서브나우티카2를 샀다면, 축하한다 — 당신은 이미 상품이다

향후 1~6개월 사이에 가장 먼저 벌어질 일은 크래프톤의 "약관 수정 제스처"다. 게임 업계의 약관 논란은 항상 이 패턴을 따른다. 스팀 리뷰 폭탄이 떨어지고, SNS에서 불매 운동이 확산되고, 결국 퍼블리셔가 "여러분의 목소리를 들었습니다"라는 블로그 포스트와 함께 일부 조항을 수정한다. 나는 크래프톤이 2026년 6월 말까지 VPN 해지 조항과 명성 훼손 해지 조항을 삭제하거나 완화할 것으로 본다. 하지만 핵심인 50달러 배상 한도와 집단소송 금지 조항은 손대지 않을 확률이 70% 이상이라고 판단한다. 이 두 조항이야말로 기업의 법적 방어선의 핵심이고, 이걸 건드리는 순간 모든 소송에서 노출되기 때문이다.

텔레메트리 문제도 단기적으로 부분적 양보가 있을 거다. EULA 동의 전 데이터 수집이 가장 강력한 비판 포인트이기 때문에, 크래프톤은 동의 화면을 게임 실행 최초 단계로 앞당기는 패치를 6~8주 내에 배포할 가능성이 높다. 하지만 여기서 솔직히 짚어야 할 게 있다. 이건 실질적 변화가 아니다. 동의 화면의 위치만 바꾸는 거지, 수집하는 데이터의 범위나 4개 파이프라인의 구조는 그대로 유지될 거다. 게이머 입장에서 진짜 중요한 변화, 즉 텔레메트리를 개별적으로 끌 수 있는 옵트아웃 옵션이 제공될 가능성은 현시점에서 25% 미만이라고 본다. 텔레메트리 데이터는 개발과 수익화의 핵심 인프라이고, 이걸 옵트아웃으로 만들면 데이터 품질이 급락하기 때문에, 크래프톤은 물론이고 에픽이나 센트리 같은 파트너사들도 이를 허용하지 않을 거다. 결국 단기적으로 우리가 볼 수 있는 건 "형식의 변화"이지 "실질의 변화"가 아니라는 점을 명확히 해두고 싶다.

중기적으로 6개월에서 2년 사이에는 EU의 규제 움직임이 본격화된다. 2026년 Q4에 도입 예정인 EU 디지털 공정법(Digital Fairness Act)은 현재 초안 단계에서 디지털 콘텐츠의 불공정 약관을 직접 규제하는 조항을 포함하고 있다. 이 법이 예정대로 통과되면, 50달러 배상 한도 같은 조항은 EU 시장에서 자동으로 무효화될 수 있다. 나는 이 법의 통과 확률을 65~70%로 본다. 왜냐면 EU는 GDPR, 디지털 서비스법(DSA), 디지털 시장법(DMA)까지 연속으로 디지털 규제를 통과시켜왔고, 디지털 공정법은 그 연장선에 있기 때문이다. 더 중요한 건 GDPR 과징금이 실제로 부과될 수 있다는 점인데, 크래프톤의 글로벌 매출 약 2조 원 기준으로 전 세계 매출의 4%면 약 800억 원 규모의 제재가 이론적으로 가능하다. 이건 메타가 2023년 GDPR 위반으로 12억 유로 과징금을 맞은 것과 같은 맥락이다. 물론 크래프톤 규모에서 그 수준의 과징금이 나올지는 미지수이지만, 선례가 만들어지는 것 자체가 업계 전체에 경고등을 켜는 효과가 있다. 이 숫자 하나만으로 업계 전체가 긴장할 수밖에 없다.

