이용자 동의 없이 개인정보 국외이전한 '빗썸' 과징금 2.1억 부과

(서울=뉴스1) 이기림 기자 = 이용자 동의 없이 개인정보를 국외이전한 빗썸이 과징금 2억 1000만 원을 부과받았다.

개인정보보호위원회는 지난 24일 정부서울청사에서 제12회 전체회의를 열고 개인정보보호법상 개인정보 국외이전 규정을 위반한 '빗썸'에 과징금 2억 1000만 원을 부과하고 적법한 국외이전 요건을 갖추도록 하는 시정명령을 의결했다고 25일 밝혔다.

개인정보위는 지난해 국정감사에서 빗썸의 '오더북 공유'와 관련한 개인정보 국외이전 적법 여부에 관한 지적에 따라 조사에 착수했다. 오더북 공유는 거래소 간 매수·매도 주문정보를 공유해 상호 교차 체결이 가능하게 하는 제휴 형태다.

조사 결과 빗썸은 해외 가상자산거래소와 오더북 공유 및 가상자산 이전 과정에서 정보주체의 별도 동의 없이 개인정보를 국외이전한 것으로 확인됐다.

빗썸은 2025년 9월~11월에 테더(USDT) 마켓에서 해외 거래소와 오더북을 공유했다.

이 과정에서 정보주체에게는 스텔라 거래소로 개인정보를 국외이전한다는 내용으로 별도 동의를 받았으나, 실제 다른 거래소가 운영하는 시스템으로 회원번호 및 주문정보를 국외이전했다.

또한 빗썸은 이용자의 가상자산을 13개 해외 거래소로 이전 시, 자금세탁방지 목적으로 송금인과 수취인의 이름, 지갑주소, 생년월일 등 개인정보를 해외 거래소로 제공했다.

그러나 정보주체의 별도 동의를 받지 않는 등법에서 정한 개인정보 국외이전 요건을 일부 충족하지 않은 것으로 확인됐다.

개인정보위는 가상자산을 다른 거래소로 이전하는 경우 자금세탁방지를 위한 개인정보 제공의 필요성은 있다고 봤으나, 개인정보 국외이전은 정보주체의 자기결정권과 밀접하게 관련된 사항으로 법에서 정한 요건과 절차를 면밀하게 준수할 필요가 있다고 판단했다.

또한 개인정보위는 조사 과정에서 분석한 블록체인 기술의 특성을 고려해 '블록체인 서비스 개인정보 보호 가이드라인'을 수립했다.

각 블록체인 특성별로 투명성에 따른 온체인 정보 공개 및 추적 방지방안, 분산성에 따른 참여자 간 정보 공유 관리방안, 불변성에 따른 개인정보 파기방안 등을 정한 것이다.

lgirim@news1.kr