"이용자 동의없이 개인정보 국외 이전"..빗썸 과징금 2.1억원
개인정보보호위, 가상자산거래소 거래정보 국외이전에 제재
[파이낸셜뉴스] 이용자 동의 없이 가상자산 거래 정보를 국외로 이전한 빗썸이 개인정보보보호법 위반으로 2.1억원 과징금 제재를 받았다. 또 해외 가상자산 거래소와 교차거래를 위해 이용자들의 거래정보를 공유할 때 정보주체의 별도 동의를 받도록 시정조치도 명령받았다.
개인정보보호위원회는 지난 24일 제12회 전체회의를 열어 개인정보보호법 상 개인정보 국외이전 규정을 위반한 빗썸에 과징금 2.1억을 부과하고, 적법한 국외이전 요건을 갖추도록 시정명령을 의결했다고 25일 밝혔다.
개인정보보호위는 지난해 국정감사에서 빗썸이 해외 거래소와 오더북을 공유하는 과정에서 개인정보가 국외로 이전되는데, 이것이 적법한지 여부를 따져야 한다는 지적이 제기돼 조사에 착수했다. 오더북은 거래소의 매수·매도 주문이 가격대별로 쌓여 있는 주문장(호가창)을 말하는데, 통상 가상자산 거래소들은 오더북을 상호 공유하는 제휴를 맺어 해당 거래소에 상장되지 않은 가상자산도 이용자들이 폭넓게 거래할 수 있도록 한다.
개인정보보호위 조사 결과 빗썸은 해외 가상자산거래소와 오더북을 공유하고 거래에 따라 가상자산을 이전하는 과정에서 이용자 동의 없이 개인정보를 국외로 이전한 사실이 확인됐다.
지난해 9월부터 11월까지 테더(USDT)마켓에서 해외 거래소들과 오더북을 공유했는데, 이용자에게는 스텔라 거래소로 개인정보를 국외이전한다고 동의를 받아놓고 실제로는 다른 거래소가 운영하는 빙엑스 시스템으로 회원번호와 주문정보를 이전했다는 것이다. 또 이용자의 가상자산을 13개 해외 거래소로 이전하면서 자금세탁 방지 목적으로 송금인과 수취인의 이름, 지갑주소, 생년월일 등 개인정보를 제공한 사실도 확인됐는데, 별도의 이용자 동의를 받지 않아 개인정보보호법 위반으로 지적됐다.
개인정보보호위는 "가상자산을 다른 거래소로 이전하는 경우 자금세탁 방지를 위해 개인정보를 제공할 필요성은 인정된다"면서도 "개인정보를 국외이전하는 것은 정보주체의 자기결정권과 밀접하게 관련된 사항으로, 개인정보보호법에서 정한 요건과 절차를 면밀하게 준수할 필요가 있다"고 위법행위 판단의 근거를 설명했다.
한편 이번 제재에 대해 빗썸은 "이번 조사를 통해 지적된 일부 미비점들은 이미 개선 조치를 완료했다"며 "앞으로 더욱 엄격한 기준을 적용해 안전하고 투명한 거래 환경을 조성하는 데 최선을 다하겠다"고 입장을 밝혔다.
cafe9@fnnews.com 이구순 기자
