개인정보보호위원회(위원장 송경희)는 지난 6월 24일 전체 회의를 열고 가상자산 거래소 빗썸이 개인정보를 해외로 옮기면서 법적 요건을 지키지 않은 데 대해 과징금 2억 1천만 원을 부과하고 시정명령을 의결했다.
빗썸은 2025년 9월부터 11월까지 테더(USDT) 마켓에서 해외 거래소와 오더북을 공유했다. 오더북은 거래소 간 매수·매도 주문 정보(호가창)를 공유해 상호 교차 체결이 가능하도록 하는 제휴 형태다. 이 과정에서 빗썸은 이용자에게 스텔라 거래소로 개인정보를 보낸다고 동의를 받았지만, 실제로는 다른 거래소가 운영하는 시스템(bingx.com)으로 회원번호와 주문정보를 전송한 것으로 드러났다.
또한 빗썸은 이용자의 가상자산을 13개 해외 거래소로 이전할 때 자금세탁 방지 목적으로 송금인과 수취인의 이름, 지갑주소, 생년월일(1개 거래소에만 제공)을 해외 거래소에 넘겼다. 그러나 정보주체의 별도 동의를 받지 않는 등 개인정보 보호법이 정한 국외이전 요건을 충족하지 못했다.
개인정보위는 가상자산 이전 시 자금세탁 방지를 위한 개인정보 제공의 필요성은 인정했지만, 개인정보 국외이전은 정보주체의 자기결정권과 밀접한 만큼 법적 요건과 절차를 철저히 지켜야 한다고 판단했다. 이에 따라 오더북 공유와 가상자산 이전 과정에서의 위반에 대해 각각 과징금 1억 2천만 원과 9천만 원을 합산해 총 2억 1천만 원을 부과했다. 아울러 앞으로 개인정보를 해외로 옮길 때 정보주체의 별도 동의를 받고, 개인정보 처리방침에 그 사실을 명확히 안내하도록 시정명령을 내렸다.
이와 함께 개인정보위는 이번 조사 과정에서 분석한 블록체인 기술의 특성을 반영해 '블록체인 서비스 개인정보 보호 가이드라인'을 마련했다. 블록체인은 참여자 누구나 거래내역을 볼 수 있는 투명성, 참여자 간 분산·협업으로 운영되는 분산성, 한번 기록되면 수정이나 삭제가 어려운 불변성이라는 기술적 특성을 가진다. 이러한 특성 때문에 개인정보 보호에 여러 위험 요소가 발생할 수 있다.
가이드라인은 블록체인의 주요 특성별로 대응 방안을 제시했다. 투명성과 관련해서는 성명이나 주민등록번호처럼 그 자체로 개인을 식별할 수 있는 정보는 온체인(블록체인 네트워크의 블록에 기록되는 정보)에 기록하지 않아야 하며, 온체인 정보와 연결된 오프체인(블록체인 외부 저장소) 상의 개인정보는 암호화와 접근통제 등 안전조치를 해야 한다고 명시했다.
분산성 측면에서는 참여자 간 정보 공유가 제3자 제공이나 위·수탁 등 어떤 처리 관계에 해당하는지 검토하고, 계약이나 운영정책을 통해 개인정보 보호 책임과 법적 의무를 명확히 해야 한다고 강조했다. 특히 비허가형 블록체인의 경우 참여자의 범위와 역할 등을 사전에 공개하도록 했다.
불변성에 대해서는 개인을 식별할 수 있는 정보는 원칙적으로 오프체인에 저장·관리하고, 온체인에는 개인을 알아볼 수 없도록 처리한 익명 정보(해시값 등)만 기록할 것을 권고했다. 개인정보 파기 시에는 오프체인에 저장된 개인정보와 온체인 정보 생성에 활용한 솔트값 등 추가 정보를 삭제하는 방법으로 파기 의무를 이행할 수 있다.
개인정보위는 앞으로도 국민의 개인정보 자기결정권이 침해되지 않도록 개인정보 국외이전 등 법 위반 행위에 엄정히 대응하는 한편, 신기술 환경에서 개인정보 보호와 안전한 활용이 조화를 이루도록 필요한 기준을 지속적으로 마련해 나갈 계획이라고 밝혔다.
