‘인피니티 니키’는 과거 인폴드게임즈의 모회사인 페이퍼게임즈에서 2020년 서비스를 진행한 ‘샤이닝 니키’의 후속작이다. 2020년 당시 ‘샤이닝니키’는 한국 서버를 오픈하며 이벤트로 한복 의상 아이템을 선보였으나, 다수의 중국 이용자가 항의하자 페이퍼게임즈는 “‘하나의 중국’을 지지하는 회사와 조국의 입장은 늘 일치한다”며 일방적으로 서비스를 종료했다. “한복은 중국의 전통 의상을 모방한 것”이라는 공산주의 청년 연맹 중앙위원회의 글도 덧붙였다.

이런 화려한 전적을 가진 페이퍼게임즈는 이제 인폴드게임즈라는 이름을 통해 지난 5일 ‘인피니티 니키’의 글로벌 서비스를 진행하고 있으나, 이번에는 과도한 개인정보 수집 문제가 불거졌다. ‘인피니티 니키’의 개인정보 수집 및 처리방침에 따르면 게임은 ‘서비스 제공’을 목적으로 클립보드에 포함된 텍스트 내용을 ‘필수적’으로 요구한다.

여기서 클립보드는 사용자가 복사하거나 잘라낸 정보를 임시로 저장하는 영역이다. 텍스트, 사진, 영상 등 각종 데이터를 빠르게 복사 및 붙여 넣기를 할 수 있도록 도와 많은 이용자들이 활용하는 기능이기도 하다.

특히, 최근에는 암호화폐에 대한 관심도가 높아지면서 가상화폐 지갑의 주소를 저장해 두거나 복잡해진 비밀번호 기준을 맞추기 위해 영문과 특수문자가 결합된 비밀번호를 기록해 두는 경우도 많다.

이런 클립보드의 권한을 내어주게 되면 페이퍼게임즈 측은 이용자가 저장해둔 데이터를 쉽게 열람할 수 있다. 계좌번호, 비밀번호, 암호화폐 주소, 복사한 대화 내역 등 민감한 정보를 회사 측에서 살펴볼 수 있다는 의미다.

단순히 '서비스를 제공하기 위해'라며 정확한 정보 수집 목적을 밝히지 않은 페이퍼게임즈는 이용자들의 클립보드 내용을 어디까지 살펴보는지 알 수 없으니 더욱 위험하다.

이렇다 보니 과거 클립보드로 인해 발생한 사건까지 수면 위로 떠오르고 있다. 과거 안랩 분석팀은 클립뱅커(Clipbanker)라는 악성 코드가 확산된 것을 발견한 바 있다. 가상자산 지갑 주소는 길고 랜덤한 문자열을 갖기 때문에 외워서 사용하기 힘들다는 것을 악용, 클립보드에 침투해 저장해 둔 지갑코드를 붙여 넣는 순간 악성코드 제작자의 지갑 주소로 변경되도록 악용해 문제가 됐다.

2020년 중국 동영상 플랫폼 틱톡 역시 임의로 클립보드 내역에 접근한 사실이 알려져 개인정보 침해 의혹이 일어난 적 있다. 2020년 당시 베타 업데이트된 iOS14 버전은 새로운 보안 기능으로 클립보드에 무단 접근하는 앱에 대한 알림을 주는 기능이 도입되어 있어, 틱톡의 무분별한 개인정보 접근 시도가 밝혀졌다. 틱톡은 클립보드 내용을 확인하는 목적조차 밝혀지지 않아 더욱 논란이 됐다.

관련된 사건까지 언급되며 논란이 불거지자 일각에서는 ‘인피니티 니키는 개인정보처리방침 가이드라인 내용을 그대로 사용했을 뿐, 특별한 의도를 가지고 클립보드 권한을 요구하는 것은 아니다’라는 주장도 나오고 있다. 한국은 개인정보 처리방침을 작성하는데 필요한 가이드라인이 공개되어 있고, 해당 가이드라인에는 이용자들의 이해를 돕기 위한 작성 예시까지 나타나 있기 때문이다.

그렇다면 정말로 인피니티 니키는 가이드라인에 있던 내용을 그대로 적었을 뿐이고, 다른 게임사도 클립보드 내용을 수집할까? 결론부터 말하자면 사실이 아니다.

직접 개인정보 처리방침 작성 가이드라인을 살펴본 결과 예시에도 클립보드에 관한 내용은 없다. 성명, 생년월일, 아이디, 비밀번호, 이메일 주소 등의 필수 항목과 선택 항목을 명시하는 내용만 존재할 뿐이다.

이어 블루아카이브, 승리의 여신: 니케, 브라운더스트2 등 다수의 게임의 개인정보처리방침을 확인해도 클립보드 권한을 요구한 게임은 전무했다. 넥슨 측 관계자는 “개인정보 보호법에 의거, 정보 수집 내용과 목적을 투명하게 공개하고 있다.”라고 설명했다.

인피니티 니키와 같은 중국 게임사들의 게임도 마찬가지다. ‘명조’, ‘소녀전선2’, ‘명일방주’와 같은 게임들은 인피니티 니키와 동일한 아이디 및 비밀번호(계정 가입 및 연동을 위함), 채팅기록(포르노, 폭력, 정치, 학대, 악의적 광고 또는 부적절한 콘텐츠를 필터링을 위함) 등은 수집하나, 클립보드에 대한 접근을 요구하지는 않는다.

따라서 인피니티 니키 측에서 명시한 ‘채팅 데이터(텍스트 형식)와 클립보드에 포함된 텍스트 내용 수집’은 자의적으로 추가한 내용이라고 해석할 수도 있다. 해당 내용은 이용자의 판단에 따라 거부할 수 있는 선택사항이 아닌 ‘필수 사항’이라는 점, 정보 수집 목적이 두루뭉술한 ‘서비스 제공’이라는 점에서 개인정보 유출 우려는 더욱 커진다.

한 보안업계 관계자는 “은행 앱이나 검색엔진에서 클립보드 권한을 요구하는 건 심심치 않게 볼 수 있다. 계좌번호를 복사하고 공유하는데 사용하거나, 빠른 검색에 활용되기 때문이다. 각 홈페이지에서 명확한 활용 목적도 살펴볼 수 있다.”, “하지만 게임에서 클립보드 권한을 요구하는 건 상당히 드물다. 서비스 방향에 따라 다른 개인정보수집정책을 가질 수 있는 건 이해하나, 명확한 목적이 밝혀지지 않은 현 상황에서는 개인정보 보호에 있어 플레이에 주의해야 할 필요가 있다.”라고 지적했다.