등의 이유로 선호
  • 서울 리전 운영 중이며 AWS 대비 전송 요금이 30% 이상 저렴
• 보안 및 개인정보 보호에 대한 우려
  • 텐센트는 중국 ‘데이터 보안법’에 따라 중국 정부의 정보 제공 요구에 응해야 할 의무 존재
  • 한국에 ISMS는 취득했으나, 개인정보처리 포함된 ISMS-P는 미취득 상태
  • 중국 서버가 아닌 한국 서버에 저장된 정보도 법적·기술적 리스크에서 자유롭지 않음
  • 미국 국방부의 중국 군사기업(CMC) 블랙리스트에 포함된 바 있음
• 법적·제도적 미비점과 리스크
  • 텐센트 클라우드는 ISMS 인증만 보유, 개인정보 처리 프로세스를 포함한 인증 부족
  • 중국 클라우드 사업자는 국내법과 별도로 중국 국내법을 따르는 구조로 운영
  • 한국 사용자 개인정보가 사실상 중국 당국의 요청 시 제공될 가능성 배제 어려움
• ISMS-P 인증의 중요성과 국내 기준
  • ISMS는 보안 관리체계 중심, ISMS-P는 개인정보 수집, 이용, 제3자 제공까지 포함
  • 국내 주요 클라우드 사업자(NHN, 네이버, KT)는 모두 ISMS-P 보유
  • 국내 클라우드 인프라 보안의 신뢰성과 비교 시, 텐센트 클라우드는 상대적 취약
• 보안 전문가 및 개인정보 보호 관련 입장
  • 한국개인정보보호책임자협의회 등에서는 실질적인 보호조치 부족을 문제로 지적
  • 개인정보 수집 위치가 한국이더라도 법적 주체가 중국계인 이상 위험 존재
  • 민감한 정보의 클라우드 위탁 시 공급망 리스크 분석 및 이행 확인 필요
• 결론
  • 정보주체 보호를 위해 게임사와 클라우드 이용 기업은 ISMS-P 확보 여부를 최소 기준으로 검토해야 함
  • 정부 차원에서도 외국계 클라우드 사업자의 개인정보 처리에 대한 감시와 제도 보완 필요
  • 텐센트 클라우드 사용 시 데이터 처리, 저장, 제공 경로에 대한 명확한 관리·통제가 선행돼야 함
  • 게임사 등 민간 기업도 단기적 비용 절감보다 장기적 보안 리스크에 대한 인식 강화 필요