리뷰10K

개인정보 보호법 위반 소지, 5년 이하의 징역 또는 5천만 원 이하의 벌금

우아한형제들이 운영하는 배달의 민족에서 개인정보 배달 사고가 발생했다. 환불 문의 과정에서 고객센터가 고객의 개인정보를 동의 없이 가게에 제공한 것. 

29일 개인정보 보호위원회에 따르면 개인정보 보호법 17조, 18조는 정보주체로부터 별도의 동의를 받은 경우에 대해 제3자에 제공할 수 있다. 반대의 경우라면 개인정보 수집과 이용 과정에서 동의를 얻지 않으면 '5년 이하의 징역 또는 5천만원 이하의 벌금'이다.

ㄱ 씨는 잘못 배달된 메뉴에 대해 고객센터에 상담을 신청했다. 고객센터는 ㄱ 씨에게 잘못 배달된 메뉴 사진을 해당 영업점 사장으로 추정되는 번호로 직접 보내라고 요구했다. ㄱ 씨는 배달의 민족에서 안심번호를 제공하지 않았기 때문에 개인 전화번호 노출에 대해 우려를 표했으나, 이에 대한 답변이나 조치는 없었다. 

또한 고객센터는 환불 처리를 위해 ㄱ 씨의 계좌번호를 요청했고, 이를 ㄱ 씨의 동의를 구하는 과정 없이 가게측에 전달했다. ㄱ 씨가 배달의 민족이 아닌 가게측에서 환불이 처리된 것을 보고 개인정보 유출 우려에 대해 항의했지만, 고객센터는 이를 묵살했다. 개인정보 수집, 이용 및 제공, 관리, 파기 등 일련의 개인정보 보호는 없었다.

ㄱ 씨는 재차 설명을 요청했지만, 고객센터 측은 "해당 가게의 업주가 직접 환불을 원해 전달드린 점 고객님의 양해를 부탁드린다"는 설명 외에는 고객 동의없이 제3자에게 개인정보를 무단으로 제공한 관련 법령에 따른 후속 조처는 없었다.

배달의민족 개인정보처리 방침에 '▲2. 개인정보의 제3자 제공, 회사는 이용자의 개인정보를 개인정보 수집·이용 목적에서 명시한 범위 내에서 사용하며, 원칙적으로 이용자의 사전 동의 없이 개인정보 수집·이용 목적 범위를 초과하여 이용하거나 이용자의 개인정보를 제공하지 않습니다'라는 조항이 있음에도 이를 지키지 않은 것이다.

이에 대해 우아한형제들 측은 상담사의 업무 미숙으로 단정 짓고, ㄱ 씨가 최종적으로 요청한 개인정보 파기건에 대해서도 고객센터 측은 "해당 가게에 파기를 요청했다"는 원론적인 답변만 고수하는 등 ㄱ씨가 기대했던 답변은 없었다.

개인정보 보호법 위반했는데 정보보호는 우수?

컴투스플랫폼의 NFT 마켓 엑스 플래닛(X-PLANET)이 개인정보 보호담당 부서 연락처를 표기하지 않고 영업 중인 것으로 확인됐다. 

혹자는 연락처가 없다고 해서 법 위반 사유에 해당하지 않는다고 반문할 수 있지만, 개인정보 보호법은 책임자의 이름을 비롯해 고충 처리 부서와 전화를 표기해야 한다.

7일 컴투스홀딩스, 컴투스플랫폼 등에 따르면 엑스 플래닛은 로그인 과정에서 구글이나 페이스북 로그인을 지원하며, 엑스플라(XPLA) 기반 엑스 플래닛 월렛을 연동한다.

회사 측은 만 19세 이상 이용할 수 있다는 점과 별도의 KYC를 진행한다고 설명하지만, 일부 NFT 마켓 사업자들과 마찬가지로 개인정보 보호법 위반 소지가 농후하다. 

가상자산을 취급하는 사업자(거래소, 지갑, 커스터디)는 특금법에 따라 신고 수리 대상이다. 단 엑스 플래닛과 같은 NFT 매매는 디파이 사업자와 마찬가지로 신고 대상은 아니다. 하지만 회원 가입과 유치, 프로모션 등은 개인정보 보호법에 해당하며, 특히 모든 업종이 적용되는 일반법이라 제외 업종은 없다.

