개인정보위, 개인정보 국외이전 위반 '빗썸' 제재
AI 인용용 요약
개인정보보호위원회이 2026-06-25 발행한 정부문서입니다. 주제는 개인정보보호위원회(위원장 송경희, 이하 '개인정보위')는 6월 24일(수) 제12회 전체회의를 열고, 「개인정보 보호법」(이하 ‘보호법’) 상 개인정보 국외이전 규정을 위반한 ㈜빗썸(이하 ‘빗썸’…입니다. 원문 https://www.korea.kr/common/download.do?fileId=198496937&tblKey=GMN, 정준 URL https://korchive.com/doc/PIPC_PRESS-20260625-03e25dcb, 마지막 확인일 2026-07-08.
- 기관
- 개인정보보호위원회
- 문서 성격
- 일반 정부문서
- 주제
- 개인정보보호위원회(위원장 송경희, 이하 '개인정보위')는 6월 24일(수) 제12회 전체회의를 열고, 「개인정보 보호법」(이하 ‘보호법’) 상 개인정보 국외이전 규정을 위반한 ㈜빗썸(이하 ‘빗썸’…
- 발행일
- 2026-06-25
- 수집일
- 2026-07-07
- 마지막 확인일
- 2026-07-08
- 원문 URL
- https://www.korea.kr/common/download.do?fileId=198496937&tblKey=GMN
- 정준 URL
- https://korchive.com/doc/PIPC_PRESS-20260625-03e25dcb
공공누리 출처표시 조건에 따라 원문 출처를 표시합니다. 자료의 정확한 이용 조건은 원문 제공 기관의 안내를 확인하십시오.
개인정보보호위원회(위원장 송경희, 이하 '개인정보위')는 6월 24일(수) 제12회 전체회의를 열고, 「개인정보 보호법」(이하 ‘보호법’) 상 개인정보 국외이전 규정을 위반한 ㈜빗썸(이하 ‘빗썸’)에 과징금 2.1억을 부과하고, 적법한 국외이전 요건을 갖추도록 하는 시정명령을 의결하였다.
개인정보위는 ’25년 국정감사에서 빗썸의 오더북(Order Book) 공유*와 관련한 개인정보 국외이전 적법 여부를 지적함에 따라 조사에 착수하였다. 조사 결과 빗썸은 해외 가상자산거래소(이하 ‘거래소’)와 오더북 공유 및 가상자산 이전 과정에서 정보주체의 별도 동의없이 개인정보를 국외이전한 사실을 확인하였다.
- 거래소 간 매수·매도 주문정보(호가창)를 공유해 상호 교차 체결이 가능하도록 하는 제휴 형태
빗썸은 2025년 9월~11월간 테더(USDT) 마켓*에서 해외 거래소와 오더북을 공유하였다. 이 과정에서 정보주체에게는 스텔라 거래소(Stellar exchange)로 개인정보를 국외이전한다는 내용으로 별도 동의를 받았으나, 실제로는 다른 거래소가 운영하는 시스템(bingx.com)으로 회원번호 및 주문정보를 국외이전한 것으로 확인되었다.
- 가상자산의 한 종류인 테더(USDT, Tether)를 사용하여 다른 가상자산(비트코인, 이더리움 등)을 매매하는 시장
또한, 빗썸은 이용자의 가상자산을 13개 해외 거래소로 이전 시, 자금세탁방지 목적으로 송금인과 수취인의 개인정보(이름, 지갑주소, 생년월일*)를 해외 거래소로 제공하였다. 그러나, 정보주체의 별도 동의를 받지 않는 등 보호법에서 정한 개인정보 국외이전 요건을 일부 충족하지 않은 것으로 확인되었다.
- 생년월일은 송금인과 수취인 동일인 여부 확인 위해 1개 거래소에만 제공
개인정보위는 가상자산을 다른 거래소로 이전하는 경우 자금세탁방지를 위한 개인정보 제공의 필요성은 있다고 보았으나, 개인정보 국외이전은 정보주체의 자기결정권과 밀접하게 관련된 사항으로 보호법에서 정한 요건과 절차를 면밀하게 준수할 필요가 있다고 판단하였다.
이에 따라, 개인정보위는 빗썸에 오더북 공유 및 가상자산 이전 시 개인정보 국외이전 규정 위반으로 총 과징금 2.1억 원을 부과했다. 개인정보 국외이전시 정보주체의 별도 동의를 받는 등 적법한 요건을 갖추고 그 사실을 개인정보 처리방침으로 명확히 안내하도록 하는 시정조치를 명령했다.(붙임1)
더불어 개인정보위는 조사 과정에서 분석한 블록체인 기술의 특성을 고려하여 「블록체인 서비스 개인정보 보호 가이드라인」(붙임2)을 수립했다.
