빗썸, 개인정보 국외이전 법 위반으로 과징금 7천만원·과태료 1.6억원 제재

핵심 요약

- 개인정보보호위원회가 암호화폐 거래소 빗썸에 대해 개인정보 국외이전 관련 법 위반으로 과징금 7천만원, 과태료 1억 6천만원 부과 - 빗썸은 이용자 개인정보를 국외로 이전하면서 법정 고지·동의 절차를 이행하지 않아 개인정보보호법 위반 - 암호화폐 거래소의 국외이전 사례가 증가하는 가운데, 정보주체의 자기결정권 보장을 위한 규제 당국의 강력한 제재 의지 표명

주요 내용

개인정보보호위원회(위원장 고학수)는 2026년 6월 25일, 암호화폐 거래소 '빗썸'(주식회사 빗썸코리아)이 이용자 개인정보를 국외로 이전하면서 개인정보보호법상 필수 절차를 위반했다고 밝히고, 과징금 7천만원과 과태료 1억 6천만원 등 총 2억 3천만원 규모의 제재를 부과했다고 발표했다.

개보위 조사 결과, 빗썸은 서비스 운영 과정에서 이용자의 개인정보를 해외 서버 또는 해외 협력사에 이전하면서 개인정보보호법 제39조의12(개인정보의 국외 이전)에서 규정한 정보주체 고지 및 동의 절차를 제대로 이행하지 않은 것으로 확인됐다. 특히 국외이전 시 ▲이전되는 개인정보 항목 ▲국외이전 목적 ▲이전받는 자의 성명(개인인 경우) 또는 명칭·연락처(법인인 경우) ▲개인정보를 이전받는 국가 ▲이전받는 자의 개인정보 보유·이용 기간 ▲정보주체의 동의 거부 권리 및 불이익 사항 등 법정 고지사항을 명확히 알리지 않았다.

암호화폐 거래소는 대규모 회원 정보를 보유하고 있으며, 글로벌 서비스 특성상 해외 클라우드 서비스나 협력사를 활용하는 경우가 많다. 그러나 국외이전은 국내 개인정보보호법의 보호 범위를 벗어날 수 있어, 정보주체에게 충분한 정보를 제공하고 명시적 동의를 받도록 법으로 엄격히 규정하고 있다. 개보위는 "암호화폐 거래소 등 대규모 개인정보 처리 사업자가 국외이전 절차를 소홀히 할 경우, 정보주체의 자기결정권이 심각하게 침해될 수 있다"며 "앞으로도 국외이전 법규 준수 여부를 지속적으로 점검할 것"이라고 밝혔다.

이번 제재는 2024년부터 강화된 개인정보 국외이전 규제 기조가 본격화되고 있음을 보여준다. 개보위는 2023년 '개인정보 국외이전 가이드라인'을 개정한 바 있으며, 2025년에는 금융·의료·정보통신 분야를 중심으로 국외이전 실태조사를 실시해 다수의 위반 사례를 적발했다. 빗썸은 국내 주요 암호화폐 거래소 중 하나로, 수백만 명의 회원 정보를 보유하고 있어 이번 제재의 파급효과가 클 것으로 예상된다.

전문가 시각

ISMS-P 선임심사원 관점에서 볼 때, 이번 빗썸 제재 사례는 국외이전 관련 '형식적 준수'와 '실질적 준수'의 간극을 명확히 보여준다. 많은 기업이 개인정보처리방침에 국외이전 관련 조항을 포함하고 있지만, 법에서 요구하는 7가지 고지사항을 '구체적이고 명확하게' 기재하지 않는 경우가 빈번하다. 특히 "해외 클라우드 서비스 이용" 정도의 포괄적 표현만으로는 법적 요건을 충족할 수 없다. 이전받는 국가명, 구체적인 수탁사명, 이전 항목을 명시하고, 정보주체가 이를 쉽게 이해할 수 있도록 작성해야 한다.

실무 차원에서 기업은 ▲국외이전 현황 전수 조사(클라우드 서비스, 해외 지사, 제3자 제공 등 포함) ▲이전 유형별 법적 근거 확보(동의, 계약 이행, 법령 준수 등) ▲개인정보처리방침 및 별도 동의서 정비 ▲이전받는 자와의 계약서에 개인정보 보호 조항 명시 ▲정기적 모니터링 체계 구축 등을 즉시 점검해야 한다. 특히 금융·통신 등 중요정보 취급 사업자는 표준 개인정보보호지침(고시)에서 더 엄격한 기준을 적용하고 있으므로, 산업별 가이드라인을 함께 검토해야 한다.

