빗썸 과징금 2억1000만원, 개인정보 국외이전 규정 위반 쟁점

Privacy & Blockchain

빗썸 과징금 2억1000만원, 개인정보 국외이전 규정 위반 쟁점

개인정보보호위원회가 해외 가상자산거래소와의 오더북 공유 및 가상자산 이전 과정에서 개인정보 국외이전 요건을 일부 지키지 않은 빗썸에 과징금 2억1000만원과 시정명령을 의결했다.

개인정보위가 빗썸에 제재를 내린 이유

개인정보보호위원회는 6월 24일 제12회 전체회의에서 개인정보 보호법상 개인정보 국외이전 규정을 위반한 빗썸에 과징금 2억1000만원을 부과하고 시정명령을 의결했다.

쟁점은 해외 가상자산거래소와 오더북을 공유하고, 이용자의 가상자산을 해외 거래소로 이전하는 과정에서 정보주체의 별도 동의 등 법에서 요구하는 국외이전 요건을 충분히 갖췄는지 여부였다.

개인정보 국외이전은 단순한 시스템 연동 문제가 아니라 이용자의 자기결정권과 직접 연결된다. 어떤 정보가, 어느 국가의 어떤 사업자에게, 어떤 목적으로 이전되는지 이용자가 명확히 알고 동의할 수 있어야 한다는 점이 핵심이다.

핵심 요약 제재 대상: 빗썸
제재 기관: 개인정보보호위원회
제재 내용: 과징금 2억1000만원 및 시정명령
주요 쟁점: 개인정보 국외이전 요건 미준수
관련 분야: 오더북 공유, 가상자산 이전, 블록체인 개인정보 보호

동의받은 거래소와 실제 이전 대상이 달랐다는 점

개인정보위는 2025년 국정감사에서 빗썸의 오더북 공유와 관련한 개인정보 국외이전 적법성 문제가 제기되자 조사를 진행했다. 오더북 공유는 거래소 간 매수·매도 주문정보를 공유해 서로의 주문을 교차 체결할 수 있도록 하는 제휴 방식이다.

조사 결과, 빗썸은 해외 거래소와 오더북을 공유하는 과정에서 이용자에게 안내하고 동의받은 내용과 실제 개인정보 이전 대상이 다른 사례가 확인됐다.

빗썸은 테더 마켓에서 해외 거래소와 오더북을 공유하면서 이용자에게는 스텔라 거래소로 개인정보를 국외이전한다는 취지로 동의를 받았지만, 실제 회원번호와 주문정보는 다른 거래소가 운영하는 시스템으로 이전된 것으로 판단됐다.

운영 환경에서는 “동의를 받았다”는 사실만으로 충분하지 않다. 실제 이전받는 사업자, 이전 항목, 이전 목적, 보유·이용 기간이 동의 내용과 일치해야 개인정보 국외이전 리스크를 줄일 수 있다.

가상자산 이전 과정에서 제공된 개인정보

빗썸은 이용자의 가상자산을 13개 해외 거래소로 이전하는 과정에서 자금세탁방지 목적의 정보를 제공했다. 이때 송금인과 수취인의 이름, 지갑주소 등 개인정보가 해외 거래소에 전달됐다.

이 가운데 일부 거래소에는 송금인과 수취인이 동일인인지 확인하기 위해 생년월일도 제공된 것으로 확인됐다. 개인정보위는 자금세탁방지를 위해 일정한 개인정보 제공 필요성은 인정했다.

그러나 필요성이 인정된다고 해서 개인정보 국외이전 절차가 면제되는 것은 아니다. 개인정보 보호법에서 정한 요건과 절차를 충족해야 하며, 정보주체가 자신의 개인정보 이전 사실을 명확히 인식할 수 있어야 한다.

구분	주요 내용
오더북 공유	해외 거래소와 주문정보를 공유해 교차 체결이 가능하도록 한 제휴 구조가 문제로 다뤄졌다.
가상자산 이전	해외 거래소로 자산을 이전하는 과정에서 송금인·수취인 정보가 제공됐다.
제공 정보	이름, 지갑주소, 회원번호, 주문정보 등이 개인정보 국외이전 쟁점에 포함됐다.
추가 제공 정보	일부 거래소에는 동일인 확인을 위해 생년월일이 제공된 것으로 확인됐다.
개인정보위 판단	자금세탁방지 목적의 필요성은 인정하되, 국외이전 요건 준수는 별도로 필요하다고 봤다.

개인정보 국외이전에서 중요한 기준

개인정보 국외이전은 국내 이용자의 개인정보가 해외 사업자나 해외 시스템으로 넘어가는 행위다. 이 과정에서는 정보주체가 이전 사실을 충분히 알고 선택할 수 있어야 한다.

특히 금융, 가상자산, 블록체인 서비스에서는 거래 정보와 식별 정보가 결합될 수 있다. 지갑주소처럼 겉으로는 익명처럼 보이는 정보도 다른 정보와 결합되면 특정 개인을 식별하거나 추적하는 단서가 될 수 있다.