블록체인은 ①참여자 등이 거래내역을 볼 수 있는 투명성, ②참여자 간 분산·협업으로 운영되는 분산성, ③한번 기록되면 수정하거나 삭제가 어려운 불변성 등의 기술적 특성을 가지고 있다. 따라서, 블록체인 기술을 활용한 서비스의 경우 기획 단계부터 개인정보 보호원칙을 철저히 고려해야 한다.
이에 개인정보위는 각 블록체인 특성별로 ▴투명성에 따른 온체인* 정보 공개 및 추적 방지방안, ▴분산성에 따른 참여자 간 정보 공유 관리방안, ▴불변성에 따른 개인정보 파기방안 등을 정한 「블록체인 서비스 개인정보 보호 가이드라인」을 마련했다.
- 블록체인 네트워크의 블록에 기록되는 정보
개인정보위는 앞으로도 국민의 개인정보 자기결정권이 침해되지 않도록 개인정보 국외이전 등 보호법 위반행위에 대해서는 엄정히 대응하는 한편, 신기술 환경에서 개인정보의 보호와 안전한 활용이 조화를 이룰 수 있도록 필요한 기준을 지속적으로 마련해 나갈 계획이다.
○ 블록체인은 분산원장기술을 기반으로 데이터 무결성과 신뢰성을 확보할 수 있는 기술로, 금융·공공 등 다양한 분야로 활용범위 확대
○ 블록체인의 투명성·분산성·불변성 등 기술적 특성에 따른 개인정보 보호 관련 위험요인을 분석하고, 이에 대한 가이드라인 마련
○ 블록체인(Blockchain) : 데이터를 블록 단위로 생성하여 체인 형태로 연결하고, 여러 네트워크 참여자(노드)에게 저장하는 분산원장 기술
○ 노드(Node) : 블록체인 네트워크에 연결되어 데이터의 전송, 검증, 저장 등 운영에 참여하는 컴퓨팅 시스템(또는 이를 운영하는 기관)
○ 온체인(On-chain) 정보 : 블록체인 네트워크의 블록에 기록되는 정보로, 기술 특성상 수정이나 삭제가 사실상 불가능한 정보
○ 오프체인(Off-chain) 정보 : 블록체인 네트워크 외부의 별도 저장소(DB, 서버 등)에 보관되는 정보로, 온체인 해시값(지갑주소 등)과 대응되도록 구성한 정보
○ 개인정보처리자 : 「개인정보 보호법」 제2조제5호에 따른 개인정보처리자이면서, 관리하는 오프체인 정보와 블록체인 네트워크의 온체인 정보를 결합하여 특정 개인을 식별할 수 있는 자
○ 블록체인은 ①참여자 등이 거래내역을 열람할 수 있는 투명성, ②참여자 간 분산·협업으로 운영되는 분산성, ③한번 기록되면 수정하거나 삭제가 어려운 불변성 등 기술적 특성 보유
< (투명성) 온체인 정보 공개 및 추적 대응관리 >
○ 그 자체로 특정 개인을 식별할 수 있는 정보(성명, 주민등록번호 등)는 온체인 정보로 기록하지 않아야 함
○ 온체인 정보와 대응되는 오프체인 상 개인정보는 유출되지 않도록 암호화, 접근통제 등 개인정보 안전조치 의무를 준수할 것
○ 온체인 정보 생성시 안전한 암호 알고리즘을 적용하고, 전자서명 등에 활용되는 난수값이 재사용되지 않도록 생성·관리할 것
< (분산성) 참여자 간 정보 공유관리 >
○ 참여자 간 정보 공유가 제3자제공, 위·수탁 등 어떤 처리관계에 해당하는지 검토하고 개인정보 보호법령에 따른 준수사항을 이행할 것
- 계약·협약 또는 운영정책 등*을 통해 참여자 간 개인정보 보호 책임 및 법적의무를 명확히 할 것(예 : 내부통제 미흡, 외부 해킹, 개인 식별 시도 등)
- 다만, 참여자를 통제하지 않는 ‘비허가형 블록체인’의 경우에는 참여자의 범위, 자격, 역할 및 책임 등을 쉽게 확인할 수 있도록 사전에 공개할 것
○ 온체인 정보를 특정 개인을 식별할 수 있는 정보와 함께 다른 사업자에게 제공하는 경우 개인정보 보호법령에 따라 적법하고 안전하게 처리할 것
< (불변성) 개인정보 파기 관리 >
○ 개인을 식별할 수 있는 정보는 원칙적으로 오프체인에 저장·관리하고, 온체인에는 개인을 알아볼 수 없도록 처리한 익명정보(해시값 등)만 기록할 것
○ 개인정보 파기 시에는 오프체인에 저장된 개인정보와 온체인 정보 생성에 활용한 솔트값 등 추가정보를 삭제하는 방법으로 개인정보 파기의무를 이행할 것 (보호법 시행령 제16조제1항제1호 단서)