[뉴스토마토 전연주 기자] 가상자산 거래소 빗썸이 이용자 개인정보를 해외 거래소에 이전하는 과정에서, 법에서 정한 동의 절차를 제대로 지키지 않아 2억원대 과징금을 부과 받았습니다. 자금세탁방지(AML) 등 개인정보 제공의 필요성이 인정되는 경우에도 국외이전 대상과 항목을 이용자에게 정확히 알리고 동의를 받아야 하는데, 이를 준수하지 않았다는 이유입니다.
이정렬 개인정보보호위원회 부위원장이 지난 24일 오후 서울 종로구 정부서울청사에서 개최된 2026년 제12회 개인정보보호위원회 전체회의에서 모두발언을 하고 있다. (사진=개인정보보호위원회)
개인정보보호위원회(개보위)는 지난 24일 전체회의를 열고 개인정보 국외이전 규정을 위반한 빗썸에 과징금 2억1000만원을 부과하고 시정명령을 의결했다고 25일 밝혔습니다.
이번 조사는 지난해 국정감사에서 빗썸이 해외 가상자산 거래소와 오더북을 공유하는 과정에서 개인정보를 적법하게 국외로 이전했는지에 대한 문제가 제기되면서 시작됐습니다. 오더북 공유는 거래소들이 매수·매도 주문 정보를 공유해 서로의 주문이 체결될 수 있도록 하는 제휴 방식입니다.
조사 결과 빗썸은 지난해 9월부터 11월까지 테더(USDT) 마켓을 운영하며 해외 거래소와 오더북을 공유했습니다. 빗썸은 이용자에게 개인정보가 '스텔라 거래소'로 이전된다는 내용의 동의를 받았지만, 실제 회원번호와 주문정보는 다른 해외 거래소가 운영하는 'bingx.com' 시스템으로 전송된 것으로 확인됐습니다. 이용자가 동의한 개인정보 이전 대상과 실제 정보를 받은 사업자가 달랐던 셈입니다.
개보위는 개인정보 국외이전이 정보주체의 자기결정권과 밀접하게 관련된 사항인 만큼, 개인정보보호법에서 정한 요건과 절차를 면밀히 준수할 필요가 있다고 판단했습니다.
빗썸은 이용자의 가상자산을 해외 거래소로 보내는 과정에서도 국외이전 요건을 일부 지키지 않았습니다. 빗썸은 13개 해외 거래소에 송금인과 수취인의 이름과 지갑주소 등을 제공했고, 이 가운데 한 거래소에는 생년월일도 전달했습니다. 하지만 이 과정에서 개인정보 국외이전에 필요한 이용자의 별도 동의를 받지 않은 것으로 조사됐습니다.
해당 정보는 자금세탁방지와 송금인·수취인 확인을 위해 제공됐습니다. 개보위도 가상자산 이전 과정에서 개인정보를 해외 거래소와 공유할 필요성 자체는 인정했지만 개인정보 보호법에서 정한 요건과 절차를 면밀하게 준수할 필요가 있다고 강조했습니다.
이에 개보위는 오더북 공유 과정의 위반에 과징금 1억2000만원, 가상자산 이전 과정의 위반에 과징금 9000만원을 각각 부과했습니다. 빗썸에는 개인정보를 해외로 이전할 때 이용자의 별도 동의를 받는 등 적법한 요건을 갖추고, 이전 대상과 항목 등을 개인정보 처리방침에 명확히 공개하라는 시정명령도 내렸습니다.
개보위는 이번 조사 과정에서 확인한 개인정보 보호 위험을 바탕으로 '블록체인 서비스 개인정보 보호 가이드라인'도 마련했습니다. 가이드라인에는 블록체인의 주요 특성인 투명성·분산성·불변성을 고려해 △온체인 정보 공개 및 추적 방지 방안 △참여자 간 개인정보 공유 관리 방안 △개인정보 파기 방안 등이 담겼습니다.
개보위 관계자는 "개인정보 국외이전은 정보주체의 자기결정권과 밀접한 사항"이라며 "신기술 환경에서 개인정보 보호와 안전한 활용이 조화를 이룰 수 있도록 관련 기준을 지속적으로 마련하겠다"고 말했습니다.
전연주 기자 kiteju1011@etomato.com
이 기사는 뉴스토마토 보도준칙 및 윤리강령에 따라 김충범 테크지식산업부장이 최종 확인·수정했습니다.
ⓒ 맛있는 뉴스토마토, 무단 전재 - 재배포 금지