실무 기준으로 보면 개인정보 국외이전 점검은 단순한 약관 문구 확인이 아니라 실제 데이터 흐름을 기준으로 해야 한다. 시스템 로그, API 연동 대상, 데이터 수신 사업자, 처리방침 공개 내용이 모두 일치해야 한다.

• 개인정보가 실제로 어느 해외 사업자에게 이전되는지 확인한다.
• 이전되는 개인정보 항목이 동의 또는 고지 내용과 일치하는지 점검한다.
• 이전 목적과 보유·이용 기간이 명확하게 안내됐는지 확인한다.
• 개인정보 처리방침에 국외이전 사실이 구체적으로 공개됐는지 확인한다.
• 제휴 구조가 변경될 때 동의 문구와 시스템 설정이 함께 갱신되는지 점검한다.

블록체인 서비스 개인정보 보호 가이드라인의 의미

개인정보위는 이번 조사 과정에서 확인한 블록체인 기술의 특성을 반영해 블록체인 서비스 개인정보 보호 가이드라인도 발표했다. 블록체인은 투명성, 분산성, 불변성을 핵심 특성으로 한다.

투명성은 참여자가 거래내역을 확인할 수 있다는 의미이고, 분산성은 여러 참여자가 데이터를 공유하며 운영한다는 의미다. 불변성은 한 번 기록된 정보를 수정하거나 삭제하기 어렵다는 특성이다.

이러한 특성은 블록체인 서비스의 장점이 될 수 있지만, 개인정보 보호 관점에서는 위험 요인이 되기도 한다. 한 번 온체인에 기록된 정보가 다수 참여자에게 복제되면 사후 삭제나 정정이 매우 어렵기 때문이다.

가이드라인 항목	관리 포인트
온체인 정보 공개	블록체인에 직접 기록되는 정보가 개인정보에 해당하는지 사전에 검토해야 한다.
추적 방지	지갑주소, 거래정보, 식별자가 결합돼 개인 활동이 추적되지 않도록 설계해야 한다.
참여자 간 정보 공유	노드 운영자, 제휴사, 해외 사업자 간 개인정보 공유 범위와 책임을 명확히 해야 한다.
개인정보 파기	수정·삭제가 어려운 환경을 고려해 온체인 기록을 최소화하고 별도 파기 방안을 설계해야 한다.

가상자산 사업자가 점검해야 할 부분

이번 빗썸 제재는 가상자산 사업자에게 개인정보 국외이전 관리 체계를 다시 점검해야 한다는 신호로 볼 수 있다. 해외 거래소, 유동성 공급자, 지갑 서비스, 자금세탁방지 솔루션 등과 연동되는 구조에서는 개인정보 이동 경로가 복잡해지기 쉽다.

특히 오더북 공유처럼 거래 체결을 위해 외부 시스템과 주문정보를 주고받는 경우, 정보가 단순 거래 데이터인지 개인정보인지 명확히 판단해야 한다. 회원번호나 주문정보도 다른 정보와 결합되면 개인 식별 가능성이 생길 수 있다.

관리자 입장에서 중요한 것은 개인정보 처리방침, 이용자 동의 화면, 실제 API 전송 항목, 해외 수신자 목록을 한 번에 맞춰보는 것이다. 문서상 안내와 실제 시스템 동작이 다르면 제재 리스크가 커질 수 있다.

이용자에게 주는 시사점

이용자 입장에서는 가상자산 거래소 이용 시 개인정보가 국내에만 머무르지 않을 수 있다는 점을 이해할 필요가 있다. 해외 거래소와의 제휴, 가상자산 이전, 자금세탁방지 절차에서 개인정보가 국외로 이전될 수 있다.

개인정보 국외이전 동의 화면에서는 이전받는 자, 이전 국가, 이전 항목, 이전 목적, 보유 기간을 확인하는 것이 중요하다. 특히 지갑주소나 거래정보는 블록체인 특성상 다른 공개 정보와 결합될 수 있어 주의가 필요하다.

개인정보 보호는 서비스 제공자의 의무이지만, 이용자도 동의 화면과 개인정보 처리방침을 확인해 자신의 정보가 어떻게 처리되는지 파악하는 것이 좋다.

결론

빗썸에 대한 과징금 2억1000만원 부과는 가상자산 서비스에서 개인정보 국외이전 절차가 얼마나 중요한지를 보여준다. 자금세탁방지나 거래 연동 목적이 있더라도 정보주체의 권리를 보장하는 절차는 별도로 충족돼야 한다.

이번 사안은 오더북 공유, 가상자산 이전, 블록체인 데이터 처리라는 세 가지 흐름이 동시에 맞물린 사례다. 특히 온체인 정보와 해외 사업자 연동이 많은 서비스일수록 개인정보 보호 설계를 초기 단계부터 반영해야 한다.

앞으로 가상자산·블록체인 서비스 사업자는 개인정보 국외이전 동의, 처리방침 공개, 온체인 기록 최소화, 참여자 간 책임 분담을 더 엄격하게 관리해야 할 것으로 보인다.