중기적으로 더 흥미로운 변화는 게임 업계 내부에서 일어날 "자율 규제 경쟁"이다. GDPR 시행 후 웹사이트들이 쿠키 배너를 경쟁적으로 도입했듯이, 디지털 공정법 시행이 가시화되면 게임 퍼블리셔들이 "우리는 투명한 텔레메트리를 제공합니다"라는 차별화 전략을 쓰기 시작할 거다. 실제로 인디 게임 개발사들 사이에서는 이미 "텔레메트리 프리" 또는 "완전 옵트인 텔레메트리"를 마케팅 포인트로 활용하는 움직임이 나타나고 있다. 나는 2027년 말까지 스팀이 게임 스토어 페이지에 "데이터 수집 라벨" 같은 표시를 도입할 확률을 40%로 본다. 애플 앱스토어의 프라이버시 라벨처럼, 게임이 어떤 데이터를 수집하는지 한눈에 볼 수 있는 시스템이 되는 거다. 물론 밸브가 자발적으로 이걸 하느냐는 별개의 문제지만, EU 규제가 실질적으로 작동하기 시작하면 플랫폼 차원의 투명성 도구가 경쟁적으로 도입될 가능성은 충분하다.

장기적으로 2~5년을 내다보면 진짜 구조적 변화의 가능성이 열린다. 가장 큰 변수는 "게임 소비자 권리법"이라는 별도 입법이 EU에서 추진될 수 있다는 점이다. 현재 GDPR은 일반적인 개인 데이터 보호법이고, 게임 특유의 문제, 그러니까 인게임 구매, 루트박스, 텔레메트리, EULA 불공정 조항, 디지털 소유권 같은 것을 포괄하기에는 한계가 있다. 2024년부터 EU 의회 내에서 "게임 및 디지털 콘텐츠 소비자 보호 지침" 논의가 시작됐고, 서브나우티카2 사건이 이 논의에 불을 지필 수 있다. 나는 2028~2029년까지 EU가 게임 특화 소비자 보호 지침을 초안 단계까지 진행할 확률을 35%로 추정한다. 지금 당장은 낮아 보이지만, 루트박스 규제 논의가 벨기에에서 시작돼 EU 전체로 확산된 사례를 보면 불가능한 시나리오는 아니다. 만약 이 지침이 실현되면, 게임 퍼블리셔는 EU 시장에서 EULA에 포함할 수 있는 조항의 종류 자체가 제한될 수 있고, 배상 한도 설정이나 집단소송 금지 같은 조항은 원천적으로 무효화된다.

장기적으로 더 근본적인 변화는 "EULA의 죽음"이다. 현재의 EULA 체계는 1990년대 소프트웨어 산업에서 만들어진 것으로, 소비자가 수천 단어의 법률 문서를 읽고 이해한다는 허구적 전제 위에 서 있다. 실제 데이터에 따르면 EULA를 완독하는 사용자 비율은 1% 미만이며, 이는 법적 "정보 제공에 기반한 동의"의 요건을 충족하지 못한다는 학계의 비판이 20년 넘게 이어져 왔다. 나는 2030년까지 EU가 디지털 콘텐츠 약관에 "핵심 조항 요약 의무"와 "기계 판독 가능한 권리 명세서" 제공을 의무화할 가능성을 50%로 본다. 이렇게 되면 EULA는 현재의 형태로 존속할 수 없게 된다. 수천 단어의 읽히지 않는 법률 문서가 아니라, 핵심 조항 10개를 아이콘과 색상으로 시각화하고, 기계가 자동으로 비교 분석할 수 있는 표준 형식이 요구될 거다. 이건 식품 산업에서 영양 성분표가 의무화된 것과 같은 논리다. 소비자가 모든 성분을 이해할 필요는 없지만, 핵심 정보가 표준화된 형식으로 제공되면 비교와 선택이 가능해지는 것이다.

