개인정보보호위원회는 이용자 동의 없이 개인정보를 국외이전한 빗썸에 과징금 2억1000만원을 부과했다.
개인정보위는 전날 열린 전체 회의에서 빗썸의 개인정보 국외이전 규정 위반에 대해 과징금 2억1000만원을 부과하고, 적법한 국외이전 요건을 갖추도록 하는 시정명령을 의결했다고 25일 밝혔다.
앞서 개인정보위는 지난해 국회 국정감사에서 제기된 빗썸의 '오더북(호가창) 공유' 과정의 개인정보 국외이전 적법성 문제에 대한 조사에 착수했다. 조사 결과, 지난해 9월부터 11월까지 테더(USDT) 마켓에서 해외 거래소와 오더북을 공유하는 과정에서 개인정보를 국외로 이전했다.
이 과정에서 이용자들에게는 스텔라 거래소로 개인정보를 이전한다고 별도 동의를 받았지만, 실제로는 다른 거래소가 운영하는 시스템(bingx.com)으로 회원번호와 주문정보를 전송한 것으로 조사됐다.
또 이용자가 가상자산을 해외 거래소로 이전할 때 자금세탁방지(AML) 목적으로 송금인과 수취인의 이름, 지갑주소 등을 13개 해외 거래소에 제공하면서도 정보주체의 별도 동의를 받는 등 보호법상 국외이전 요건을 일부 갖추지 않은 것으로 확인됐다.
개인정보위는 "자금세탁방지를 위한 개인정보 제공의 필요성은 인정하면서도, 개인정보 국외이전은 정보주체의 자기 결정권과 밀접한 만큼 보호법상 요건과 절차를 철저히 준수해야 한다고 판단했다"고 했다.
이에 개인정보위는 빗썸에 오더북 공유 과정의 개인정보 국외이전 규정 위반에 대해 과징금 1억2000만원, 가상자산 이전 과정의 개인정보 국외이전 규정 위반에 대해 과징금 9000만원을 각각 부과했다.
한편 개인정보위는 조사 과정에서 확인한 블록체인 기술의 특성을 반영해 '블록체인 서비스 개인정보 보호 가이드라인'을 마련했다. 블록체인 특성별로 투명성에 따른 온체인(블록체인 네트워크의 블록에 기록되는 정보) 정보 공개·추적 방지 방안, 분산성에 따른 참여자 간 정보 공유 관리 방안, 불변성에 따른 개인정보 파기 방안 등이 가이드라인에 담겼다.