1. 들어가며

네이버제트가 출시한 ‘제페토’는 전 세계 약 2억 명의 이용자를 보유하고 있고, 방탄소년단(BTS)이 팬 커뮤니티 플랫폼 ‘위버스’에서 개최한 가상 콘서트에는 270만 명이 넘는 이용자가 몰리기도 하였다.((법무법인 (유한) 태평양, 뉴스레터 “메타버스 시대의 도래와 법적 쟁점”(2021),https://www.bkl.co.kr/law/insight/newsletter/detail?searchCondition=&searchKeyword=&searchDateFrom=&searchDateTo=&orderBy=orderByNew&pageIndex=1&whichOne=NEWSLETTER&menuType=law&lawNo=&expertNo=&newsletterNo=4168&memberNo=&fieldNo=&lang=ko)) 메타버스 관련 산업이 급부상하면서 ‘메타버스 소프트웨어 설계 및 개발업 , 메타버스 서비스용 컴퓨터소프트웨어 플랫폼’ 등을 지정상품으로 하는 특허청 상표출원도 급증하고 있다.((이영호, “메타버스 관련 산업 급부상…특허청 상표 출원 급증”, 한국경제TV(2021),https://www.wowtv.co.kr/NewsCenter/News/Read?articleId=A202108180082&resource)) 이런 가운데 최근 글로벌 컨설팅 기업 PwC는 메타버스 관련 VR 및 AR 시장 규모가 2019년 465억 달러에서 2030년 1조 5,429억 달러 수준으로 약 33배 정도 성장할 것이라고 전망한 바 있다.((Pwc, Seeing is believing, p.4, 6(2019),https://www.pwc.ch/en/publications/2020/Seeing_is_believing_PwC_AR_VR.pdf

; Kim Eun-jin, “LG Group Starts to Invest in Metaverse”, BusinessKorea(2021),http://www.businesskorea.co.kr/news/articleView.html?idxno=71286))

메타버스 상에서는 다양한 법적 문제가 발생할 수 있는데, 특히 저작권의 귀속, 상표권 침해 등 지식재산권(IP) 관련 문제, 개인정보보호, 메타버스 플랫폼의 법적 지위, NFT(Non Fungible Token)와 소유권 귀속 등이 주로 문제되고 있다.

2. 메타버스에서 개인정보보호 문제의 중요성

기존 사이버 공간의 경우 진입 및 개인정보의 제공, 공유 시점이 비교적 명확한데 반해, 메타버스에서는 각 정보주체들이 현실 세계와 마찬가지로 상호 작용함에 따라, 어떠한 개인정보가, 어느 시점에, 누구와 공유되는지를 확인하기 어렵다. 접속기기, 메타버스 플랫폼, 창작자, 개발자, 광고 마케터, 광고주 등 매우 다양한 플레이어들이 관여하는 또 하나의 세계에서의 개인정보 처리에 관한 정보를 제공받아 개인정보에 대한 통제권을 행사하는 것은 온라인에서 ‘개인정보 처리방침’을 확인하여, 개인정보의 수집 등 처리에 동의를 표하는 것과는 비교할 수 없이 곤란하다.((이진규, “메타버스와 프라이버시, 그리고 윤리 – 논의의 시작을 준비하며”, 2021 KISA REPORT vol 2, 한국인터넷진흥원, p.11,

https://www.kisa.or.kr/public/library/IS_View.jsp?mode=view&p_No=158&b_No=158&d_No=500))

이러한 어려움을 반영하듯이 메타버스와 같은 몰입 기술이나 콘텐츠를 개발함에 있어 조직이 관심을 가져야 하는 법적 리스크의 우선순위를 묻는 설문조사((Perkins Coie LLP, 2020 AUGMENTED AND VIRTUAL REALITY SURVEY REPORT, p.12,https://www.perkinscoie.com/images/content/2/3/231654/2020-AR-VR-Survey-v3.pdf))에서 소비자 프라이버시와 데이터 보안이 최우선 과제로 꼽힌 바 있다.

3. 메타버스에서 문제되는 개인정보 관련 쟁점

가. 광범위한 개인정보의 수집 및 처리

개인정보보호법에 의하면, 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 정보는 개인정보에 해당한다(제2조 제1호 나목). 메타버스에서는 확장 현실(XR, Extended Reality)을 지원하기 위해 기존에 생성되지 않았던 다양한 정보가 수집되어 처리될 수 있는데, 이용자의 특정한 경험 시간, 교류 상대방, 대화, 아바타 아이템 등 개인을 속속들이 알아볼 수 있는 정보가 수집, 처리될 수 있고, 시선 추적 기술 등의 발전에 따라 현실의 신체 반응까지 수집되어 이용될 여지가 존재한다. 또한 현실과 가상의 경계가 모호해짐에 따라 현실 삶에 대한 정보 획득이 용이해지는 경향도 있다.

