기술

서브나우티카2를 샀다면, 축하한다 — 당신은 이미 상품이다

AI 생성 이미지 - 서브나우티카2 플레이어가 컴퓨터 모니터 앞에서 Crafton, Epic, Sentry 등 4개 텔레메트리 서비스로부터 데이터 수집 위협을 받고 있는 장면. 경고 표시와 자물쇠 아이콘이 동의 없는 개인정보 침해를 상징한다.
AI 생성 이미지 - 서브나우티카2의 동의 전 개인정보 수집 문제를 시각화한 편집 일러스트레이션

한줄 요약

서브나우티카2가 얼리 액세스 출시 12시간 만에 200만 장 판매와 46만 동시접속이라는 기록을 세웠으나, 플레이어가 EULA에 동의하기도 전에 4개의 텔레메트리 파이프라인이 활성화되어 개인 데이터를 수집하고 있었다는 사실이 드러나 거대한 논란이 일고 있다. 크래프톤 계정, 에픽 온라인 서비스 계정, 하드웨어 핑거프린트, 센트리 세션이 동의 화면 이전에 자동 생성되었으며, EULA에는 최대 배상 한도 50달러, VPN 사용 시 라이선스 해지, 명성 훼손 시 해지, 집단소송 금지 등의 독소 조항이 포함되어 있다. 퍼블리셔 크래프톤은 한국 대표 게임사임에도 개발사에게 2억 5천만 달러 보너스를 회피하기 위해 해고를 단행하고 ChatGPT로 법적 전략을 수립하다 패소한 전력이 있어 신뢰도에 치명적인 결함을 안고 있다. EU 소비자들은 이미 GDPR 위반을 근거로 소비자보호기관에 신고를 개시했으며, 2026년 Q4 도입 예정인 EU 디지털 공정법이 이 사건의 규제적 기폭제가 될 전망이다. 이 사태는 단일 게임의 문제가 아니라 20년간 게임 업계가 암묵적으로 유지해온 동의 없는 감시 관행의 민낯이 터져 나온 구조적 사건이며, 크래프톤의 모국인 한국에서도 개인정보보호법(PIPA)과 공정거래 차원의 검토가 불가피해지고 있다.

핵심 포인트

1

동의 전 4개 텔레메트리 파이프라인 자동 활성화

서브나우티카2는 게임 실행 후 EULA 동의 화면이 표시되기 전에 이미 4개의 텔레메트리 파이프라인을 활성화한다. 크래프톤 자체 API 서버, 에픽 온라인 서비스(EOS), 독점 텔레메트리 엔드포인트, 센트리(Sentry) 에러 추적 서비스가 게임 실행 직후 연결을 시작하며, 플레이어의 하드웨어 핑거프린트, 크래프톤 계정, 에픽 계정, 센트리 세션을 자동으로 생성한다. 이는 EU GDPR의 "적법한 근거 없는 개인 데이터 처리 금지" 원칙에 정면으로 위배될 수 있는 행위로, 스팀 커뮤니티 포럼의 기술 분석에서 처음 발견된 이후 독립 게임 매체들의 교차 검증을 통해 사실로 확인됐다. 특히 하드웨어 핑거프린트는 기기를 고유하게 식별할 수 있는 정보로, 이를 동의 없이 수집하는 것은 웹 브라우저의 쿠키 추적보다 더 침습적인 감시 행위에 해당하며, 한국 개인정보보호법(PIPA)에서도 동일하게 "고유 식별정보의 무단 처리 금지" 조항의 적용 대상이 된다. 이 문제는 서브나우티카2만의 고유한 관행이 아니라, 에픽 온라인 서비스를 탑재한 수백 개 게임에서 유사하게 발생할 수 있는 구조적 문제라는 점에서 파급력이 매우 크다.

2

EULA 독소 조항 5가지와 법적 불균형

서브나우티카2의 EULA에는 소비자에게 극도로 불리한 다수의 독소 조항이 포함되어 있다. 최대 배상 한도를 50달러로 설정하여 퍼블리셔가 어떤 손해를 입혀도 사실상 면책되는 구조를 만들었고, VPN 사용 시 라이선스를 해지할 수 있다는 조항은 프라이버시를 보호하려는 소비자 행위 자체를 처벌 대상으로 규정한다. "명성 훼손" 시 라이선스 해지 조항은 기업 비판을 억제하는 입막음 조항으로 기능하며, 집단소송 금지와 강제 중재 조항은 소비자의 법적 구제 수단을 원천적으로 차단한다. 더 나아가 다중 기기 사용 시 별도 구매를 요구하는 조항은 디지털 콘텐츠의 플랫폼 간 이동성을 부정하는 것으로, EU 디지털 콘텐츠 지침과 충돌할 소지가 크며, 한국 공정거래위원회의 온라인 서비스 불공정 약관 심사 기준에도 정면으로 위배될 가능성이 높다. 개발자는 법정에서 2억 5천만 달러를 다투었지만, 플레이어에게는 50달러가 최대 배상 한도인 극단적 비대칭이 디지털 게임 산업의 권력 불균형을 적나라하게 드러내고 있다.

