개보위, 빗썸에 과징금 2억1000만원 부과…개인정보 국외이전 절차 위반

[마이데일리 = 정수미 기자] 가상자산 거래소 빗썸이 이용자 개인정보를 해외 거래소로 이전하는 과정에서 관련 절차를 제대로 지키지 않아 2억원대 과징금을 물게 됐다.

개인정보보호위원회는 지난 24일 전체회의에서 개인정보보호법상 국외이전 규정을 위반한 빗썸에 과징금 2억1000만원 부과와 시정명령을 의결했다고 25일 밝혔다.

이번 조사는 지난해 국회 국정감사에서 빗썸의 오더북(호가창) 공유 과정에서 개인정보가 적법하게 국외로 이전됐는지 문제가 제기되면서 시작됐다. 오더북 공유는 거래소 간 매수·매도 주문 정보를 연동해 유동성을 확보하는 방식이다.

조사 결과 빗썸은 지난해 9월부터 11월까지 테더(USDT) 마켓을 운영하면서 해외 거래소와 오더북을 공유했다. 이 과정에서 이용자에게는 개인정보가 스텔라 거래소로 이전된다고 동의를 받았지만, 실제 회원번호와 주문정보는 다른 해외 거래소가 운영하는 시스템으로 전송된 것으로 확인됐다.

개보위는 이용자가 동의한 개인정보 국외이전 대상과 실제 정보를 제공받은 사업자가 달랐다고 보고, 해당 사안에 과징금 1억2000만원을 부과했다.

가상자산 이전 과정에서도 위반 사항이 확인됐다. 빗썸은 이용자가 가상자산을 13개 해외 거래소로 이전할 때 자금세탁방지와 송금인·수취인 확인을 위해 이름과 지갑주소 등을 제공했다. 일부 거래소에는 생년월일도 전달됐다.

개보위는 가상자산 이전 과정에서 해외 거래소와 개인정보를 공유할 필요성 자체는 인정했다. 다만 개인정보 국외이전은 정보주체의 자기결정권과 직결되는 만큼, 법에서 정한 별도 동의 등 요건을 갖춰야 한다고 판단했다. 이에 해당 위반에 대해서는 과징금 9000만원을 부과했다.

개보위는 빗썸에 향후 개인정보를 해외로 이전할 때 이용자의 별도 동의를 받는 등 적법한 요건을 갖추고, 이전 대상과 항목 등을 개인정보 처리방침에 명확히 공개하라고 명령했다.

개보위는 이번 조사 과정에서 확인된 개인정보 보호 위험을 토대로 ‘블록체인 서비스 개인정보 보호 가이드라인’도 마련했다. 가이드라인에는 블록체인의 투명성·분산성·불변성 등을 고려한 온체인 정보 공개와 추적 방지, 참여자 간 개인정보 공유 관리, 개인정보 파기 방안 등이 담겼다.

빗썸은 제재와 관련해 “이번 조사를 통해 지적된 일부 미비점에 대한 개선 조치를 완료했다”며 “앞으로 더욱 엄격한 기준을 적용해 안전하고 투명한 거래 환경을 조성하는 데 최선을 다하겠다”고 밝혔다.