개인정보 보호위원회에 따르면 개인정보 보호책임자의 지정에 따라 개인정보 보호책임자의 성명 또는 개인정보 보호업무 및 관련 고충사항을 처리하는 부서의 명칭과 전화번호 등 연락처를 '개인정보 처리방침'에 명시해야 한다.

컴투스플랫폼은 이메일 외에는 별도의 연락처를 표기하지 않았다. 회사 측이 엑스 플래닛 회원이 자신의 개인정보 보호 관리 관련 권리 행사를 위해 서면, 전화, 전자우편, 팩스 등으로 연락할 수 있다고 설명했지만, 정작 '전화'가 빠진 셈이다.

컴투스플랫폼은 컴투스홀딩스의 자회사로 정보보호산업법에 따라 의무공시 대상이 아님에도 자율적으로 정보보호 공시를 등록했다. 

회사 측이 밝힌 ISMS는 정보통신망법에 따라 한국인터넷진흥원(KISA)이 관할, 컴투스플랫폼은 온라인 서비스 운영(HIVE Infra, G-Cloud)(심사받지 않은 물리적 인프라 제외)로 ISMS-KISA-2020-234라는 인증번호를 부여받았다. 

올해 12월 15일에 만료를 만두고 ISMS 인증 갱신심사 과정에서 '개인정보 보호법' 위반 사항이 변함이 없다면 과기부나 KISA의 부실 심사가 수면 위로 떠오를 가능성도 배제할 수 없다. 개인정보 보호법 위반 소지가 있는 기업에 KISA가 '정보보호 투자 우수기업'이라 엠블럼까지 부여한 이상 '부실 인증' 논란도 거세질 전망이다.

개인정보 보호책임자 연락처 無｜ISMS 사후 심사 놓쳤나

지닥(GDAC)이 개인정보 보호법을 위반 소지가 있다는 지적이 나온다. 

내외경제TV는 지난해 3월 25일 특금법에 따른 트래블 룰 시행을 앞두고 금융정보분석원(FIU)에 신고된 바스프를 전수 조사한 바 있으며, 다시 시행 1년을 앞둔 시점에 재조사를 진행했다.

16일 관련 업계에 따르면 피어테크가 운영하는 지닥의 개인정보 처리방침에 개인정보 보호책임자의 소속 부서 연락처가 표기되지 않은 것을 확인했다. 이는 개인정보 보호법을 위반한 소지가 있어 다른 바스프와 배치되는 부분이다.

일반적으로 회원 가입이 필요한 웹사이트는 이용 약관과 별도로 개인정보 처리방침을 별도로 표기한다. 이미 한국인터넷진흥원과 개인정보보호위원회는 처리방침 작성 가이드라인을 공개하고 있으며, 이를 노출하지 않으면 현행법 위반으로 1천만 원 이하 과태료가 부과된다.

개인정보 보호위원회에 따르면 처리방침에 개인정보 보호책임자의 이름, 직책, 연락처를 기재해야 한다. 연락처는 전화번호, 이메일, 팩스번호 등을 표기해야 하며, 이메일 주소만 노출한다면 상식적으로 '연락처'로 간주하지 않는다.

위원회 측은 직통 연락처 외에 관련 부서의 연락처도 상관없다는 조항을 달았지만, 이메일 주소만 표기해도 좋다는 조항은 없다. 이러한 기준에 맞춰 지닥은 이메일 주소 외에 직통이나 관련 부서의 연락처가 없어 개인정보 보호법을 위반한 소지가 다분하다.

현재 사용 중인 개인정보 처리방침은 지난해 5월 개정된 것으로 앞서 스마트지원센터와 별도의 연락처를 표기했던 이전 방침이 존재, 지난해 12월 ISMS 인증 사후 심사 과정에서 이를 놓친 것으로 풀이된다.

또 지닥은 올해 12월에 만료되는 기존 ISMS 인증의 갱신 심사 혹은 바스프 전용 ISMS 최초 심사를 앞두고 있어 향후 논란의 여지가 남아있다.

내외경제TV의 사실 확인 요청 거부하더니 '개인정보처리방침' 수정

베리파이바스프 싱가포르 법인의 트래블 룰 솔루션 워킹그룹의 '개인정보 보호법' 위반 실태를 고발한 본지의 '[단독] 베리파이바스프 얼라이언스, 개인정보 보호법 위반 소지 다분' 보도 이후 업계의 분위기는 엇갈렸다.