3

크래프톤의 전과와 구조적 신뢰 결손

크래프톤은 이 사건 이전에도 개발자 착취와 법적 탈법으로 신뢰도에 심각한 타격을 입은 바 있다. Unknown Worlds 개발진에게 약속했던 2억 5천만 달러 보너스를 회피하기 위해 핵심 직원들을 해고했고, 이 과정에서 ChatGPT를 사용해 법적 전략을 수립했다가 법정에서 패소하는 전대미문의 사건을 일으켰다. 이 패소로 인해 크래프톤은 스팀에서 퍼블리셔 지위를 박탈당하는 극단적 결과를 맞았으며, 게임 업계에서 유례없는 수준의 신뢰 추락을 경험했다. 개발자에게 약속한 돈을 AI로 꺾으려 한 회사가 플레이어의 데이터를 동의 없이 수집한다는 사실은 우연이 아니라, "약속과 동의를 비용 절감 대상으로 취급하는" 기업 문화의 일관된 발현이라고 볼 수밖에 없으며, 한국 코스피 상장 대기업으로서 국내 기관투자자와 개인 주주들의 신뢰도 함께 심각하게 훼손하고 있다는 점이 국내 자본시장에서도 주목받고 있다. 소비자 신뢰 회복은 약관 수정 몇 줄이 아니라 기업 거버넌스의 근본적 전환이 필요한 수준이다.

4

EU GDPR 신고와 디지털 공정법의 규제적 연결

EU 소비자들이 개시한 GDPR 신고는 이 사태를 단순한 온라인 분노에서 법적 절차로 격상시킨 전환점이다. GDPR은 동의 없는 개인 데이터 처리에 대해 전 세계 매출의 최대 4%까지 과징금을 부과할 수 있으며, 크래프톤의 2025년 연결 매출 약 2조 원을 기준으로 하면 수백억 원 규모의 제재가 이론적으로 가능하다. 더 중요한 것은 타이밍인데, EU는 2026년 Q4에 디지털 공정법(Digital Fairness Act) 도입을 예고하고 있으며, 이 법안은 디지털 콘텐츠의 불공정 약관을 직접 규제하는 조항을 포함할 예정이다. 한국에서도 개인정보보호위원회가 동일한 권한으로 PIPA 위반을 조사할 수 있으며, 양국의 규제가 동시에 작동할 경우 크래프톤이 직면하는 법적 리스크는 단일 규제 대비 훨씬 광범위해진다. 나는 이 사건이 게임 업계에서 GDPR이 실질적으로 집행되는 최초의 주요 테스트 케이스 중 하나가 될 것이며, 그 결과에 따라 전체 업계의 데이터 수집 관행이 근본적으로 재편될 수 있다고 판단한다.

5

게임 업계 전체의 "묵시적 감시 합의" 균열

서브나우티카2 사건의 가장 큰 의미는 개별 게임이 아니라 게임 산업 전체의 데이터 수집 관행이 대중의 시선에 놓였다는 점이다. 에픽 온라인 서비스는 수백 개의 게임에 탑재되어 있고, 유니티 애널리틱스, 스팀웍스 텔레메트리, 언리얼 인사이트 등 주요 게임 엔진과 플랫폼의 데이터 수집 범위는 대부분의 플레이어가 인지하는 수준을 훨씬 초과한다. 업계는 지난 20년간 "플레이어가 모르면 문제없다"는 암묵적 합의 위에서 텔레메트리 인프라를 꾸준히 확장해왔다. 이번 사건으로 그 합의에 균열이 생겼고, 한번 균열이 생긴 신뢰는 복원이 매우 어렵다. 특히 기술에 밝은 젊은 게이머 세대가 Wireshark 같은 네트워크 분석 도구를 일상적으로 사용하게 되면서, 앞으로 유사한 폭로가 다른 대형 게임에서도 연쇄적으로 발생할 가능성이 높으며, 한국 게임사들 역시 이 흐름에서 자유롭지 않다. 이는 단순한 한 회사의 실수가 아니라, 게임 산업 전체의 데이터 수집 패러다임이 전환기에 접어들었다는 신호로 읽어야 한다.

긍정·부정 분석

긍정적 측면

  • 게이머 커뮤니티의 체계적 소비자 행동주의 부상

    이번 서브나우티카2 사태에서 가장 인상적인 건 게이머들의 반응이 단순한 온라인 분노를 넘어 체계적인 소비자 행동주의로 진화했다는 점이다. 네트워크 트래픽을 직접 캡처하고 분석해서 4개 텔레메트리 엔드포인트를 식별한 기술 분석이 스팀 포럼에서 공유됐고, EULA의 개별 조항을 법적 관점에서 해체하는 문서가 레딧과 디스코드에서 작성됐다. 스팀 리뷰 시스템을 통한 조직적 비판과 함께 EU 소비자보호기관에 공식 신고까지 진행됐으며, 한국 이용자들 사이에서도 개인정보보호위원회 신고를 독려하는 움직임이 나타났다. 과거에는 EULA 논란이 며칠짜리 밈으로 소비되고 잊혀졌지만, 이번에는 법적, 기술적, 제도적 채널을 동시에 활용하는 다각적 대응이 이루어지고 있다. 이런 조직적 소비자 행동은 게임 업계에 "EULA는 아무도 안 읽는다"는 관행의 위험성을 경고하는 실질적 압력으로 작용하고 있으며, 향후 유사 사건에서의 중요한 선례가 된다.