혹자는 메타버스를 ‘데이터 광산(data mine)’이라 칭하기도 한다. 메타버스에서 활동하는 아바타, 아바타가 사용하는 아이템, 아바타가 지나는 공간 그 모든 것이 데이터에 해당한다. 메타버스에서는 모든 활동 자체가 데이터로 이뤄져 있다 보니 수월하게 정보를 생산해낼 수 있고, 유저들의 개인정보를 비롯해 개인 맞춤형 정보 등을 얻게 되며, 비정형 데이터도 쉽게 얻을 수 있다. 이러한 아바타들이 거래하고 정보 교환하는 과정에서 개인정보가 유출될 위험이 있고 개인정보 유출 사례가 실제로도 발생하고 있다.

예컨대, 라이프로깅을 통하여 GPS의 위치, 주행 속도, 주행 시간, 심박수 등의 러닝 기록을 공유함으로써 개인의 생활 반경은 물론이고 건강기록까지 노출될 위험이 발생하고, GPS 기반으로 운영되는 게임에 참여함으로써 사용자의 생활 반경 및 행동을 추적하는 것도 가능하다. 또한 제페토와 같이 직접 자신의 얼굴을 촬영해 아바타를 생성하는 경우 비교적 유사도가 높은 얼굴이미지가 노출될 우려가 있다. 실제로 ‘제페토’에서 ‘탭조이’라는 설문조사 결과 바탕의 개인정보 유출 사례가 발생한 바 있고,((김애영, “메타버스 플랫폼의 개인 데이터 생태계”, 2021 KISA REPORT vol 6, 한국인터넷진흥원, p.9,https://www.kisa.or.kr/public/library/IS_View.jsp?mode=view&p_No=158&b_No=158&d_No=546&ST=T&SV=)) ‘모여봐요 동물의 숲’을 운영하는 닌텐도에서는 2019년 및 2020년에 해킹으로 인한 회원계정 유출로 플랫폼에 등록된 계정정보(이름, 생년월일, 국가, 지역, 이메일 주소 등)가 유출되었다.((이수호, “동물의 숲이 해킹의 숲으로?…닌텐도, 개인정보 수십만건 털렸다”, TechM(2021),https://www.techm.kr/news/articleView.html?idxno=72481))

기업으로서는 메타버스 상에서 발생한 데이터를 활용하여, 인공지능 기술과 접목해 개인 성향 맞춤형 서비스 출시할 수 있으나, 개인정보가 포함된 데이터 활용 시에는 반드시 데이터 중에 포함되어 있는 민감한 정보들을 비식별처리한 후 사용할 필요가 있다.

나. 위치정보의 수집 및 처리

현실세계를 배경으로 하는 AR 기반 메타버스는 다양한 위치정보와 디지털 정보간의 결합을 통해 서비스가 구현되기 때문에 위치정보 수집에 관한 법률적 문제가 발생한다.

「위치정보의 보호 및 이용 등에 관한 법률」(이하 ‘위치정보법’이라 한다)에서는 이동성 있는 물건의 위치정보를 수집·이용·제공하기 위해서는 이동하는 물건의 소유자 등 당사자로부터 개인정보 수집 등에 대한 동의를 받도록 규정하고 있다(제15조 제1항). 나아가 위치기반서비스(LBS, Location Based Service)를 업으로 영위하고자 하는 자는 방송통신위원회에 신고하여야 한다(제9조 제1항). 또한 위치기반서비스업을 영위하는 지위를 얻는 경우, 수집된 정보를 제3자에게 제공할 경우 동의를 얻고 매회 개인위치정보주체에게 제공받는 자, 제공일시 및 제공목적을 즉시 통보해야 한다(제19조).

이에 현실의 공간정보를 중심으로 실시간으로 각종 웨어러블 기기 등을 통해 입출력되는 데이터를 활용하는 증강현실 산업의 경우, 이러한 정보의 수집에 대한 동의가 문제될 수 있다. 서비스제공자와 통신업자, 각종 디바이스 제조업자들이 복합적으로 운영하는 증강현실 관련 산업에 있어서는 특정인의 위치정보를 개인정보로 보호할 경우, 신고의 주체나 위치기반정보에 대한 의무이행자 등을 특정 하는 것이 용이하지 않음으로 인해 관련 산업의 육성을 저해할 우려가 있다.((한국지역정보개발원, 2017년 지역정보화 이슈 리포트 제2호 “VR/AR 산업 활성화를 위한 법정책적 과제”, p.18,https://www.klid.or.kr/section/board/bbs_view.html?seq=4747&PID=policydata&goto_page=5))

메타버스 서비스는 다양한 사업자들의 복합적인 활동을 기반으로 제공되나 현행 법체계 하에서는 신규 혁신 서비스를 고려한 신고 주체와 위치정보 보호 의무 이행 주체 등에 대한 구체적인 정의와 책임의 한계가 불명확하고,((한국인터넷진흥원, “메타버스 산업 현황과 개인정보보호 이슈 분석”, 2021 Privacy Report 개인정보보호 월간동향분석 제7호, p.11)) 아바타의 위치정보가 위치정보법 적용 대상이 되는지 등도 문제될 수 있다.