일부 실수를 인정하고 개인정보 처리방침을 추가하거나 수정한 사업자가 있는 반면 이에 아랑곳하지 않고 배짱 운영을 이어가는 사업자도 여전했다. 지난달 25일 시행된 트래블 룰 적용 의무화 이후에도 특금법, 정보통신망법, 개인정보 보호법 등 현행법을 무시한 채 영업 중인 사업자의 책임과 이를 관리하는 관계 기관의 조사가 요구되고 있다.

6일 관련 업계에 따르면 캐셔레스트, 델리오, 비둘기지갑, 포블게이트, 텐앤텐, 코어닥스 등은 개인정보 처리방침을 추가했지만, 빗크몬을 비롯한 비트레이드, KDAC, 오아시스, 프로비트, 코인엔코인 등은 과거의 개인정보 처리방침을 방치한 채 영업 중이다.

또 베리파이바스프 워킹 그룹으로 분류됐던 한빗코는 솔루션 적용을 앞두고 베리파이바스프 대신 빗썸 진영의 코드 솔루션을 적용했다.

한빗코 관계자는 "한빗코 거래소는 최초 베리파이바스프 워킹그룹에 참석하였으나 이후 논의 끝에 코드 솔루션을 연동했다. 현재 싱가포르 법인의 홈페이지에 노출된 로고는 제외해달라고 요청한 상황"이라고 말했다.

또 개인정보 처리방침을 업데이트하는 과정에서 포블게이트는 내외경제TV의 사실 확인 요청을 거부한 채 '개인정보 처리방침'을 슬그머니 추가한 정황도 포착됐다. 본지의 보도에 앞서 지난달 15일 'ISMS 사후 심사 통과'라는 자료를 배포, 정보통신망법에 따라 ISMS 최초 인증 심사 이후 '사후 심사'라는 단어를 강조할 정도로 정보보호 체계가 문제없다는 의미였음에도 실상은 달랐다.

포블게이트가 ISMS가 아닌 ISMS-P 라이센스를 획득했다면 KISA의 사후심사 부실 논란의 불씨가 되어 과기부, KISA, 개인정보 보호위원회 등이 조치를 취했을 것이라는 게 업계 관계자들의 전언이다.

2년 전 KISA는 특금법 시행을 앞두고 바스프 전용 ISMS 세부점검 항목을 공개한 바 있으며, 포블게이트가 획득한 ISMS 인증 심사의 '보호대책 요구사항(64개)/세부항목(192개)'의 '외부자 보안' 항목이 베리파이바스프 싱가포르 법인에 해당할 수 있기 때문이다.

지난해 2월 포블게이트는 ISMS 인증심사를 진행하는 과정에서 정보통신망법 위반 소지가 있어 곤욕을 치렀다. 당시 ISMS 인증을 받지 않고, ISMS 인증 엠블럼을 사용한 자료를 무단 배포해 '인증 받은 내용을 거짓으로 표시하거나 홍보한 자는 과태료 부과'에 해당, KISA가 조치를 취하기 전에 미디어를 대상으로 배포한 자료를 모두 삭제한 바 있다.

앞으로 국내 암호화폐 거래소 업계는 포블게이트 이슈로 가상자산사업자 전용 ISMS를 획득한 사업자의 사후 심사가 이전보다 강화될 전망이다.

25곳 조사했더니 국외 이전, 수탁, 계약 주체 등 미표기 거래소 속출

업비트를 중심으로 뭉친 일명 베리파이바스프 얼라이언스의 일부 회원사는 개인정보 보호법을 위반, 관계 기관의 판단에 따라 과징금과 과태료 대상이 될 전망이다.

국내 암호화폐 거래소 업계가 채택한 업비트 진영의 베리파이바스프와 빗썸 진영의 코드는 계약의 주체가 다르다. 베리파이바스프는 두나무 자회사 람다256이 개발했지만, 실제 거래소와 계약을 체결한 곳은 베리파이바스프 싱가포르 법인(VerifyVASP Pte. Ltd)이다.

