국내 1호 가상자산 거래소인 코빗이 개인정보 보호법 위반으로 480만 원의 과태료와 시정 명령 처분을 받았다.
개인정보보호위원회(이하 위원회)는 코빗이 처음 회원 가입 시에는 이메일 인증만으로 가입이 가능하도록 했지만, 휴면계정으로 전환된 이용자가 휴면 상태 해제를 요청할 경우 ‘신분증 사진과 신분증을 들고 있는 사진’을 요구한 것으로 확인됐다고 밝혔다.
위원회는 코빗의 이러한 행위가 개인정보 보호법에서 규정한 ‘개인정보 최소 수집의 원칙’을 위반한 것으로 판단했다. 개인정보 보호법에서는 개인정보를 처리할 경우 그 수집 목적과 비례해 적절한 범위에서 개인정보를 최소한으로 수집해야 한다고 규정하고 있다.
이에 대해 코빗 측은 휴면계정 해제 시 즉시 매매 거래가 가능하기 때문에 보이스피싱 등의 금융 범죄 예방을 위해 신분증 사진 정보를 수집하는 확인 절차가 필요했다고 주장했다.
하지만 위원회가 직접 확인한 결과 코빗 이용자가 휴면계정을 해제한 후 거래와 입출금을 하려면 휴대전화 번호 인증을 추가로 해야 했으며, 신분증 정보를 제공하고 휴면계정을 해제한 후 이용할 수 있는 서비스는 로그인과 조회 서비스뿐이었다. 이는 휴면계정 해제 시 신분증 정보가 반드시 필요한 것은 아니라는 의미로 해석할 수 있다
이에 위원회는 코빗이 개인정보 보호법 제39조의3③을 위반했다고 판단해 시정 명령과 함께 480만 원의 과태료를 부과했다.
한편, 위원회는 이번 일을 계기로 국내 주요 가상자산 거래소의 상황도 함께 점검했으며, 국내 3대 가상자산 거래소인 업비트, 빗썸, 코인원은 휴면계정 해제 시 신분증 사진 정보를 요구하지 않은 것으로 확인됐다고 밝혔다.
