개보위, 개인정보 국외이전 위반 '빗썸'...과징금 2억1000만원 부과

[포인트경제] 가상자산 거래소 빗썸이 이용자 동의 없이 개인정보를 국외로 이전했다가 정부의 제재를 받았다. 개인정보보호위원회는 지난 24일 전체회의를 열고 개인정보 국외이전 규정을 위반한 ㈜빗썸에 과징금 2억1000만원과 함께 적법한 요건을 갖추도록 하는 시정명령을 의결했다고 지난 25일 밝혔다.

개인정보위는 지난 2025년 국정감사에서 빗썸의 오더북(매수·매도 주문정보) 공유와 관련한 국외이전 적법성 지적이 제기됨에 따라 조사에 착수했다. 조사 결과 빗썸은 해외 가상자산 거래소와 오더북을 공유하고 가상자산을 이전하는 과정에서 정보주체의 별도 동의를 받지 않거나 고지한 내용과 다르게 개인정보를 국외로 넘긴 것으로 드러났다.

빗썸은 2025년 9월부터 11월까지 테더(USDT) 마켓에서 해외 거래소와 오더북을 공유했다. 이 과정에서 이용자들에게는 '스텔라 거래소'로 개인정보를 이전한다고 동의를 받았으나, 실제로는 '빙엑스(bingx.com)'가 운영하는 시스템으로 회원번호와 주문정보를 이전한 사실이 적발됐다.

자금세탁방지 명목이라도 요건 미충족 시 불법

가상자산을 해외 거래소로 송금하는 과정에서도 위반 행위가 확인됐다. 빗썸은 이용자의 자산을 13개 해외 거래소로 이전하면서 자금세탁방지 목적으로 송금인과 수취인의 이름, 지갑주소, 생년월일 등을 제공했다. 개인정보위는 자금세탁방지를 위한 정보 제공의 필요성은 인정되지만, 별도 동의를 구하지 않는 등 보호법이 정한 국외이전 요건과 절차를 준수하지 않았다고 판단했다.

이에 따라 개인정보위는 빗썸에 과징금 처분과 함께 향후 국외이전 시 이용자의 별도 동의를 명확히 받고, 해당 사실을 개인정보 처리방침에 투명하게 안내하도록 시정조치를 내렸다.

'투명성·불변성' 블록체인 맞춤형 보호 가이드라인 제정

개인정보위는 이번 조사 과정에서 분석한 기술적 특성을 바탕으로 「블록체인 서비스 개인정보 보호 가이드라인」을 함께 공표했다. 개인정보위에 따르면 블록체인은 데이터가 투명하게 공개되고 수정이나 삭제가 불가능한 특성이 있어 기획 단계부터 개인정보 보호 원칙을 고려해야 한다.

가이드라인은 블록체인의 3대 특성인 투명성, 분산성, 불변성에 맞춰 구체적인 대응 방안을 제시했다. 블록에 기록되는 '온체인' 정보의 공개와 추적을 방지하는 대책을 마련하도록 했으며, 참여자 간 정보 공유 관리방안과 데이터 불변성에 대응한 개인정보 파기 기술 적용 등을 담았다.

개인정보위 관계자는 국민의 개인정보 자기결정권을 침해하는 국외이전 위반 행위에는 엄정하게 대응하되, 블록체인과 같은 신기술 환경에 맞는 안전한 활용 기준을 지속적으로 보완하겠다고 전했다.

빗썸 관계자는 "이번 조사를 통해 지적된 일부 미비한 점에 대해서는 개선 조치를 완료했다"면서, 앞으로 더욱 엄격한 기준을 적용해 안전하고 투명한 거래 환경 조성에 최선을 다하겠다는 입장을 밝혔다.