중국발(發) 개인정보 유출 및 해킹 사고가 잇따르면서 보안 우려가 커지고 있지만, 국내 주요 게임사들은 중국 텐센트의 클라우드 서비스를 사용하고 있는 것으로 파악됐다. 최근 인공지능(AI) 챗봇 ‘딥시크’가 사용자 정보를 틱톡 운영사에 넘긴 사실이 드러나 논란이 일었고, 로봇청소기 등 중국산 IT 기기에서는 백도어(시스템에 접근할 수 있는 숨겨진 비밀 통로) 의혹으로 불신이 확산됐다. 특히 중국 정부가 자국 기업에 수집한 정보 제출을 의무화한 ‘데이터 보안법’을 운영하고 있다는 점도 불안 요소로 작용하고 있다.
◇ 텐센트 클라우드, AWS보다 30% 이상 저렴
21일 게임업계에 따르면 텐센트는 서울에 2개의 데이터센터(리전)를 운영하고 있다. 2018년 국내 첫 번째 데이터센터를 구축한 데 이어 2020년 말 두 번째 센터를 열었다. 텐센트 클라우드는 한국 및 글로벌 기업들을 대상으로 게임·영상·커머스 등 대용량 트래픽 환경에 적합한 클라우드 인프라를 제공한다.
넥슨·엔씨소프트·넷마블·크래프톤·위메이드·웹젠·시프트업 등 국내 주요 게임사 대부분은 텐센트 클라우드를 활용해 게임 서버를 운용 중이다. 텐센트 클라우드는 중국 본토와의 연동이 용이하고, 데이터 전송 비용도 저렴해 대규모 트래픽이 생기는 게임업계에서 선호도가 높다는 게 업계의 설명이다.
과학기술정보통신부가 지난해 발표한 ‘2023년 부가통신사업 실태조사’에 따르면, 국내 클라우드 시장은 아마존웹서비스(AWS)가 60.2%의 점유율로 1위를 차지했고, 마이크로소프트(24.0%), 네이버(20.5%), 구글(19.9%) 등이 뒤를 이었다. 오라클과 KT는 각각 8.2%, NHN은 7.0%의 점유율을 기록했다. 반면 텐센트 클라우드는 점유율이 집계되지 않을 정도로 국내 민간 시장에서 사용 사례가 미미하다.
국내 게임사가 중국 시장에 진출할 때 텐센트 클라우드를 반드시 써야 하는 것은 아니다. 그럼에도 ‘현지 퍼블리싱(유통) 파트너’ 역할을 하거나 중국 정부의 검열을 대비하는 데 텐센트의 노하우가 유리하고, 인터넷 회선 비용 면에서 경쟁력이 있다 보니 게임업계 전반에 ‘텐센트 선호 현상’이 뚜렷해졌다.
업계에 따르면 텐센트 클라우드 서울 리전의 데이터 전송 요금은 GB(기가바이트)당 0.0798달러로, AWS 서울 리전(GB당 0.114달러)보다 30% 이상 저렴하다. 1테라바이트(TB)를 전송한다고 가정할 때, 텐센트 클라우드는 81.7달러 선이지만 AWS는 116.7달러가 발생해 약 35달러 차이가 난다.
클라우드 업계 관계자는 “국내 게임사들이 중국 이용자들을 안정적으로 확보하기 위해 텐센트와 협업하는 측면도 있다”며 “국내 리전과 중국 리전을 연동하면 대규모 트래픽 처리를 원활히 할 수 있다. 전송 비용이나 서비스 지원에서 텐센트 클라우드는 가격 경쟁력이 상당하다”고 말했다.
◇ 텐센트, 美 국방부 블랙리스트에 올라… 韓서 개인정보보호 관리체계 인증 안 받아
그렇지만 텐센트가 ‘중국 군 지원 기업’ 명단에 올라간 사실이 알려지면서 보안 우려를 제기하는 목소리도 커지고 있다. 올해 1월 미국 국방부가 새로 발표한 ‘중국군사기업(CMC)’ 목록에 텐센트가 포함됐기 때문이다. 미국은 이 명단에 오른 기업들이 중국 정부의 요청에 따라 민감 정보를 제공할 수 있다고 보고 있다.
텐센트는 자사 클라우드 서비스가 국제 정보 보안 인증을 받았으며, 한국에서도 한국인터넷진흥원(KISA)을 통해 ISMS(정보보호관리체계) 인증을 받았다고 설명한다. 그러나 보안 전문가들은 데이터 보호를 위해선 ‘모범사례 확인’ 이상의 실질적 통제 장치가 필요하다고 강조한다. 특히 중국 정부가 자국 기업에 개인정보를 요청하는 등의 제도적 리스크를 완전히 해소해야 한다는 것이다.
텐센트 클라우드는 ISMS 인증을 획득했지만, 개인정보 처리까지 포함하는 ‘ISMS-P(개인정보보호 관리체계)’ 인증은 취득하지 않은 상태다. 국내 클라우드 서비스 사업자인 네이버클라우드·NHN클라우드·KT클라우드 등은 모두 ISMS-P를 보유하고 있다.
염흥열 한국개인정보보호책임자협의회장은 “ISMS 인증은 해킹 공격이나 관리자 부주의 등에 의한 정보 유출을 점검하는 관리체계지만, 개인정보 처리 영역(수집·이용·제3자 제공 등)을 집중적으로 살피는 ISMS-P에 비해 미흡하다”고 했다. 그러면서 “중국은 자국 기업이 수집한 정보를 정부가 요청하면 제공해야 하는 ‘데이터 보안법’을 운용한다”며 “한국 서버에 보관된 개인정보라고 해도, 기술적으로나 법·제도적으로 중국 정부 요구가 있으면 넘어갈 수 있다는 의심을 완전히 배제하기가 어렵다”고 했다.
이와 관련해 텐센트 측은 “텐센트 클라우드는 한국의 관련 법률을 철저히 준수하고 있으며, 국제적으로 통용되는 모범 사례를 따르고 있다”며 “당사는 군사 기업과는 무관하다는 점을 분명히 밝혀왔으며, 이러한 오해를 해소하기 위해 미국 당국과 협의하고 있다”고 밝혔다.