업비트·빗썸→바이낸스, 개인정보 전송 제각각

코빗은 리투아니아, 고팍스는 스위스 DPO로 보내는 중

세이셸의 네스트 서비스 리미티드는 코인판 동물의 숲인가.

글로벌 거래소 3대장 바이낸스, HTX(옛 후오비), 오케이엑스(옛 OKEx). 혹자는 크립토닷컴이나 코인베이스나 크라켄 등을 꼽기도 하고, 경우에 따라 BB라 불리는 비트겟과 바이비트까지 포함하기도 한다.

갑자기 이들의 이름을 언급한 이유는 단순한 호기심에서 출발했다. 국내는 개인정보 보호법에 따라 개인정보를 국외로 이전할 때 동의를 받는 데 이러한 규제는 국내 거래소 업계도 적용된다. 하지만 개인정보를 이전받는 업체나 사업장 소재지가 분명하지 않다면 위험이 따를 수밖에 없다.

12일 금융위원회, DAXA 등에 따르면 국내 거래소 업계(원화마켓 운용 한정)는 바이낸스에 개인정보를 전송하면서 ▲업비트-코인원, 세이셸 ▲빗썸, 아일랜드 ▲코빗, 리투아니아 ▲고팍스, 스위스 등 바이낸스의 법인 소재지가 다르다.

업비트의 개인정보 국외이전 제공 업체 현황 일부 / 자료=업비트

정확한 설명은 바이낸스 법인보다 바이낸스의 개인정보 보호센터를 칭하는 데이터 프로텍션 오피스(DPO, Data Protection Office)로 일괄적으로 전송하지만, 정작 DPO 소재지가 다르게 표기되어 있다. 

국내외 거래소 업계는 트래블 룰에 따라 개인정보를 암호화된 이름(국문, 영문) 및 생년월일, 암호화폐 주소와 이름, 수량 등으로 정의한다. 그래서 개인정보 보호법과 특금법 시행령에 의해 거래소끼리 주고받는 오프체인 트레이딩의 약점을 현행 법령으로 보완하고 있는 셈이다. 

그러나 국내 거래소 업계가 바이낸스에 전송하는 개인정보는 일반적인 개인정보(이름, 주소지, 주민등록번호, 계좌와 신용카드)와 비교해 위험도가 상대적으로 낮을 수 있지만, 바이낸스는 전송받는 정보를 바이낸스 법인을 포함한 제3자에게 공유할 수 있다.

대표적으로 업비트가 업비트 APAC의 업비트 인도네시아, 업비트 싱가포르, 업비트 태국 등과 베리파이바스프로 묶인 트래블 룰 얼라이언스에 따라 맹약을 지키는 것으로 생각하면 이해가 빠르다.

네스트 서비스 리미티드의 사업장 소재지( at House of Francis, Room 303, Ile Du Port, Mahe, Seychelles) / 자료=구글 맵

현재 업비트는 바이낸스에 개인정보를 세이셸의 네스트 서비스 리미티드(Nest Services Limited)로 전송한다. 코인원도 세이셸로 전송하지만, 업비트와 달리 바이낸스로 표기한다. 또 빗썸은 아일랜드의 바이낸스, 코빗은 리투아니아의 바이낸스, 고팍스는 스위스의 바이낸스로 개인정보를 보낸다.

바로 여기서 의문이 생긴다. 바이낸스 DPO가 위치한 국가가 ▲국제자금세탁방지기구(FATF) 회원국인가? ▲암호화폐나 디지털자산 등 규제하는 기관이나 법령이 존재하는가? ▲바이낸스는 해당 국가의 라이센스를 발급받았는가? 등이다.

국내를 기준으로 업비트는 특금법과 가상자산이용자보호법에 따라 금융당국(금융위, 금감원)의 규제 영역에서 영업한다. 업비트 싱가포르가 결제서비스법에 따라 싱가포르 통화청, 바이낸스 재팬이 자금결제법에 따라 금융청의 위임을 받은 JVCEA의 관할인 것처럼 법령과 규제 기구가 명확하다.

이를 적용하면 스위스와 아일랜드는 각각 스위스 금융시장감독청(FINMA, Financial Market Supervisory Authority)과 영국 금융감독청(FCA, Financial Conduct Authority)과 현지 규제가 적용된 FATF 회원국이다. 

바이낸스 프랑스 SAS의 등록 현황 / 자료=프랑스 금융감독청

일반적으로 유추할 수 있는 바이낸스 스위스와 바이낸스 아일랜드는 없으며, 다른 이름의 법인도 현지에서 라이센스를 받지 않았다. 이에 비해 바이낸스 프랑스는 프랑스 금융감독청(AMF, Autorité des Marchés Financiers)의 인가를 받아 정식 다스프(Digital Asset Service Provider)다.

코빗이 전송하는 바이낸스 리투아니아는 바이낸스 UAB(비피니티 UAB 병행 표기)로, 리투아니아 금융정보분석원(FIU, Financial Intelligence Unit)의 인가를 받은 정식 바스프다. 대신 리투아니아는 FATF 회원국이 아니며, 유럽의회 돈세탁·테러자금감시기구(MONEYVAL) 회원이다.

유럽은 유럽경제지역(EEA, European Economic Area)과 규제에 따라 네스트 서비스 리미티드 독자 운영 혹은 아일랜드에 설립된 바이낸스 서비스 홀딩스 리미티드(BSHL)가 공동으로 운영하는 국가로 분류된다. 이는 바이낸스 프랑스 SAS처럼 정식 다스프와 트래블 룰에 따라 개인정보를 취급하는 DPO의 개념과 다르다.

빗썸의 개인정보 국외이전 제공 업체 현황 일부 / 자료=빗썸

참고로 업비트가 전송하는 세이셸의 네스트 서비스는 바이낸스 UK를 운영하는 법인이다. 하지만 네스트 서비스 소재지는 세이셸로 FATF 회원국이 아닌 동남부 아프리카 자금세탁방지그룹(ESAAMLG, Eastern and Southern Africa Anti-Money Laundering Group)이다.

정리하면 세이셸, 아일랜드, 리투아니아, 스위스 등은 FATF 회원국 여부와 현지 규제와 감시 기구, 코인원과 코빗처럼 현지 금융당국의 신고 수리 절차를 완료한 정식 바스프의 구분에 따라 자금세탁 위험성이 달라진다.

특히 현지에서 영업할 수 있는 라이센스와 다른 단순 개인정보 수집과 취급을 위한 사업장이라면 명확하게 구분해야 한다. 또 HTX와 오케이엑스가 업비트 진영의 베리파이바스프 멤버인 것에 비해 바이낸스는 트래블 룰 멤버가 아니다.

단적으로 한쪽은 합법, 다른 한쪽은 불법이나 편법으로 의심되고 합법 여부를 확인할 수 없다면 의심하는 게 우선이다. 어렵게 제도권에 진입해서 영업하는 사업자가 엄한 데서 불똥이 튀었을 때 억울함을 호소한다면 이상하지 않을까.

트래블 룰을 위해 전송 즉시 파기하더라도 대수롭지 않게 치부한다면 그때부터 AML은 약해진다.