개인정보보호위원회(위원장 송경희)는 6월 24일 전체 회의를 열고, 개인정보 국외이전 규정을 위반한 가상자산거래소 빗썸에 대해 과징금 2억 1000만 원을 부과하고 시정명령을 의결했다고 25일 밝혔다.
이번 조치는 지난해 국정감사에서 빗썸의 오더북(Order Book) 공유와 관련한 개인정보 국외이전 적법성 문제가 지적되면서 시작된 조사 결과에 따른 것이다. 오더북이란 거래소 간 매수·매도 주문정보(호가창)를 공유해 상호 교차 체결이 가능하도록 하는 제휴 형태를 말한다.
조사 결과, 빗썸은 2025년 9월부터 11월까지 테더(USDT) 마켓에서 해외 거래소와 오더북을 공유하면서 정보주체(이용자)에게는 '스텔라 거래소(Stellar exchange)'로 개인정보를 국외이전한다는 내용으로 별도 동의를 받았다. 그러나 실제로는 다른 거래소가 운영하는 시스템(bingx.com)으로 회원번호와 주문정보를 전송한 것으로 확인됐다. 이는 정보주체가 동의한 범위와 다른 곳으로 개인정보를 넘긴 셈이다.
또한 빗썸은 이용자의 가상자산을 13개 해외 거래소로 이전하는 과정에서 자금세탁 방지 목적으로 송금인과 수취인의 개인정보(이름, 지갑주소, 생년월일)를 해외 거래소에 제공했다. 생년월일의 경우 송금인과 수취인이 동일인인지 확인하기 위해 1개 거래소에만 제공됐다. 하지만 빗썸은 이 과정에서 정보주체의 별도 동의를 받지 않는 등 개인정보 보호법이 정한 국외이전 요건을 제대로 갖추지 못한 것으로 드러났다.
개인정보위는 가상자산 이전 시 자금세탁 방지를 위한 개인정보 제공의 필요성은 인정했지만, 개인정보 국외이전은 정보주체의 자기결정권과 밀접한 사안인 만큼 법에서 정한 요건과 절차를 철저히 지켜야 한다고 판단했다. 이에 따라 개인정보위는 빗썸에 오더북 공유 관련 위반에 대해 과징금 1억 2000만 원, 가상자산 이전 관련 위반에 대해 9000만 원 등 총 2억 1000만 원의 과징금을 부과했다. 아울러 개인정보 국외이 시 정보주체의 별도 동의를 받고, 그 사실을 개인정보 처리방침에 명확히 안내하도록 하는 시정명령도 내렸다.
이와 함께 개인정보위는 이번 조사 과정에서 분석한 블록체인 기술의 특성을 고려해 '블록체인 서비스 개인정보 보호 가이드라인'을 수립했다. 블록체인은 참여자 누구나 거래내역을 볼 수 있는 투명성, 참여자 간 분산·협업으로 운영되는 분산성, 한번 기록되면 수정이나 삭제가 어려운 불변성이라는 기술적 특성을 지닌다.
이러한 특성 때문에 블록체인 서비스는 기획 단계부터 개인정보 보호 원칙을 철저히 반영해야 한다. 이에 가이드라인은 블록체인의 특성별로 세 가지 핵심 방안을 제시했다.
첫째, 투명성과 관련해서는 온체인 정보(블록체인 네트워크의 블록에 기록되는 정보) 공개 및 추적을 방지하기 위해 성명이나 주민등록번호처럼 그 자체로 개인을 식별할 수 있는 정보는 온체인에 기록하지 않아야 한다. 또 온체인 정보와 연결된 오프체인(블록체인 외부 저장소) 상의 개인정보는 암호화와 접근통제 등 안전조치를 의무적으로 해야 한다. 아울러 온체인 정보 생성 시 안전한 암호 알고리즘을 적용하고, 전자서명 등에 쓰이는 난수값이 재사용되지 않도록 관리해야 한다.
둘째, 분산성 측면에서는 참여자 간 정보 공유가 제3자 제공이나 위·수탁 등 어떤 처리 관계에 해당하는지 먼저 검토하고 법령에 따른 준수사항을 이행해야 한다. 계약이나 운영정책 등을 통해 참여자 간 개인정보 보호 책임과 법적 의무를 명확히 하고, 개인 식별 시도를 금지하는 내용을 포함해야 한다. 특히 참여자를 통제하지 않는 비허가형 블록체인의 경우 참여자 범위, 자격, 역할 등을 사전에 공개해야 한다.
셋째, 불변성에 대처하기 위해 개인을 식별할 수 있는 정보는 원칙적으로 오프체인에 저장·관리하고, 온체인에는 해시값 등 개인을 알아볼 수 없도록 처리한 익명정보만 기록해야 한다. 개인정보를 파기할 때는 오프체인에 저장된 개인정보와 온체인 정보 생성에 사용한 솔트값 등 추가정보를 삭제하는 방식으로 파기 의무를 이행하도록 했다.
개인정보위는 앞으로도 국민의 개인정보 자기결정권 보호를 위해 개인정보 국외이전 등 법 위반 행위에 엄정히 대응하는 한편, 신기술 환경에서 개인정보 보호와 안전한 활용이 조화를 이룰 수 있도록 필요한 기준을 지속적으로 마련해 나갈 계획이라고 밝혔다.
