개인정보위, 국감 지적 뒤 조사 착수

오더북 공유·가상자산 이전 과정서 위반 확인

13개 해외 거래소 AML 정보 제공도 제재 대상

빗썸이 이용자 개인정보를 국외로 이전하는 과정에서 법정 요건을 일부 갖추지 않아 과징금 2억1천만원을 부과받았다. 이용자에게는 스텔라 거래소로 개인정보가 이전된다고 안내했지만, 실제로는 다른 거래소가 운영하는 시스템인 빙엑스(bingx.com)으로 회원번호와 주문정보가 넘어간 것으로 조사됐다.

뉴스1

25일 개인정보보호위원회는 24일 제12회 전체회의를 열고 개인정보 보호법상 개인정보 국외이전 규정을 위반한 빗썸에 과징금 2억1천만원과 시정명령을 의결했다고 밝혔다.

조사는 지난해 국회 국정감사에서 빗썸의 해외 거래소 오더북 공유 과정이 도마에 오르면서 시작됐다. 오더북 공유는 거래소 간 매수·매도 주문정보를 공유해 교차 체결이 가능하도록 하는 제휴 형태다. 유동성을 넓힐 수 있지만 국내 이용자 주문정보와 회원 식별 정보가 해외 시스템으로 넘어갈 수 있다.

개인정보위 조사 결과 빗썸은 지난해 9~11월 테더(USDT) 마켓에서 해외 거래소와 오더북을 공유했다. 이 과정에서 정보주체에게는 스텔라 거래소로 개인정보를 국외이전한다고 별도 동의를 받았다. 그러나 실제 회원번호와 주문정보는 빙엑스 도메인으로 전송됐다.

가상자산 이전 과정도 제재 대상에 포함됐다. 빗썸은 이용자가 가상자산을 13개 해외 거래소로 이전할 때 자금세탁방지 목적의 개인정보를 제공했다. 송금인과 수취인의 이름, 지갑주소가 포함됐고 일부 거래소에는 생년월일도 넘어갔다.

개인정보위는 가상자산 이전 때 자금세탁방지를 위한 개인정보 제공 필요성은 인정했다. 다만 개인정보 국외이전은 정보주체의 별도 동의 등 보호법상 요건과 절차를 따라야 한다고 봤다.

과징금은 오더북 공유 관련 위반 1억2천만원, 가상자산 이전 관련 위반 9천만원으로 나뉘어 부과됐다. 개인정보위는 빗썸에 개인정보 국외이전 때 적법한 요건을 갖추고, 관련 내용을 개인정보 처리방침에 명확히 안내하라고 명령했다.

개인정보위는 이날 '블록체인 서비스 개인정보 보호 가이드라인'도 함께 내놨다. 블록체인의 투명성, 분산성, 불변성 특성을 반영해 온체인 정보 공개와 추적 방지, 참여자 간 정보 공유 관리, 개인정보 파기 방안 등을 담았다.