[블록미디어 강주현 기자] 개인정보보호위원회가 제12회 전체회의를 열고 개인정보 ‘최소 수집의 원칙’을 위반한 가상자산 거래소 코빗에 480만원의 과태료 부과와 함께 시정명령 처분을 내렸다고 14일 밝혔다.
이에 코빗은 “과태료 납부 여부는 내부 논의 후 결정할 것”이라고 블록미디어에 말했다. 개인정보위는 지난해 5월 코빗 이용자의 침해 신고를 계기로 개인정보법 위반 혐의에 대한 조사에 착수했다. 조사 결과, 코빗은 당초 이메일 인증만으로 회원가입이 가능하도록 만들었다. 그런데 거래소는 휴면계정으로 전환된 이용자가 해제를 요청할 경우 ‘신분증 사진과 신분증을 들고 있는 사진’을 요구하며, 이를 제공하지 않는다는 이유로 휴면계정 해제 서비스 제공을 거부했다.
이에 대해 코빗 측은 휴면계정 해제 즉시, 매매 거래가 가능하기 때문에 사기전화(보이스피싱) 등의 금융범죄 예방을 위해 신분증 사진 정보를 수집하는 강화된 절차가 필요했다고 주장했다. 또한 코빗 관계자는 블록미디어에 “은행에서도 휴면계정을 해제하려고 하면 사용자가 은행에 내방해야 한다. 당시 코빗 이상거래감지시스템이 불완전했기 때문에 고객에게 신분증 든 사진을 요구한 것”이라고 설명했다. 또한 코빗은 지난해 11월부로 이상거래감지시스템 구축를 끝마쳤기 때문에 고객에게 더 이상 신분증 든 사진을 요구하지 않는다고 밝혔다.
개인정보위는 코빗 주장을 확인한 결과, 이용자가 휴면계정을 해제하더라도 거래와 입출금을 위해서는 ‘휴대전화번호 인증’을 추가로 요구하고 있어 휴면계정 해제 시 신분증 사진정보가 반드시 필요한 정보는 아닌 것으로 확인했다고 말했다.
코빗이 휴면계정 해제 이후에도 ‘회원 들어가기(로그인)와 조회 서비스’만 가능함에도 신분증 사진정보를 요구하고 이를 미제공 시, 휴면계정 해제를 거부한 행위에 대해 개인정보 보호법상 ‘개인정보 최소 수집의 원칙’을 위반한 것으로 판단했다.
‘개인정보 보호법’에 따르면 개인정보를 처리할 경우, 그 처리 목적과 비례하여 적절한 범위에서 개인정보를 최소한으로 수집하여야 한다. 추가 확인한 업비트, 빗썸, 코인원 등 국내 3대 가상자산 사업자는 ‘휴면계정 해제’ 시 신분증 사진정보를 요구하지 않는 것으로 확인되었다.
송상훈 개인정보위 조사조정국장은 “앞으로도 개인정보위는 개인정보 최소수집 원칙이 잘 지켜질 수 있도록 엄정한 법 집행과 함께 사업자들의 인식 제고를 위해서도 노력해 나가겠다”라고 밝혔다.
한편, 코빗은 지난 달 개인정보위로부터 개인정보보호법 위반혐의로 과태료 처분을 받았으나 개인정보위에 항의해 처분이 한 차례 연기된 바 있다.
같이 읽으면 좋은 기사