빗썸, 암호화폐 '오더북' 해외공유로 과징금 2.1억…국외이전 규정 위반 첫 제재
--- 개인정보보호위원회가 암호화폐 거래소 빗썸에 대해 개인정보 국외이전 규정 위반으로 과징금 2억 1,000만 원을 부과하고 시정명령을 의결했다. 국정감사에서 오더북(Order Book) 데이터의 해외 공유 적법성 문제가 제기되면서 본격 조사가 이뤄진 결과다. 가상
https://privacynews.kr/s/052796
개인정보보호위원회가 암호화폐 거래소 빗썸에 대해 개인정보 국외이전 규정 위반으로 과징금 2억 1,000만 원을 부과하고 시정명령을 의결했다. 국정감사에서 오더북(Order Book) 데이터의 해외 공유 적법성 문제가 제기되면서 본격 조사가 이뤄진 결과다. 가상자산 업계 전반에 국외이전 규정 준수에 대한 경각심이 높아질 전망이다.
사건 개요: 오더북 공유, 왜 문제였나
빗썸은 해외 거래소 또는 파트너사와 실시간 오더북 데이터를 공유해왔다. 오더북은 매수·매도 주문 현황을 담은 핵심 거래 데이터로, 개별 이용자의 거래 패턴, 주문 시간, 수량 등이 포함되어 있어 특정 개인을 식별할 수 있는 개인정보에 해당한다는 것이 개인정보위의 판단이다.
문제는 이러한 국외이전 과정에서 정보주체의 동의를 받지 않았고, 개인정보 처리방침에도 국외이전 사실을 명시하지 않았다는 점이다. 개인정보보호법 제28조의8(국외이전)은 개인정보를 국외로 이전할 경우 ▲정보주체 동의 ▲계약 이행 필요 ▲보호위원회 인정 국가 이전 등 적법 요건을 충족하도록 규정하고 있다.
위반 내용 및 제재 수위
| 구분 | 내용 |
|---|---|
| 위반 조항 | 개인정보보호법 제28조의8(국외이전) |
| 위반 행위 | 동의 없이 오더북 데이터 해외 파트너사 공유 |
| 제재 내용 | 과징금 2억 1,000만 원 + 시정명령 |
| 발단 | 국정감사 지적 → 개인정보위 직권조사 |
개인정보위는 빗썸이 국외이전 요건을 갖추지 않은 채 장기간 데이터를 해외로 전송한 점을 중대한 위반으로 판단했다. 특히 금융·가상자산 분야에서 국외이전 규정 위반으로 제재를 받은 대표적 사례로 기록될 전망이다.
가상자산 업계, 국외이전 규정 사각지대
이번 사건은 가상자산 거래소들의 글로벌 유동성 확보 관행과 개인정보보호 규정 사이의 충돌을 드러냈다. 업계에서는 오더북 공유가 시장 효율성을 높이는 일반적 관행이라고 주장하지만, 개인정보위는 "기술적 필요성이 법적 의무를 면제하지 않는다"는 원칙을 재확인했다.
전문가들은 이번 제재를 계기로 가상자산 사업자들이 ▲국외이전 동의 절차 정비 ▲개인정보 처리방침 업데이트 ▲익명화·가명처리 기술 도입을 검토해야 한다고 조언한다.
기업·기관 대응 방안
1. 국외이전 현황 전수조사 클라우드 서비스, API 연동, 해외 파트너사 데이터 공유 등 모든 국외이전 경로를 점검해야 한다.
2. 동의 프로세스 재설계 회원가입 단계에서 국외이전 관련 별도 고지 및 동의를 받는 UI/UX로 개선이 필요하다.
3. 처리방침 현행화 국외이전 대상 정보 항목, 이전 국가, 이전받는 자의 정보를 구체적으로 명시해야 한다.
4. 기술적 보완 불가피한 데이터 공유 시 가명처리·익명화를 통해 개인식별 가능성을 최소화한다.
>📘 CPPG·ISMS-P 시험 연계 포인트
개인정보보호법 제28조의8(국외이전) 적법 요건
① 정보주체의 동의
② 계약 체결·이행에 필요한 경우
③ 보호위원회가 개인정보 보호 수준이 적정하다고 인정한 국가로의 이전
>④ 표준 개인정보 보호 조항이 포함된 계약 체결
※ 2024년 개정법 시행으로 국외이전 요건이 구체화되었으며, ISMS-P 인증 심사에서도 국외이전 관리체계 점검이 강화되고 있다.
![[진로 탐험] 중학교2학년 대표 | 염우진 ‘바이브 코더’, AI로 에듀테크 생태계를 혁신하다… WJedulab 대표의 실전 창업 스토리](https://jrwrbsncqyzmjnehprhl.supabase.co/storage/v1/object/public/pn-images/articles/1780466504673-hq35er.jpg)
