"스텔라에 개인정보 보낸다더니 빙엑스로"…빗썸, 국외이전 위반 과징금 2.1억
등록 2026.06.25 10:01:43수정 2026.06.25 10:40:25
개인정보위, 오더북 공유·가상자산 이전 과정 위법 판단
회원번호·주문정보 이전 대상 실제 시스템 달라
![[서울=뉴시스] 최진석 기자 = 서울 서초구 빗썸라운지 강남본점의 모습. 2026.04.30. myjs@newsis.com](https://img1.newsis.com/2026/04/30/NISI20260430_0021267929_web.jpg?rnd=20260430155740)
[서울=뉴시스] 최진석 기자 = 서울 서초구 빗썸라운지 강남본점의 모습. 2026.04.30. [email protected]
[서울=뉴시스]윤정민 기자 = 정부가 개인정보 국외이전 규정을 위반한 빗썸에 과징금을 부과했다. 해외 거래소와 주문정보를 공유하는 과정에서 이용자에게 알린 이전 대상과 실제 개인정보가 넘어간 시스템이 달랐기 때문이다. 가상자산 이전 과정에서도 별도 동의 없이 송금인·수취인 개인정보를 해외 거래소에 제공한 사실이 확인됐다.
개인정보보호위원회는 지난 24일 오후 정부서울청사에서 제12회 전체회의를 열고 개인정보보호법을 위반한 빗썸에 과징금 2억1000만원과 시정명령을 의결했다고 25일 밝혔다.
오더북은 거래소 간 매수·매도 주문정보, 이른바 호가창을 공유해 서로의 고객 주문이 교차 체결될 수 있도록 하는 방식이다. 거래량을 늘리고 유동성을 높일 수 있지만 이 과정에서 회원번호나 주문정보가 해외 거래소 시스템으로 넘어가면 개인정보 국외이전 문제가 발생할 수 있다.
스텔라 동의받고 실제론 빙엑스로 이전
![[서울=뉴시스] 개인정보보호위원회는 24일 오후 정부서울청사에서 2026년 제12회 개인정보보호위원회 전체회의를 열었다. 2026.06.25. (사진=개인정보보호위원회 제공)](https://img1.newsis.com/2026/06/25/NISI20260625_0002169494_web.jpg?rnd=20260625075631)
[서울=뉴시스] 개인정보보호위원회는 24일 오후 정부서울청사에서 2026년 제12회 개인정보보호위원회 전체회의를 열었다. 2026.06.25. (사진=개인정보보호위원회 제공)
조사 결과 빗썸은 지난해 9월부터 11월까지 테더(USDT) 마켓에서 해외 거래소와 오더북을 공유했다. 빗썸은 이용자에게 스텔라 거래소로 개인정보를 국외 이전한다는 내용으로 별도 동의를 받았다.
하지만 실제로는 다른 거래소가 운영하는 시스템인 '빙엑스'로 회원번호와 주문정보를 이전한 것으로 확인됐다. 개인정보위는 이 부분을 개인정보 국외이전 규정 위반으로 판단하고 과징금 1억2000만원을 부과했다.
가상자산 이전 과정에서도 위반이 확인됐다. 빗썸은 이용자가 가상자산을 13개 해외 거래소로 옮길 때 자금 세탁 방지 목적으로 송금인과 수취인의 개인정보를 해외 거래소에 제공했다.
제공된 정보는 이름, 지갑주소, 생년월일 등이다. 생년월일은 송금인과 수취인이 같은 사람인지 확인하기 위해 1개 거래소에만 제공됐다.
개인정보위는 가상자산 이전 과정에서 자금 세탁 방지를 위한 개인정보 제공 필요성은 인정했다. 다만 개인정보 국외이전은 정보주체의 자기결정권과 밀접한 사안인 만큼 법에서 정한 별도 동의 등 요건과 절차를 지켜야 한다고 봤다. 이 부분에는 과징금 9000만원이 부과됐다.
개인정보위는 빗썸에 과징금 부과와 함께 오더북 공유와 가상자산 이전 시 적법한 국외이전 요건을 갖추도록 시정명령을 내렸다. 앞으로 개인정보를 국외이전할 때 정보주체의 별도 동의를 받고 국외이전 사실을 개인정보 처리방침에 명확히 안내하도록 했다.
블록체인 개인정보 보호 가이드 수립…온체인 기록·정보 공유 기준 제시
![[서울=뉴시스] 이정렬 개인정보보호위원회 부위원장이 24일 오후 정부서울청사에서 개최된 2026년 제12회 개인정보보호위원회 전체회의에서 의사봉을 두드리고 있다. 2026.06.25. (사진=개인정보보호위원회 제공)](https://img1.newsis.com/2026/06/25/NISI20260625_0002169493_web.jpg?rnd=20260625075605)
[서울=뉴시스] 이정렬 개인정보보호위원회 부위원장이 24일 오후 정부서울청사에서 개최된 2026년 제12회 개인정보보호위원회 전체회의에서 의사봉을 두드리고 있다. 2026.06.25. (사진=개인정보보호위원회 제공)
개인정보위는 이번 조사 과정에서 확인한 블록체인 기술 특성을 반영해 '블록체인 서비스 개인정보 보호 가이드라인'도 마련했다.
블록체인은 거래내역을 참여자가 볼 수 있는 투명성, 여러 참여자가 함께 운영하는 분산성, 한 번 기록되면 수정·삭제가 어려운 불변성을 갖는다. 이 때문에 개인정보가 블록체인에 직접 기록되거나 온체인 정보와 외부 정보가 결합돼 개인이 식별될 경우 개인정보 보호 문제가 커질 수 있다.
가이드라인은 성명·주민등록번호처럼 개인을 직접 식별할 수 있는 정보는 온체인에 기록하지 않도록 했다. 온체인 정보와 연결되는 오프체인 개인정보는 암호화와 접근통제 등 안전조치를 해야 한다. 또 참여자 간 정보 공유가 제3자 제공인지 위·수탁인지 처리관계를 검토하고, 개인정보 보호 책임과 법적 의무를 계약이나 운영정책에 명확히 하도록 했다.
개인정보위는 "국민의 개인정보 자기결정권이 침해되지 않도록 개인정보 국외이전 등 보호법 위반행위에 엄정히 대응하겠다"며 "신기술 환경에서 개인정보 보호와 안전한 활용이 조화를 이룰 수 있도록 필요한 기준을 지속적으로 마련하겠다"고 밝혔다.
◎공감언론 뉴시스 [email protected]