ISMS-P 심사원 체크포인트

1. ISMS-P 인증기준 2.8.4 개인정보 국외 이전

- **주요 점검 사항**: 개인정보를 국외로 이전하는 경우, 개인정보보호법 제39조의12에 따라 정보주체에게 ①이전되는 개인정보 항목 ②국외이전 목적 ③이전받는 자(성명·명칭, 연락처) ④이전받는 국가 ⑤보유·이용 기간 ⑥거부권 및 불이익 사항을 고지하고 동의를 받았는지 확인 - **심사 증적**: 개인정보처리방침, 국외이전 동의서, 국외 수탁사 계약서, 국외이전 현황 목록, 이전 항목 및 국가 명세 - **관련 법령**: 개인정보보호법 제39조의12, 동법 시행령 제48조의3

2. ISMS-P 인증기준 2.3.2 개인정보 처리 위탁 관리

- **주요 점검 사항**: 국외 수탁사에게 개인정보 처리를 위탁하는 경우, 위탁 계약서에 개인정보 안전성 확보조치, 재위탁 제한, 위탁업무 종료 시 파기 등의 조항이 포함되어 있는지 점검. 수탁사 관리·감독 기록 확인 - **심사 증적**: 수탁사 계약서(국문·영문), 수탁사 관리 대장, 점검 기록, 개인정보처리방침 내 위탁 고지 내용 - **관련 법령**: 개인정보보호법 제26조(업무위탁), 제39조의3(개인정보의 국외 이전 제한)

3. ISMS-P 인증기준 2.1.3 개인정보 보호 계획 수립 및 이행

- **주요 점검 사항**: 국외이전 관련 리스크 평가 및 보호대책이 연간 개인정보 보호계획에 포함되어 있는지, 경영진 보고 및 승인 절차를 거쳤는지 확인 - **관련 법령**: 개인정보보호법 제29조(안전조치의무)

위반 조항

개인정보보호법 제39조의12(개인정보의 국외 이전)

- **제1항**: 개인정보처리자는 개인정보를 국외의 제3자에게 제공(조회되는 경우 포함)하는 경우 정보주체에게 ①이전되는 개인정보 항목 ②국외 이전 목적 ③이전받는 자의 성명(개인), 명칭 및 연락처(법인 등) ④이전받는 자의 개인정보 보유·이용 기간 및 그 이후 파기 절차·방법 ⑤정보주체가 동의를 거부할 권리가 있다는 사실 및 동의 거부 시 불이익 내용을 고지하고 동의를 받아야 함 - **법적 근거**: 개인정보보호법 제39조의12 제1항, 동법 시행령 제48조의3

개인정보보호법 제75조(과징금 부과)

- 개인정보보호위원회는 정보통신서비스 제공자가 제39조의12를 위반한 경우 매출액의 100분의 3 이하 범위에서 과징금 부과 가능

개인정보보호법 제75조의2(과태료)

- 제39조의12 제1항을 위반하여 정보주체에게 고지하지 않거나 동의를 받지 않은 경우 5천만원 이하의 과태료 부과

CPPG·ISMS-P 연계 포인트

1. 개인정보 국외이전 동의 7대 필수 고지사항

국외이전 시 반드시 고지해야 하는 7가지 사항은 ①이전 개인정보 항목 ②이전 목적 ③이전받는 자의 성명·명칭·연락처 ④이전 국가 ⑤보유·이용 기간 ⑥동의 거부권 ⑦불이익 내용이다. 포괄적·추상적 표현이 아닌 구체적 명시가 필수이며, 단순히 개인정보처리방침에 기재하는 것만으로는 부족하고 별도 동의를 받는 것이 안전하다. CPPG 시험에서 자주 출제되는 핵심 개념이다.

2. 국외이전과 위탁의 구별 및 중첩 적용

국외이전은 '국경을 넘는 행위' 자체에 초점을 맞춘 규제이며, 위탁은 '제3자에게 개인정보 처리 업무를 맡기는 행위'에 대한 규제다. 해외 클라우드에 개인정보를 저장하거나 해외 협력사에 처리를 맡기는 경우 **국외이전(제39조의12)과 위탁(제26조) 규정이 모두 적용**된다. 따라서 ▲위탁 고지(개인정보처리방침) ▲국외이전 동의 ▲위탁계약서 체결 ▲수탁사 관리·감독 등을 모두 이행해야 하며, ISMS-P 심사 시에도 두 기준을 중첩 점검한다.