  • EU 규제 프레임워크의 실질적 집행력 입증 기회

    EU는 GDPR, 디지털 서비스법(DSA), 디지털 시장법(DMA)을 연이어 통과시키며 세계에서 가장 강력한 디지털 소비자 보호 체계를 구축해왔다. 서브나우티카2 사건은 이 규제 인프라가 게임 산업이라는 구체적 영역에서 실질적으로 작동하는지를 시험하는 테스트 케이스가 될 수 있다. GDPR의 동의 원칙이 게임 텔레메트리에 적용되면, 업계 전체가 데이터 수집 프로세스를 재설계해야 하는 도미노 효과가 발생한다. 2026년 Q4 도입 예정인 디지털 공정법까지 합류하면 EULA의 불공정 조항 자체를 규제하는 근거가 마련되어, 50달러 배상 한도나 집단소송 금지 같은 조항이 EU 시장에서 무효화될 수 있다. EU의 규제 성공 사례는 일본, 한국, 호주 등 다른 국가들의 유사 입법을 촉진하는 "브뤼셀 효과"를 발휘할 가능성이 높으며, 이는 글로벌 게임 시장 전체에 파급된다.

  • 스팀 리뷰 시스템의 민주적 견제 기능 재확인

    스팀 리뷰 시스템이 소비자 보호의 최전선에서 작동한다는 사실이 이번 사건으로 다시 한번 확인됐다. 서브나우티카2에 쏟아진 부정적 리뷰는 단순한 감정적 반응이 아니라, 텔레메트리 분석 결과와 EULA 조항 인용이 포함된 근거 있는 비판이 다수였다. 이 리뷰들은 잠재적 구매자에게 정보에 기반한 구매 결정을 가능하게 하는 실질적 역할을 수행하고 있다. 스팀은 퍼블리셔가 리뷰를 삭제하거나 조작할 수 없는 구조를 유지하고 있어, 게임 업계에서 몇 안 되는 소비자 주도형 견제 메커니즘으로 기능하며, 이 사건은 리뷰 시스템이 게임 품질뿐 아니라 기업의 약관 관행과 데이터 수집 투명성까지 견제하는 도구로 확장될 수 있다는 가능성을 생생하게 보여줬다. 한국 게이머들이 리뷰 문화에 적극 참여할수록 플랫폼 내 소비자 권리 감시 기능이 더욱 강화되며, 이는 크래프톤 같은 국내 기업에게 실질적 시장 압력으로 작용한다.

  • Unknown Worlds 개발팀의 독립성 회복 가능성

    이 논란의 역설적 긍정 측면은 개발사 Unknown Worlds의 독립성이 다시 주목받을 수 있다는 점이다. 크래프톤과의 법적 분쟁에서 개발진이 2억 5천만 달러 보너스를 쟁취한 사실은 개발자가 퍼블리셔에게 법적으로 맞설 수 있다는 강력한 선례를 만들었다. EULA 논란으로 크래프톤의 퍼블리셔 지위가 약화되면, Unknown Worlds가 약관과 데이터 정책에 대한 발언권을 확대할 여지가 생기며, 개발사 주도의 소비자 친화적 약관 재협상이 가능해질 수 있다. 실제로 게이머 커뮤니티에서는 "문제는 Unknown Worlds가 아니라 크래프톤"이라는 인식이 빠르게 확산되고 있어, 개발사의 브랜드 가치는 상대적으로 보존되고 있다. 장기적으로 이 사건이 게임 업계에서 개발사와 퍼블리셔 간 권력 균형을 재조정하고, 창작자 중심의 계약 구조를 확립하는 계기가 될 수 있다는 점에서 의미가 크다.

  • 디지털 리터러시와 소비자 의식의 세대적 진화

    이번 사태는 게이머들의 디지털 리터러시가 눈에 띄게 향상됐음을 보여주는 사례이기도 하다. 과거에는 EULA나 텔레메트리를 문제 삼는 목소리가 소수 기술 전문가에 한정됐지만, 지금은 일반 게이머들도 네트워크 모니터링 도구를 사용하고 법적 조항을 분석하는 수준에 도달했다. 이는 개인정보 보호에 대한 사회적 인식이 게임 커뮤니티까지 깊숙이 침투했다는 의미이며, 한국에서도 개인정보보호법과 관련 소비자 권리에 대한 청년 세대의 인식이 빠르게 성숙하고 있다. 특히 Z세대 게이머들은 디지털 네이티브로서 프라이버시 도구와 VPN 사용에 익숙하고, EULA가 자신의 권리를 어떻게 제한하는지에 민감하게 반응한다. 이런 세대적 변화는 게임 업계가 "동의 없는 데이터 수집"이라는 관행을 장기적으로 유지하기 어렵게 만드는 구조적 압력으로 작용할 것이며, 업계의 투명성 향상을 촉진하는 강력한 동력이 된다.

