특금법만으론 부족…거래소 '개인정보 국외이전' 점검대 [크립토브리핑]
개보위, 빗썸에 과징금 2억1000만원…트래블룰·오더북 연동 절차 쟁점
[파이낸셜뉴스] 개인정보보호위원회의 '빗썸 제재'를 계기로 가상자산거래소의 해외 거래소 연동과 트래블룰(자금이동 규칙·코인 실명제) 이행 과정의 개인정보 국외이전 절차가 핵심 쟁점으로 떠올랐다.
29일 업계에 따르면 개인정보위는 최근 빗썸의 개인정보 국외이전 규정 위반에 대해 과징금 2억1000만원을 부과하고, 적법한 국외이전 요건을 갖추도록 하는 시정명령을 의결했다. 앞서 지난해 국회 국정감사에서 지적된 빗썸의 '오더북(호가창) 공유' 과정의 개인정보 국외이전에 대한 당국 입장이 나온 것에 대해 빗썸은 개선 조치를 완료했다는 입장이다.
하지만 이번 제재는 가상자산거래소의 트래블룰 실무와 맞물려 있다는 점에서 관심이 쏠리고 있다. 트래블룰은 가상자산 이전 시 송금인과 수취인 정보를 확인·전송하도록 하는 자금세탁방지 장치다. 즉 해외 가상자산 거래소로 정보가 이전되는 경우에는 특정금융정보법(특금법)상 의무는 물론 개인정보보호법상 국외이전 동의, 제3자 제공 여부, 처리방침 고지 등을 함께 검토해야 한다. 특금법상 자금세탁방지를 위해 제공할 수 있는 개인정보는 이름, 지갑주소, 요청시 주민등록번호·여권번호·외국인등록번호 등이 해당한다. 향후 규제기관 판단에 따라 개인정보보호법상 제3자 제공 동의와 개인정보 국외이전 동의 절차가 추가로 필요할 수 있다.
A사 관계자는 "특금법 준수를 위해 어떤 정보가 전송돼야 하는지와 개인정보보호법 준수를 위해 고객 개인정보가 해외 이전되는 부분이 있는지 면밀히 검토해야 한다"면서 "개인정보가 국외로 이전된다면 별도 동의를 받고 개인정보 처리방침에 공개해야 한다"고 말했다.
B사 관계자도 "트래블룰은 자금세탁방지 의무이고 개인정보 국외이전은 정보주체 권리와 관련된 절차라는 점에서 두 규제가 동시에 적용될 수 있다"며 "해외 거래소, 유동성 공급자, 트래블룰 솔루션 업체와의 계약뿐 아니라 고객 고지와 동의 절차까지 함께 정비해야 할 것"이라고 전했다.
오더북 공유를 하지 않는 거래소들도 트래블룰 정보 전송과 관련한 내부 절차 정비 필요성을 보고 있다. C사 관계자는 "해외 거래소로 가상자산을 이전할 때 정보 제공 의무가 구체화되면 자금세탁방지 의무뿐 아니라 개인정보 관련 내부 절차도 함께 정비할 예정"이라며 "회원번호 등도 다른 정보와 결합하면 개인정보로 볼 수 있어 해외 연동 검토 시 제공 데이터의 개인정보 해당 여부를 살펴봐야 한다"고 말했다.
개인정보위는 이번 제재와 함께 '블록체인 서비스 개인정보 보호 가이드라인'도 내놨다. 이번 가이드라인은 블록체인 기술의 투명성, 분산성, 불변성에 따른 개인정보 보호 위험을 반영해 온체인 정보 공개 및 추적 대응, 참여자 간 정보 공유 관리, 개인정보 파기 방안을 제시했다.
이에 업계에서는 가이드라인의 적용 가능성이 서비스 구조에 따라 달라질 수 있다고 지적했다. 퍼블릭체인, 탈중앙화금융(DeFi·디파이), 대체불가능토큰(NFT) 서비스처럼 통제 주체가 명확하지 않은 구조에서는 적용 난이도가 높다는 것이다. D사 관계자는 "통제 주체가 없는 완전 비허가형 디파이, NFT 서비스에서는 정보 기록 방식을 강제할 주체가 없어 적용이 어렵다"며 "퍼블릭체인, 탈중앙화 자율조직(DAO), 다수 검증자와 노드 운영자가 분산된 구조에서는 참여자의 범위와 책임을 사전에 공개하고 통제할 중앙 주체도 명확하지 않다"고 말했다.
지갑주소의 개인정보 해당 여부도 쟁점이다. 업계에서는 단일 데이터 항목보다 결합 가능성을 기준으로 봐야 한다는 의견이 나온다. E사 관계자는 "지갑주소 자체는 익명에 가깝지만, 반복 사용되고 오프체인의 신원 정보와 한 번이라도 연결되면 이후 거래 추적의 연결고리가 될 수 있다"며 "지갑주소, 거래시간, 주문ID, 토큰ID 등이 오프체인 정보와 결합될 때 특정 개인을 식별할 가능성이 커진다"고 설명했다.
elikim@fnnews.com 김미희 기자
기자 정보
