[뉴스토마토 김동현 기자] 휴면계정을 해제하는 과정에서 이용자에게 '셀카 인증'을 요구한 코빗이 개인정보보호법 위반으로 과태료 처분을 받았다. 개인정보보호위원회는 해당 사안이 '최소 수집의 원칙'을 위반한 것으로 판단했다.
개인정보위는 14일 12회 전체회의를 열고 개인정보 최소 수집의 원칙을 위반한 암호화폐 사업자 코빗에 480만원의 과태료와 시정명령 처분을 의결했다. 이번 조사는 지난해 5월 이용자의 침해신고로 시작됐다.
.jpg "최영진 개인정보보호위원회 부위원장이 7월 14일 오전 서울 종로구 정부청사에서 개최된 제12회 개인정보보호위원회 전체회의에서 발언하고 있다. 사진/개인정보위")
최영진 개인정보위 부위원장이 14일 열린 12회 전체회의에서 발언하고 있다. 사진/개인정보위
코빗은 당초 이메일 인증만으로 회원가입이 가능하게 했지만, 휴면계정으로 전환된 이용자가 해제를 요청할 경우 '신분증 사진과 신분증을 들고 있는 사진'을 요구했다. 개인정보위 조사에 따르면 이용자가 신분증 사진과 신분증을 들고 있는 사진을 제공하지 않으면 코빗은 휴면계정 해제 서비스 제공을 거부한 것으로 확인됐다. 이에 대해 코빗은 "휴면계정 해제 즉시 매매 거래가 가능해 사기전화(보이스피싱) 등이 우려돼 범죄 예방 차원에서 신분증 사진정보 수집과 같은 강화된 절차가 필요했다"고 주장했다.
그러나 개인정보위는 휴면계정 해제 시 신분증 사진정보가 반드시 필요한 정보가 아닌 것으로 판단했다. 이용자가 휴면계정을 해제하더라도 거래와 입출금을 위해서는 '휴대전화번호 인증'이 추가로 요구됐기 때문이다. 휴면계정 해제 이후 '회원 들어가기(로그인)와 조회 서비스'만 제공함에도 코빗이 불필요하게 신분증 사진정보를 요구했다는 설명이다.
.jpg "배상호 개인정보위 조사2과 과장이 14일 열린 12회 전체회의 브리핑을 하고 있다. 사진/개인정보위")
배상호 개인정보위 조사2과 과장이 14일 열린 12회 전체회의 브리핑을 하고 있다. 사진/개인정보위
개인정보보호법에 따르면 개인정보를 처리할 때 그 처리 목적과 비례해 적절한 범위에서 개인정보를 최소한으로 수집해야 한다. 개인정보위는 신분증 사진정보를 미제공했다는 이유로 휴면계정 해제를 거부한 행위가 이러한 개인정보 최소 수집 원칙을 위반한 것으로 봤다. 아울러 업비트, 빗썸, 코인원 등 국내 3대 암호화폐 사업자를 확인한 결과, 이들 사업자는 휴면계정 해제 시 신분증 사진정보를 요구하지 않는 것으로 확인됐다.
개인정보위는 코빗의 개인정보보호법 위반행위에 과태료 처분과 함께 임직원·개인정보 취급자 대상의 개인정보보호 교육 실시 및 재발 방지책 마련 등 시정명령을 내렸다. 코빗은 지난해 11월부터 휴면계정 해제 시 사진정보를 요구하지 않고 있다고 밝혔다. 송상훈 개인정보위 조사조정국장은 "앞으로도 개인정보위는 개인정보 최소수집 원칙이 잘 지켜지도록 엄정한 법 집행과 함께 사업자의 인식 제고를 위해 노력하겠다"고 말했다.
김동현 기자 esc@etomato.com