개인정보 국외이전 규정을 어긴 빗썸이 개인정보보호위원회(개인정보위)로부터 2억1000만원의 과징금 철퇴를 맞았다.
개인정보보호위원회(개인정보위)는 지난 24일 '제12회 전체회의'를 열고 개인정보보호법상 개인정보 국외이전 규정을 위반한 빗썸에 과징금 2억1000만원과 적법한 국외이전 요건을 갖추도록 하는 시정명령을 의결했다고 25일 밝혔다.
앞서 개인정보위는 지난해 국정감사에서 빗썸의 오더북 공유와 관련한 개인정보 국외이전 적법 여부를 지적함에 따라 조사에 착수했다. 조사 결과 빗썸은 해외 가상자산거래소와 오더북 공유 및 가상자산 이전 과정에서 정보주체의 별도 동의 없이 개인정보를 국외이전한 사실이 확인됐다.
빗썸은 2025년 9월~11월간 테더(USDT) 마켓에서 해외 거래소와 오더북을 공유한 바 있다. 이 과정에서 정보주체에게 스텔라거래소로 개인정보를 국외이전한다는 내용으로 동의를 받았다. 그러나 실제로는 다른 거래소가 운영하는 시스템으로 회원번호 및 주문정보를 국외이전한 것으로 확인됐다.
아울러 빗썸은 이용자의 가상자산을 13개 해외 거래소로 이전 시 자금세탁 방지 목적으로 송금인과 수취인의 이름, 지갑주소 등 개인정보를 해외 거래소에 제공하기도 했다. 그러나 정보주체의 별도 동의를 받지 않았으며, 개인정보보호법에서 정한 국외이전 요건도 일부 충족하지 않은 것으로 파악됐다.
개인정보위는 가상자산을 다른 거래소로 이전하는 경우 자금세탁방지를 위한 개인정보 제공의 필요성은 있다고 판단했다. 하지만 개인정보 국외이전은 정보주체의 자기결정권과 밀접하게 관련돼 있기 때문에 개인정보보호법에서 정한 요건과 절차를 면밀하게 준수할 필요가 있다고 봤다.
개인정보위는 이번 과징금 부과와 더불어 조사 과정에서 분석한 블록체인 기술의 특성을 고려해 '블록체인 서비스 개인정보보호 가이드라인'을 수립했다.
관련기사
- 개보위, KLID 방문...공공 개인정보보호 관리 실태 점검2026.06.13
- 개보위, 쿠팡 사태 '총제적 관리 실패' 결론…근거는2026.06.11
- [속보] 개보위 "쿠팡 고발할 것...조사 어렵게 한 사실 확인"2026.06.11
- "개인정보 전주기 보호"...개보위, 기술R&D 로드맵 발표2026.06.09
블록체인은 참여자 등이 거래내역을 볼 수 있는 투명성, 참여자 간 분산·협업으로 운영되는 분산성, 한 번 기록되면 수정하거나 삭제가 어려운 불변성 등의 기술적 특징을 가지고 있다. 이에 따라 블록체인 기술을 활용한 서비스의 경우 기획 단계부터 개인정보 보호원칙을 철저히 고려해야 한다는 것이 개인정보위의 판단이다.
개인정보위는 "향후에도 국민의 개인정보 자기결정권이 침해되지 않도록 개인정보 국외이전 등 보호법 위반 행위에 대해서는 엄정히 대응하겠다"면서 "신기술 환경에서 개인정보의 보호와 안전한 활용이 조화를 이룰 수 있도록 필요한 기준을 지속적으로 마련해 나갈 계획이다"라고 밝혔다.