시나리오별로 정리해보겠다. 최적 시나리오(Bull Case, 확률 20%)에서는 서브나우티카2 사건이 게임 분야의 "쿠키 배너 모멘트"가 되어, EU 디지털 공정법이 예정대로 2026년 Q4에 통과되고, 크래프톤에 GDPR 과징금이 부과되며, 스팀이 2027년 중 데이터 수집 라벨을 도입하고, 다른 퍼블리셔들이 자발적으로 텔레메트리 옵트아웃을 제공하기 시작한다. 이 경우 2028년경에는 "동의 없는 텔레메트리"가 업계에서 사실상 퇴출되고, EULA의 불공정 조항이 EU 시장에서 체계적으로 걸러지는 새로운 표준이 확립될 수 있다. 기본 시나리오(Base Case, 확률 55%)에서는 크래프톤이 일부 EULA 조항을 수정하고 동의 화면 위치를 앞당기는 패치를 내놓지만 구조적 변화는 없고, EU 신고는 접수되지만 실질적 과징금까지 2~3년이 소요되며, 업계 전체의 관행 변화는 매우 느리게 진행된다. 최악의 시나리오(Bear Case, 확률 25%)에서는 게이머들의 관심이 2~3주 내에 소멸하고, 크래프톤이 형식적 수정만 하고 넘어가며, EU 신고가 관료적 지연으로 흐지부지되고, 다른 퍼블리셔들이 "우리도 같은 수준인데 아무 일 없었다"며 현행 관행을 공고히 유지한다.

특히 한국 시장의 맥락에서 이 사태는 더 복잡하고 중요한 의미를 띤다. 크래프톤은 코스피 상장 한국 기업이며, 한국 개인정보보호법(PIPA)은 동의 없는 개인정보 수집에 대해 전체 매출의 3% 이하 과징금과 형사 처벌까지 규정하고 있다. 개인정보보호위원회가 이번 사태를 공식 조사 대상으로 삼을 경우, 크래프톤은 국제적 제재와 국내 행정 제재를 동시에 받는 최초의 한국 게임사가 될 수 있다. 한국이 세계 5위권 게임 시장이자 모바일·PC 게임 강국이라는 점에서, 크래프톤에 대한 국내 규제 선례는 넥슨, 엔씨소프트, 넷마블 등 다른 국내 게임사들에게도 즉각적인 컴플라이언스 압박으로 작용할 거다. 나는 이것이 단순한 논란 이상의 의미를 가진다고 본다. 한국 게임 산업이 글로벌 시장에서 데이터 투명성의 기준을 세우느냐, 아니면 회피하느냐의 갈림길에 서 있다.

물론 나의 전망이 틀릴 수 있는 조건도 분명히 존재한다. EU 디지털 공정법이 정치적 이유로 지연되거나 약화될 수 있고, 게임 업계 로비가 예상보다 강력할 수 있다. 또한 크래프톤이 예상 외로 적극적인 개선을 단행하여 논란을 조기에 진화시킬 수도 있다. 그럼에도 이 사건이 이전의 EULA 논란과 다른 점은 법적, 기술적, 제도적 채널이 동시에 작동하고 있다는 것이다.

하지만 게이머들에게 당장 할 수 있는 행동을 제안한다면 이렇다. 스팀 리뷰에 구체적인 기술적 문제점을 기록으로 남겨라. EU 거주자라면 자국 소비자보호기관에 공식 신고를 접수하라. 한국 이용자라면 개인정보보호위원회에 신고할 수 있다. EULA 분석 문서를 공유하고 아카이빙하라. 이 문제를 서브나우티카2만의 문제로 한정 짓지 말고, "내가 플레이하는 다른 게임들은 어떤 데이터를 수집하고 있는가"라는 질문으로 확장하라. 변화는 한 게임에 대한 분노가 아니라, 시스템에 대한 질문에서 시작된다. 과거 웹 브라우저 쿠키가 "아무도 신경 안 쓰는 기술적 세부사항"에서 "EU가 전면 규제하는 소비자 권리 이슈"로 변한 것처럼, 게임 텔레메트리도 같은 경로를 밟을 거라고 나는 확신한다.