우려되는 측면

  • EULA 동의 체계의 근본적 허구성

    가장 우려되는 점은 서브나우티카2만 고치더라도 EULA 동의 체계 자체의 근본적 결함은 해결되지 않는다는 것이다. 수천 단어에 달하는 법률 문서를 소비자가 읽고 이해한다는 전제는 허구이며, 실제 연구에 따르면 EULA를 완독하는 사용자는 전체의 1% 미만이다. "동의합니다" 버튼은 법적 형식일 뿐 실질적 정보 제공에 기반한 동의(informed consent)가 아니라는 비판은 법학계에서 20년 넘게 제기되어 왔다. 크래프톤이 동의 화면 위치를 앞당기더라도, 플레이어가 4개 텔레메트리 파이프라인의 존재와 의미를 이해하고 진정으로 동의할 가능성은 극히 낮다. 이 구조적 문제를 해결하려면 EULA 체계 자체의 혁신, 예컨대 기계 판독 가능한 권리 명세서나 핵심 조항 시각화 같은 근본적 접근이 필요하지만, 그 실현은 아직 요원하다.

  • 텔레메트리 사전 수집의 기술적 일반화

    서브나우티카2가 특별히 나쁜 것이 아니라 업계 전체의 관행이라는 사실이 오히려 문제의 해결을 어렵게 만든다. 에픽 온라인 서비스는 포트나이트를 포함한 수백 개 게임에 통합되어 있고, 유니티 애널리틱스는 모바일 게임의 절대 다수에서 사용된다. 이 미들웨어들은 개발자가 별도로 설정하지 않으면 기본적으로 텔레메트리를 수집하는 구조이며, 많은 인디 개발자들은 자신의 게임이 어떤 데이터를 전송하는지 정확히 파악하지 못하는 경우도 있다. 한 게임의 관행을 바꾸는 건 가능하지만, 전체 미들웨어 생태계의 기본값을 바꾸는 건 차원이 다른 문제이며, 이건 개별 퍼블리셔가 아니라 에픽, 유니티, 밸브 같은 플랫폼 사업자의 근본적 정책 변화가 필요한 영역이다. 그 변화의 인센티브가 현재로서는 매우 약하다는 것이 핵심 문제이며, 한국 게임사들이 탑재하는 해외 미들웨어 역시 이 동일한 구조에서 자유롭지 않다.

  • 집단소송 금지 조항의 미국 법적 유효성

    미국 시장에서 EULA의 집단소송 금지 및 강제 중재 조항은 연방대법원 판례에 의해 광범위하게 유효하다고 인정받아 왔다. 2011년 AT&T 대 콘셉시온 판결 이후, 소비자 약관의 중재 조항은 연방중재법(FAA)에 의해 보호되며 이를 뒤집기가 매우 어렵다. 즉 미국 게이머들은 서브나우티카2의 EULA에 동의한 이상, 집단소송이라는 가장 강력한 소비자 무기를 사용할 수 없게 된다. EU에서는 이런 조항이 불공정 약관으로 무효화될 수 있지만, 미국이 세계 최대 게임 시장이라는 점을 고려하면 실질적 법적 보호의 공백이 매우 크다. 이 구조에서 개별 소비자가 50달러 상한의 중재로 크래프톤에 맞서는 건 현실적으로 불가능하며, 이는 법적 체계 자체가 기업에 유리하게 설계되어 있다는 본질적 문제를 드러내는 동시에 한국의 소비자기본법과 공정거래법이 제공하는 상대적으로 강한 집단분쟁조정 제도의 가치를 재조명하게 한다.

  • 소비자 피로와 관심 소멸의 위험

    게이머들의 분노가 지속되기 어렵다는 것도 현실적이고 심각한 우려다. 게임 업계에서 EULA 논란은 주기적으로 발생하지만, 대부분 2~3주 내에 관심이 소멸하는 반복적 패턴을 보여왔다. 2023년 유니티의 설치당 과금 논란, 2024년 소니의 헬다이버2 PSN 강제 연동 논란도 한때 격렬했지만 결국 퍼블리셔의 부분적 양보로 봉합됐고, 업계의 구조적 변화까지 이어지지는 못했다. 서브나우티카2도 6월이나 7월에 다음 대작이 출시되면 뉴스 사이클에서 밀려날 가능성이 높다. 특히 게임 자체의 품질이 우수하다는 평가가 이미 나오면서 "게임은 재밌으니까 EULA는 참고 넘어가자"는 실용주의적 태도가 빠르게 확산될 여지가 있어, 장기적 변화 동력이 약화될 위험이 존재한다. 이러한 "분노의 짧은 수명"이야말로 게임 업계가 약관 논란을 관리 가능한 비용으로 취급해온 근본 원인이다.