29일 내외경제TV 와치독 팀이 베리파이바스프 싱가포르 법인 회원사의 '개인정보 처리방침'을 전수 조사한 결과 국내에서 영업 중인 바스프(가상자산사업자) 25곳 중에서 업비트, 고팍스, 후오비 코리아, 플랫타익스체인지, 오케이비트, 지닥, 비블록, 지닥 등 8개 사업자는 개인정보 국외 이전과 처리 위탁 업체로 표기했지만, 나머지 17곳은 베리파이바스프 싱가포르 법인을 표기하지 않았다.

이들은 빗크몬, 비트레이드, 캐셔레스트, 델리오, 비둘기 지갑, 포블게이트, KDAC, 오아시스, 프로비트, 텐앤텐, 코인엔코인, 코어닥스, 한빗코, 헥슬란트 등은 미디어와 관련 커뮤니티에 '베리파이바스프 합류'라는 공식 자료를 배포했음에도 정작 '개인정보 처리방침'에 싱가포르 법인을 표기하지 않았다.

람다256과 트래블 룰 솔루션 계약을 체결했다면 문제가 없지만, 싱가포르 법인과 계약했다면 표기 대상은 제대로 표기하지 않은 것이다.

또 보라비트, 에이프로빗, 플라이빗, 프라뱅 등은 람다256을 계약 주체로 표기했다. 이에 본지가 람다256에 국내 바스프와 계약 체결 여부를 묻자 람다256 관계자는 "확인해보겠다"고 말했다.

일부 거래소는 실수를 인정하고 처리방침을 보강하겠다고 밝혔지만, 특정 거래소 관계자는 "담당 업무가 바뀌어서 전달하겠다"는 아무런 문제가 없다는 식으로 답변해 도덕적 해이가 심각했다.

개인정보 보호법은 제26조(업무위탁에 따른 개인정보의 처리 제한)에 따라 위탁자와 수탁자를 표기해야 하며, 제39조의12(국외 이전 개인정보의 보호)는 이전 항목과 국가, 일시와 방법 등을 공개해야 한다.

업비트를 예로 들어 설명한다면 다음과 같다.

현행법에 따라 업비트를 운영하는 두나무는 개인정보처리자이자 위탁자, 업비트가 채택한 트래블 룰 솔루션의 실제 계약 주체인 베리 파이 버스 싱가포르 법인은 수탁자, 베리파이바스프 얼라이언스는 업비트에 '제3자 제공'으로 분류된다.

문제는 트래블 룰을 시행한 지 한 달이 넘도록 개인정보 처리방침을 방치, 특금법에 치중한 나머지 개인정보 보호법을 소홀히 했다는 비난은 피할 수 없게 됐다. 개인정보 보호위원회의 판단에 따라 경미한 사항이라면 과태료, 트래블 룰로 인해 거래소가 출금 수수료 폭리를 취했다면 과징금으로 사안이 달라진다.

개인정보보호위원회 측은 계도가 우선이지만, 업체를 특정해 위반 사실이 확인된다면 조사를 진행할 것이라고 전했다.

특금법 시행했어도 현행법 위반해 1천만 원 이하의 과태료 부과 대상

지난해 3월 특금법이 시행됐어도 일부 암호화폐 거래소는 '개인정보 보호법' 위반 사실을 모른 채 영업 중인 것으로 나타났다. 특히 KISA의 ISMS 인증 심사를 통과했음에도 이를 관리·감독하는 관계 기관 감시망의 허점도 다시 노출됐다.

4일 국내 암호화폐 거래소 업계에 따르면 와우팍스(법인명, 와우팍스익스체인지㈜)와 프라뱅(법인명, 주식회사 프라뱅) 등 2곳은 개인정보 보호법을 위반했다. 이들은 개인정보 처리방침에 개인정보책임자를 표기하면서, 연락처를 표기하지 않았다.

이들은 금융위와 금융정보분석원의 심사를 거쳐 신고 수리가 완료된 바스프(가상자산 사업자, Virtual Asset Service Provider)로 특금법과 특금법 시행령에 의해 영업권을 확보한 사업체다.

일각에서는 이메일도 연락처라고 주장할 수 있지만, 개인정보보호위원회의 입장은 다르다.

내외경제TV는 지난해 2월 특금법 시행을 앞두고 100여 곳의 거래소를 전수조사, 거래소 14곳의 위반사항을 보도한 바 있다. 