다. 국가 간 데이터 이동의 어려움

로블록스, 제페토 등 메타버스는 이미 초국가적 플랫폼으로 자리잡았는데, 개인정보보호법제 적용 수준의 차이와 상충된 규제 체계로 인해 개인정보의 해외 이전에 따른 제도적 불확실성이 존재하고, 실시간으로 대량의 개인정보가 계속 생성되는 메타버스의 특성상 국외 정보주체로부터 개별적인 동의를 받는데에 현실적인 어려움이 있다.

글로벌 이용자를 대상으로 한 메타버스 플랫폼 내에서는 국가 간 원활한 데이터 이동과 사업자 규제 불확실성 해소를 위해 상호주의와 동등 규제 원칙에 입각한 개인정보보호 규제 적용과 국제간 공동 규제 수준 강화를 위한 공조가 필요하다.((이혜선, “대세된 메타버스, 개인정보보호 무시하면 큰코 다쳐”, 비즈니스워치(2021), https://m.post.naver.com/viewer/postView.nhn?volumeNo=32180420&memberNo=997329))

라. 아동 개인정보 처리시의 고려사항

개인정보보호법상 개인정보처리자가 만 14세 미만 아동의 개인정보를 처리하기 위해서는 법정대리인의 동의를 받아야 하지만(제22조 제6항), 접속시의 연령 인증은 일단 메타버스에 진입한 후에는 무용하다는 점에서 미성년자 프라이버시의 보호에 관한 문제가 발생할 수 있다. 오픈 플랫폼인 메타버스에서는 각별한 보호를 요하는 아동에 대한 프라이버시 보호 프레임워크를 별도로 형성하기 어려운데, 이는 기술적인 제약에 기인하는 것이라기보다는 메타버스가 현실을 거울로 비춰내는 디지털 가상 세계이기 때문이다. 경험을 중심으로 참여에 몰입하는 메타버스 내에서 수시로 이루어지는 개별 개인정보 수집시마다 매번 법정대리인의 동의를 받도록 하면 아동의 메타버스 몰입을 방해할 수 있기 때문이다.((이진규, “메타버스와 프라이버시, 그리고 윤리 – 논의의 시작을 준비하며”, 한국인터넷진흥원, 2021 KISA REPORT vol 2, p.11,

https://www.kisa.or.kr/public/library/IS_View.jsp?mode=view&p_No=158&b_No=158&d_No=500)) 향후 부모 동의를 필요로 하는 아동 개인정보 처리를 안전하게 수행하면서도 메타버스 몰입을 방해하지 않는 제도적 뒷받침이 필요하다.

마. 영상정보처리기기 규정의 재검토

개인정보보호법상 영상정보처리기기는 “일정한 공간에 지속적으로 설치되어 사람 또는 사물의 영상 등을 촬영하거나 이를 유·무선망을 통하여 전송하는 장치”를 의미한다(제2조 제7호). 따라서 HMD(Head mounted Display)와 같은 착용형 기기는 “고정 설치되어 일정한 장소를 지속적으로 촬영”하는 영상 정보처리기기에 해당하지 않기 때문에 공개된 장소에서 이들 기기를 이용하더라도 개인정보보호법 제25조를 적용하여 기기의 이용 목적 및 이용방법을 제한하거나, 보안 조치 강구 및 기기 설치ㆍ운영과 관련된 절차와 요건의 의무를 부과하기는 어렵다.((한국지역정보개발원, 2017년 지역정보화 이슈 리포트 제2호 “VR/AR 산업 활성화를 위한 법정책적 과제”, p.10,https://www.klid.or.kr/section/board/bbs_view.html?seq=4747&PID=policydata&goto_page=5))

따라서 웨어러블 기기를 이용하는 메타버스 서비스를 제공하는 사업자에 대해서도 개인정보보호를 위해 적절한 조치를 취하도록 하기 위하여 웨어러블 기기 등 새로운 형태의 영상정보처리기기까지 포섭할 수 있도록 관련 규정을 정비할 필요가 있다.