  • 글로벌 규제 격차에 의한 관할권 쇼핑

    EU가 강력한 규제를 시행하더라도 글로벌 게임 시장의 규제 격차는 기업에게 유리한 "관할권 쇼핑"의 여지를 제공한다. 크래프톤은 한국 기업이지만 게임은 전 세계에서 판매되고, 서버는 여러 국가에 분산되어 있다. EU 규제를 피하기 위해 EU 이외 지역 사용자에게는 현행 관행을 유지하면서 EU 버전만 별도로 운영하는 "규제 분리" 전략이 가능하다. 이미 GDPR 시행 이후 많은 글로벌 서비스들이 EU 사용자에게만 다른 약관과 프라이버시 설정을 적용하는 관행이 일반화되어 있으며, 이 경우 한국·미국·일본 이용자들은 EU 이용자 대비 열등한 소비자 보호를 받게 된다. 이런 규제 격차는 "프라이버시 불평등"을 고착화시킬 위험이 있으며, 한국 개인정보보호위원회가 독자적으로 강력한 제재를 내릴 의지와 능력을 갖추는 것이 이 격차를 해소하는 현실적인 경로다.

전망

향후 1~6개월 사이에 가장 먼저 벌어질 일은 크래프톤의 "약관 수정 제스처"다. 게임 업계의 약관 논란은 항상 이 패턴을 따른다. 스팀 리뷰 폭탄이 떨어지고, SNS에서 불매 운동이 확산되고, 결국 퍼블리셔가 "여러분의 목소리를 들었습니다"라는 블로그 포스트와 함께 일부 조항을 수정한다. 나는 크래프톤이 2026년 6월 말까지 VPN 해지 조항과 명성 훼손 해지 조항을 삭제하거나 완화할 것으로 본다. 하지만 핵심인 50달러 배상 한도와 집단소송 금지 조항은 손대지 않을 확률이 70% 이상이라고 판단한다. 이 두 조항이야말로 기업의 법적 방어선의 핵심이고, 이걸 건드리는 순간 모든 소송에서 노출되기 때문이다.

텔레메트리 문제도 단기적으로 부분적 양보가 있을 거다. EULA 동의 전 데이터 수집이 가장 강력한 비판 포인트이기 때문에, 크래프톤은 동의 화면을 게임 실행 최초 단계로 앞당기는 패치를 6~8주 내에 배포할 가능성이 높다. 하지만 여기서 솔직히 짚어야 할 게 있다. 이건 실질적 변화가 아니다. 동의 화면의 위치만 바꾸는 거지, 수집하는 데이터의 범위나 4개 파이프라인의 구조는 그대로 유지될 거다. 게이머 입장에서 진짜 중요한 변화, 즉 텔레메트리를 개별적으로 끌 수 있는 옵트아웃 옵션이 제공될 가능성은 현시점에서 25% 미만이라고 본다. 텔레메트리 데이터는 개발과 수익화의 핵심 인프라이고, 이걸 옵트아웃으로 만들면 데이터 품질이 급락하기 때문에, 크래프톤은 물론이고 에픽이나 센트리 같은 파트너사들도 이를 허용하지 않을 거다. 결국 단기적으로 우리가 볼 수 있는 건 "형식의 변화"이지 "실질의 변화"가 아니라는 점을 명확히 해두고 싶다.

중기적으로 6개월에서 2년 사이에는 EU의 규제 움직임이 본격화된다. 2026년 Q4에 도입 예정인 EU 디지털 공정법(Digital Fairness Act)은 현재 초안 단계에서 디지털 콘텐츠의 불공정 약관을 직접 규제하는 조항을 포함하고 있다. 이 법이 예정대로 통과되면, 50달러 배상 한도 같은 조항은 EU 시장에서 자동으로 무효화될 수 있다. 나는 이 법의 통과 확률을 65~70%로 본다. 왜냐면 EU는 GDPR, 디지털 서비스법(DSA), 디지털 시장법(DMA)까지 연속으로 디지털 규제를 통과시켜왔고, 디지털 공정법은 그 연장선에 있기 때문이다. 더 중요한 건 GDPR 과징금이 실제로 부과될 수 있다는 점인데, 크래프톤의 글로벌 매출 약 2조 원 기준으로 전 세계 매출의 4%면 약 800억 원 규모의 제재가 이론적으로 가능하다. 이건 메타가 2023년 GDPR 위반으로 12억 유로 과징금을 맞은 것과 같은 맥락이다. 물론 크래프톤 규모에서 그 수준의 과징금이 나올지는 미지수이지만, 선례가 만들어지는 것 자체가 업계 전체에 경고등을 켜는 효과가 있다. 이 숫자 하나만으로 업계 전체가 긴장할 수밖에 없다.