당시 개인정보위원회 측은 "연락처라는 말을 사용하면 상식적으로 전화번호가 우선이며, 공개항목에 연락처를 이메일로 임의 해석해 이메일만 표기하면 법을 위반한 것"이라며 "전화번호 표기는 필수이며, 담당부서 전화번호나 대표전화 번호를 사용해도 무방하다"고 설명했다.

이에 따라 업비트와 빗썸, 코인원과 코빗은 '개인정보 보호법 31조'에 명시된 사항을 모두 준수하고 있지만, 와우팍스와 프라뱅은 일부 사항을 지키지 않았다.

개인정보 보호법 제30조(개인정보 처리방침의 수립 및 공개)
① 개인정보처리자는 다음 각 호의 사항이 포함된 개인정보의 처리 방침(이하 “개인정보 처리방침”이라 한다)을 정하여야 한다. 이 경우 공공기관은 제32조에 따라 등록대상이 되는 개인정보파일에 대하여 개인정보 처리방침을 정한다.
6. 제31조에 따른 개인정보 보호책임자의 성명 또는 개인정보 보호업무 및 관련 고충사항을 처리하는 부서의 명칭과 전화번호 등 연락처

제31조(개인정보 보호책임자의 지정) ① 개인정보처리자는 개인정보의 처리에 관한 업무를 총괄해서 책임질 개인정보 보호책임자를 지정하여야 한다.

뉴드림·데이빗 등 거래소 13곳은 과태료 1,000만 원 부과 대상
거래소 생존 요건 ISMS 인증 심사 항목에 '개인정보 보호법' 항목 존재

가상자산사업자로서 ISMS 인증을 받은 16곳(거래소 15곳, 지갑 1곳)으로 시작한 특금법 첫날부터 '개인정보 보호법'을 위반한 거래소가 속출했다.

특금법에 명시된 ISMS 인증번호 획득은 지난해 8월부터 시행된 데이터 3법(개인정보 보호법, 정보통신망법, 신용정보법) 중에서 개인정보 보호법에 해당한다. 

세부적으로 들어가면 개인정보 보호책임자, 부서 명칭과 전화번호 등을 표시하지 않아 개인정보 보호법 30조와 31조 위반으로 1천만 원 이하의 과태료 부과 대상이다.

지난 2월 본지는 국내에서 영업 중인 암호화폐 거래소 리스트를 기준으로 100여 곳의 거래소를 전수 조사, 디지파이넥스 코리아 등 14개 암호화폐 거래소의 위반 사항을 보도한 바 있다.

26일 본지가 신규 거래소까지 범위를 넓혀 조사한 결과 디지파이넥스 코리아와 비베스트 코리아가 운영하는 달빗(DARLBIT)을 제외하고, 새롭게 추가한 브이글로벌과 NP LION(구 비트엔젤)까지 포함해 13곳이 개인정보 보호법 위반한 것으로 나타났다.

2월 리스트에서 코인빅뱅은 홈페이지 접속이 되지 않아 잠정 폐쇄, 비트포인트플러스는 사이트 리뉴얼에 따라 제외했다.

2차 점검에 나선 결과 ▲뉴드림 ▲데이빗 ▲체인엑스 ▲비티너스 ▲지엑스 익스체인지(GX-Exchange) ▲코인제우스 ▲블루벨트 ▲CM 익스체인지 ▲코인투엑스(Coin2X) ▲알리비트 ▲워너빗 ▲브이글로벌 ▲NP LION(구 비트엔젤) 등 총 13곳이다.

이들은 개인정보 보호책임자, 부서 명칭, 전화번호 등을 여전히 표시하지 않고 영업 중인 것으로 나타났으며, 특금법이 시행됨에 따라 현 상황이 지속될 경우 현행법을 위반한 거래소는 ISMS 인증 심사 항목에서 자동으로 '1. 관리체계 수립 및 운영(16개)/세부항목(42개)'을 통과할 수 없다.

앞으로 본지는 특금법 시행 후 국내 암호화폐 거래소의 실태 고발을 9월 24일까지 지속할 예정이다.

개인정보 보호법
제30조(개인정보 처리방침의 수립 및 공개) ① 개인정보처리자는 다음 각 호의 사항이 포함된 개인정보의 처리 방침을 정하여야 한다.
6. 제31조에 따른 개인정보 보호책임자의 성명 또는 개인정보 보호업무 및 관련 고충사항을 처리하는 부서의 명칭과 전화번호 등 연락처

제31조(개인정보 보호책임자의 지정) ① 개인정보처리자는 개인정보의 처리에 관한 업무를 총괄해서 책임질 개인정보 보호책임자를 지정하여야 한다.