중기적으로 더 흥미로운 변화는 게임 업계 내부에서 일어날 "자율 규제 경쟁"이다. GDPR 시행 후 웹사이트들이 쿠키 배너를 경쟁적으로 도입했듯이, 디지털 공정법 시행이 가시화되면 게임 퍼블리셔들이 "우리는 투명한 텔레메트리를 제공합니다"라는 차별화 전략을 쓰기 시작할 거다. 실제로 인디 게임 개발사들 사이에서는 이미 "텔레메트리 프리" 또는 "완전 옵트인 텔레메트리"를 마케팅 포인트로 활용하는 움직임이 나타나고 있다. 나는 2027년 말까지 스팀이 게임 스토어 페이지에 "데이터 수집 라벨" 같은 표시를 도입할 확률을 40%로 본다. 애플 앱스토어의 프라이버시 라벨처럼, 게임이 어떤 데이터를 수집하는지 한눈에 볼 수 있는 시스템이 되는 거다. 물론 밸브가 자발적으로 이걸 하느냐는 별개의 문제지만, EU 규제가 실질적으로 작동하기 시작하면 플랫폼 차원의 투명성 도구가 경쟁적으로 도입될 가능성은 충분하다.

장기적으로 2~5년을 내다보면 진짜 구조적 변화의 가능성이 열린다. 가장 큰 변수는 "게임 소비자 권리법"이라는 별도 입법이 EU에서 추진될 수 있다는 점이다. 현재 GDPR은 일반적인 개인 데이터 보호법이고, 게임 특유의 문제, 그러니까 인게임 구매, 루트박스, 텔레메트리, EULA 불공정 조항, 디지털 소유권 같은 것을 포괄하기에는 한계가 있다. 2024년부터 EU 의회 내에서 "게임 및 디지털 콘텐츠 소비자 보호 지침" 논의가 시작됐고, 서브나우티카2 사건이 이 논의에 불을 지필 수 있다. 나는 2028~2029년까지 EU가 게임 특화 소비자 보호 지침을 초안 단계까지 진행할 확률을 35%로 추정한다. 지금 당장은 낮아 보이지만, 루트박스 규제 논의가 벨기에에서 시작돼 EU 전체로 확산된 사례를 보면 불가능한 시나리오는 아니다. 만약 이 지침이 실현되면, 게임 퍼블리셔는 EU 시장에서 EULA에 포함할 수 있는 조항의 종류 자체가 제한될 수 있고, 배상 한도 설정이나 집단소송 금지 같은 조항은 원천적으로 무효화된다.

장기적으로 더 근본적인 변화는 "EULA의 죽음"이다. 현재의 EULA 체계는 1990년대 소프트웨어 산업에서 만들어진 것으로, 소비자가 수천 단어의 법률 문서를 읽고 이해한다는 허구적 전제 위에 서 있다. 실제 데이터에 따르면 EULA를 완독하는 사용자 비율은 1% 미만이며, 이는 법적 "정보 제공에 기반한 동의"의 요건을 충족하지 못한다는 학계의 비판이 20년 넘게 이어져 왔다. 나는 2030년까지 EU가 디지털 콘텐츠 약관에 "핵심 조항 요약 의무"와 "기계 판독 가능한 권리 명세서" 제공을 의무화할 가능성을 50%로 본다. 이렇게 되면 EULA는 현재의 형태로 존속할 수 없게 된다. 수천 단어의 읽히지 않는 법률 문서가 아니라, 핵심 조항 10개를 아이콘과 색상으로 시각화하고, 기계가 자동으로 비교 분석할 수 있는 표준 형식이 요구될 거다. 이건 식품 산업에서 영양 성분표가 의무화된 것과 같은 논리다. 소비자가 모든 성분을 이해할 필요는 없지만, 핵심 정보가 표준화된 형식으로 제공되면 비교와 선택이 가능해지는 것이다.

시나리오별로 정리해보겠다. 최적 시나리오(Bull Case, 확률 20%)에서는 서브나우티카2 사건이 게임 분야의 "쿠키 배너 모멘트"가 되어, EU 디지털 공정법이 예정대로 2026년 Q4에 통과되고, 크래프톤에 GDPR 과징금이 부과되며, 스팀이 2027년 중 데이터 수집 라벨을 도입하고, 다른 퍼블리셔들이 자발적으로 텔레메트리 옵트아웃을 제공하기 시작한다. 이 경우 2028년경에는 "동의 없는 텔레메트리"가 업계에서 사실상 퇴출되고, EULA의 불공정 조항이 EU 시장에서 체계적으로 걸러지는 새로운 표준이 확립될 수 있다. 기본 시나리오(Base Case, 확률 55%)에서는 크래프톤이 일부 EULA 조항을 수정하고 동의 화면 위치를 앞당기는 패치를 내놓지만 구조적 변화는 없고, EU 신고는 접수되지만 실질적 과징금까지 2~3년이 소요되며, 업계 전체의 관행 변화는 매우 느리게 진행된다. 최악의 시나리오(Bear Case, 확률 25%)에서는 게이머들의 관심이 2~3주 내에 소멸하고, 크래프톤이 형식적 수정만 하고 넘어가며, EU 신고가 관료적 지연으로 흐지부지되고, 다른 퍼블리셔들이 "우리도 같은 수준인데 아무 일 없었다"며 현행 관행을 공고히 유지한다.