제75조(과태료)
④ 다음 각 호의 어느 하나에 해당하는 자에게는 1천만원 이하의 과태료를 부과한다. 
7. 제30조제1항 또는 제2항을 위반하여 개인정보 처리방침을 정하지 아니하거나 이를 공개하지 아니한 자
8. 제31조제1항을 위반하여 개인정보 보호책임자를 지정하지 아니한 자

개인정보 보호법에 따른 개인정보 처리방침에 책임자, 담당자, 연락처 없어

국내 암호화폐 거래소 업계의 '개인정보 보호법' 준수는 뒷전에 불과했다. 거래소를 이용하는 고객들의 권익 보호에 최선을 다하고 있다며, 정보통신서비스 제공자로서 개인정보 보호법과 정보통신망법은 안중에도 없는 것으로 나타났다.

지난달 27일 'ISMS 인증 거래소의 개인정보 보호법 실태 조사' 보도 이후 ISMS 미인증과 인증을 준비하는 거래소를 전수 조사, 이들의 개인정보 보호법 위반 사항을 공개한다.

4일 <본지>가 국내에서 영업 중인 암호화폐 거래소 100여 곳을 확인한 결과 14곳이 개인정보 보호법 31조를 위반했다. 이들은 개인정보 보호책임자, 부서 명칭과 전화번호 등을 표시하지 않았으며, 이는 1천만 원 이하의 과태료 부과 대상이다.

1차 점검에 나선 결과 ▲디지파이넥스 코리아 ▲데이빗 ▲체인엑스 ▲비티너스 ▲알리비트 ▲워너빗 ▲지엑스 익스체인지(GX-Exchange) ▲코인제우스 ▲블루벨트 ▲CM 익스체인지 ▲코인투엑스(Coin2X) ▲코인빅뱅 ▲뉴드림 ▲달빗(DARLBIT) ▲비트포인트플러스 등 총 15곳이다.

지난해 구글과 넷플릭스 등의 해외 IT 기업의 개인정보 보호법 위반 사례가 밝혀졌음에도 '강 건너 불구경'을 하고 있던 셈이다.

개인정보 보호법에 따르면 개인정보 보호책임자를 지정하고 제31조에 따라 개인정보 보호책임자의 성명 또는 개인정보 보호업무 및 관련 고충사항을 처리하는 부서의 명칭과 전화번호 등 연락처를 공개해야 한다.

문제는 단순한 개인정보 보호법의 과태료가 아니라 이들이 위반한 항목이 ISMS 인증기준의 점검항목이라 겹친다. 즉 ISMS 인증 심사가 진행 중이거나 혹은 준비 중이라면 사업중단이 아닌 이상 ISMS 심사항목에서 문제가 된다.

지난해 11월 한국인터넷진흥원이 공개한 '암호화폐 거래소 전용 ISMS 세부점검항목'에 따르면 월렛 중심의 기술 보안 외에도 '관리체계 수립 및 운영'에 개인정보 보호에 관한 항목이 명시되어 있다.

암호화폐 거래소 전용 ISMS 세부점검항목을 살펴보면 ▲최고경영자는 정보보호 및 개인정보보호 처리에 관한 업무를 총괄하여 책임질 최고책임자를 공식적으로 지정하고 있는가? ▲정보보호 최고책임자 및 개인정보 보호책임자는 예산, 인력 등 자원을 할당할 수 있는 임원급으로 지정하고 있으며 관련 법령에 따른 자격요건을 충족하고 있는가? 등이 관리체계 기반 마련 항목이 부실해 감점 요인이다.

ISMS 인증을 받은 거래소만 실명계좌 발급 심사가 진행되지만, 정작 ISMS 심사와 관련해 개인정보 보호법부터 제대로 지키지 않은 거래소가 속속 밝혀짐에 따라 업계의 현명한 대처가 필요한 시점이다.

개인정보 권익침해 신고 기관 연락처만 정상｜나머지는 철 지난 부서 그대로 표기

3월 특금법 시행을 앞둔 국내 암호화폐 거래소 업계가 홈페이지에 공개한 '개인정보 처리방침'에 철 지난 부서 이름을 표기, 정보 혼선이 빚어지고 있다는 지적이 나온다.