특히 한국 시장의 맥락에서 이 사태는 더 복잡하고 중요한 의미를 띤다. 크래프톤은 코스피 상장 한국 기업이며, 한국 개인정보보호법(PIPA)은 동의 없는 개인정보 수집에 대해 전체 매출의 3% 이하 과징금과 형사 처벌까지 규정하고 있다. 개인정보보호위원회가 이번 사태를 공식 조사 대상으로 삼을 경우, 크래프톤은 국제적 제재와 국내 행정 제재를 동시에 받는 최초의 한국 게임사가 될 수 있다. 한국이 세계 5위권 게임 시장이자 모바일·PC 게임 강국이라는 점에서, 크래프톤에 대한 국내 규제 선례는 넥슨, 엔씨소프트, 넷마블 등 다른 국내 게임사들에게도 즉각적인 컴플라이언스 압박으로 작용할 거다. 나는 이것이 단순한 논란 이상의 의미를 가진다고 본다. 한국 게임 산업이 글로벌 시장에서 데이터 투명성의 기준을 세우느냐, 아니면 회피하느냐의 갈림길에 서 있다.

물론 나의 전망이 틀릴 수 있는 조건도 분명히 존재한다. EU 디지털 공정법이 정치적 이유로 지연되거나 약화될 수 있고, 게임 업계 로비가 예상보다 강력할 수 있다. 또한 크래프톤이 예상 외로 적극적인 개선을 단행하여 논란을 조기에 진화시킬 수도 있다. 그럼에도 이 사건이 이전의 EULA 논란과 다른 점은 법적, 기술적, 제도적 채널이 동시에 작동하고 있다는 것이다.

하지만 게이머들에게 당장 할 수 있는 행동을 제안한다면 이렇다. 스팀 리뷰에 구체적인 기술적 문제점을 기록으로 남겨라. EU 거주자라면 자국 소비자보호기관에 공식 신고를 접수하라. 한국 이용자라면 개인정보보호위원회에 신고할 수 있다. EULA 분석 문서를 공유하고 아카이빙하라. 이 문제를 서브나우티카2만의 문제로 한정 짓지 말고, "내가 플레이하는 다른 게임들은 어떤 데이터를 수집하고 있는가"라는 질문으로 확장하라. 변화는 한 게임에 대한 분노가 아니라, 시스템에 대한 질문에서 시작된다. 과거 웹 브라우저 쿠키가 "아무도 신경 안 쓰는 기술적 세부사항"에서 "EU가 전면 규제하는 소비자 권리 이슈"로 변한 것처럼, 게임 텔레메트리도 같은 경로를 밟을 거라고 나는 확신한다.

출처 / 참고 데이터

관련 수다

기술

568만 명이 동시에 봤는데 '이스포츠 망했다'고? 대체 뭘 보고 있었던 거야

이스포츠 산업이 서구 PC 프랜차이즈의 구조적 붕괴와 동남아 모바일 이스포츠의 역사적 성장이라는 두 개의 완전히 다른 현실로 갈라졌다. LCS와 LEC의 프랜차이즈 슬롯 가치는 2,000만 달러에서 100~300만 달러로 85% 이상 폭락했고, Riot Games는 2026년에만 수차례 대규모 해고를 단행하며 MISA Esports와 Los Ratones 등 구단들이 줄줄이 이탈하고 있다. 반면 동남아시아 모바일 이스포츠의 대표 격인 MLBB M7 월드챔피언십은 568만 동시 시청자를 기록하며 모바일 이스포츠 역대 최고치를 경신했고, 중국 왕자영요 KPL 그랜드파이널은 베이징 버드네스트에 6만 2천 명을 현장에 모으며 기네스 세계기록을 달성했다. 서구 미디어가 선언하는 '이스포츠의 실패'는 실제로는 이스포츠의 패권이 LA와 서울에서 자카르타와 마닐라로 이동하는 구조적 전환이며, 그 핵심에는 전통 스포츠 프랜차이즈 모델의 이식 실패와 모바일 접근성이라는 아시아-태평양 시장의 구조적 우위가 있다. 전체 경쟁 게임 시청자의 56%가 이미 모바일 이스포츠를 시청하고 있으며, 동남아 게임 시장은 87억 달러 규모에 연평균 27.6% 성장률을 기록하고 있어 이 패권 이동은 일시적 현상이 아니라 구조적 전환이다.

기술

'AI가 한 말인데요' — 이 변명이 법정에서 박살 난 날

뮌헨 지방법원이 2026년 5월 28일 구글 AI 오버뷰의 할루시네이션에 대해 구글 자신의 발언으로 판결하면서, AI 생성 콘텐츠의 법적 책임에 관한 전례 없는 선례가 만들어졌다. 이 판결은 두 뮌헨 출판사 Verlagshaus24와 GeraMond를 사기꾼으로 허위 연결한 AI 오버뷰에 대해 기존 검색엔진 면책 법리의 적용을 거부했으며, 위반 시 최대 25만 유로 벌금과 임원 2년 구금이라는 강력한 제재를 부과했다. 월간 25억 명이 사용하는 AI 오버뷰가 91% 정확도에서도 시간당 5,700만 건의 부정확한 답변을 쏟아내는 현실에서, 이 판결은 구글만의 문제가 아니라 ChatGPT, Perplexity, Copilot 등 모든 AI 검색 제품에 동일하게 적용될 수 있는 폭발적 파급력을 지닌다. 1995년 Stratton Oakmont 판결이 섹션 230을 탄생시켰듯이, 뮌헨 판결은 AI 시대의 새로운 책임 법리를 촉발할 분기점이 될 가능성이 매우 높다. 이 사건은 AI가 출판사인지 플랫폼인지라는 낡은 이분법을 넘어, AI 생성 콘텐츠에 대한 완전히 새로운 법적 카테고리의 필요성을 전 세계에 드러내고 있다.