일각에서는 거래소를 사칭한 피싱과 스미싱을 시도할 때 홈페이지에 명시된 부서를 그대로 복사해서 문자로 보낼 때 거래소도 도의상 책임론에서 벗어나지 못할 것이라는 의견까지 나온다.

3일 <본지>가 ISMS 인증번호를 받은 거래소 12곳을 조사한 결과 대검찰청 사이버수사단과 경찰청 사이버안전국의 연락처와 홈페이지 주소는 맞지만, 정작 부서를 올바르게 표기한 곳은 단 한 곳도 없다.

ㄱ 거래소 관계자는 "보안 관련 부서가 있지만, 개인정보 처리방침과 관련해 임의대로 작성할 수 있는 내용도 지극히 제한적이다"라며 "KISA 홈페이지를 보고 따라 한 것밖에 없다"고 말했다.

또 다른 ㄴ 거래소는 "다른 곳을 보고 참조한 것뿐 작성할 때 따로 가이드라인을 받은 적은 없다"며 "잘못된 부분이 있다면 고치겠지만, 애초에 제대로 알려줬다면 저렇게 표기하지 않았을 것"이라고 전했다.

정확하게 표기하려면 '대검찰청 과학수사부 사이버수사과' 혹은 '대검찰청 사이버수사과'로, '경찰청 사이버수사국' 혹은 '경찰청 사이버수사국 사이버수사기획과'로 표기해야 한다. 단순한 오탈자가 아님에도 국내 거래소 12곳조차 '개인정보 처리방침'의 본문을 확인하지 않고 있다는 점이다.

하지만 관련 법에 의해 관리하고 심사하는 기관이나 기구가 제대로 살펴보지 않은 원인이 크다. 12곳의 ISMS 인증서를 발급한 KISA조차 제대로 표기하지 않아 이를 토대로 거래소 대부분이 KISA의 개인정보 처리방침을 그대로 따온 것으로 보인다.

특금법 시행까지 한 달 남짓 가운데 정작 개인정보 보호법을 제대로 지키지 않은 거래소가 속출하고 있어, 현행법의 시정명령 대상으로 과태료 부과 러시가 시작될 전망이다.

개인정보 보호법 31조 위반으로 1천만 원 이하 과태료 부과 대상

국내 암호화폐 거래소 플라이빗과 에이프로빗이 '개인정보호보호법'을 위반, 시정명령 대상인 것으로 밝혀졌다.

국내 거래소 업계가 정보통신망법의 ISMS 인증 획득과 특금법의 실명계좌 발급에 집중하는 사이 데이터 3법(개인정보 보호법, 정보통신망법, 신용정보법)을 소홀히 취급하고 있다는 지적이 나온다.

26일 <본지>가 ISMS 인증번호를 획득한 거래소 12곳을 조사한 결과 플라이빗과 에이프로빗은 개인정보처리방침에 책임자와 담당자를 명시했지만, 연락처는 표기하지 않았다. 이는 개인정보보호법 제30조를 위반한 것으로 위반 시 1천만 원 이하의 과태료 부과 대상이다.

회원 유치와 가입을 통한 기업은 개인정보보호법 제31조에 따라  개인정보 보호책임자의 성명 또는 개인정보 보호업무 및 관련 고충사항을 처리하는 부서의 명칭과 전화번호 등 연락처 등을 표기해야 한다.

개인정보보호위원회 관계자는 "연락처라는 말을 사용하면 상식적으로 전화번호가 우선이며, 공개항목에 연락처를 이메일로 임의 해석해 이메일만 표기하면 법을 위반한 것"이라며 "전화번호 표기는 필수이며, 담당부서 전화번호나 대표전화 번호를 사용해도 무방하다"고 전했다.

<본지>의 취재를 종합하면 플라이빗과 에이프로빗은 책임자와 담당부서, 직급과 직위, 이메일 등을 표기했지만, 전화번호를 표기하지 않았다. 반면에 빗썸과 한빗코, 고팍스와 코인원 등은 개인정보 책임자와 개인정보 담당자를 표기했다.

또 공공기관 외 일반기업은 개인정보 처리자(책임, 보호)를 지정할 때 사업주 또는 대표자, 임원(임원이 없는 경우에는 개인정보 처리 관련 업무를 담당하는 부서의 장)을 지정해야 한다.