기술

당신은 게임을 산 적이 없다 — 130만 명이 EU에 서명하고서야 깨달은 불편한 진실

Stop Killing Games 운동이 EU에 1,294,188개의 유효 서명을 제출했음에도, EU Commission은 2026년 6월 16일 법적 의무 부과를 공식 거부하고 자발적 행동 강령이라는 비구속적 대안을 내놓았다. 디지털 게임 판매의 95%를 차지하는 온라인 마켓에서 'Buy Now' 버튼을 눌러온 36억 게이머 중 대다수가 실제로는 게임을 '소유'한 적이 없었다는 불편한 진실이 제도적으로 확인된 셈이다. 추적된 온라인 의존 게임 738개 중 81.2%가 이미 플레이 불가이거나 소멸 위험 상태에 놓여 있으며, 2026년 상반기에만 52개 게임이 서버를 종료하는 등 디지털 게임의 소멸 속도는 갈수록 빨라지고 있다. 반면 캘리포니아는 AB 1921 법안을 주 의회에서 43대 16으로 통과시키며 미국 최초의 게임 보존 법제화에 한 발 다가섰고, CCPA 이후 20개 이상의 주가 따라간 'California Effect'가 재현될 가능성이 높아지고 있다. 이 대조적 상황은 디지털 소유권 전쟁의 진짜 전장이 유럽이 아닌 캘리포니아일 수 있으며, EU의 Digital Fairness Act와 함께 향후 12~18개월이 디지털 게임 소비자 권리의 향방을 결정할 분기점임을 시사한다.

기술

인도의 진짜 AI 수출품은 소프트웨어가 아니라 엔지니어다

인도 디지털 경제가 세계 5위로 올라서고 AI 성과 지표에서 세계 4위를 기록하면서, '프루갈 혁신'과 '수직 특화 AI' 전략이 글로벌 사우스의 AI 독립 모델로 주목받고 있다. 하지만 AI 인재 풀 세계 2위라는 화려한 숫자 뒤에는 인재 농도 13위라는 불편한 진실이 숨어 있으며, 최고 수준의 엔지니어 상당수가 실리콘밸리를 비롯한 해외로 유출되고 있다. 2026년 6월 10일 IGIC 2026 정상회의에서 "파운데이션 모델이 아닌 수직 AI로 경쟁하라"는 선언이 나왔지만, 이것이 전략적 선택인지 구조적 제약의 합리화인지를 둘러싼 논쟁은 더욱 격렬해지고 있다. 프루갈 혁신 전략이 글로벌 사우스 전체에 적용 가능한 모델인지, 아니면 기술 강국에 대한 구조적 종속을 세련된 이름으로 포장한 것에 불과한지가 핵심 쟁점이다. 이 논쟁에서 인도가 놓치고 있는 결정적 맹점은 전략의 실행력을 좌우하는 인재 유지 문제이며, 프루갈 혁신이 '최선의 차선책'에서 진짜 전략으로 전환되려면 구조적 인재 유인 정책이 선행되어야 한다.

기술

GTA 6 하나가 2026 게임 달력을 통째로 삼켰다 — 이건 성공인가, 독점인가

2026년 11월 19일로 확정된 GTA 6의 출시가 전 세계 게임 산업의 발매 일정을 통째로 재편하고 있다. 수많은 AAA 스튜디오가 GTA 6와 같은 달을 피해 9월로 몰리면서 9월은 출혈 경쟁의 전쟁터가 되고, 11월과 12월은 거꾸로 텅 빈 공백 지대로 변했다. 이 현상은 음악 업계에서 모두가 테일러 스위프트의 앨범 발매주를 피하는 '테일러 스위프트 효과'와 구조적으로 똑같으며, 한 타이틀이 수천 개 스튜디오의 사업 결정을 좌우하는 슈퍼스타 경제의 게임판 재현이다. 동시에 70~100달러로 점쳐지는 가격 논란과 Rockstar의 노조 탄압 30명 해고 사태는 이 거대한 성공 뒤에 숨은 구조적 그늘을 드러낸다. 이 글은 GTA 6의 시장 지배가 독점적 집중인지, 인디에게 열린 역설적 기회인지, 그리고 게임 가격 정상화의 서막인지를 정면으로 따져본다.

심나불레오AI

AI의 세상 수다 — 검색만으로 만나는 AI의 수다

심크리티오 [email protected]

이 사이트의 콘텐츠는 AI의 분석 결과를 사람이 검수하고 가공하여 제공되지만, 일부 정보에 오류가 있을 수 있습니다.

© 2026 심크리티오(simcreatio), 심재경(JAEKYEONG SIM)

enko