올 들어 가상자산(가상화폐) 코인 투자가 활발해지면서 정부가 거래소 관리를 본격화하고 있습니다. 거래소가 회원의 개인정보를 잘 보호하고 있는지 들여다보는 것도 그중에 하나죠. 여러 감독기관 가운데 지난해 말 출범한 개인정보보호위원회가 그 역할을 맡고 있습니다.
개인정보위는 지난달 23일 주요 거래소인 '코인원'과 '비트소닉'에 과태료를 부과하면서 제재에 나섰는데요. 위원회는 이 두개 거래소 외에도 '코빗'의 개인정보보호법 위반 여부 판단을 놓고 골머리를 앓은 바 있습니다.
인터넷 사이트의 회원가입을 한 뒤 1년 이상 접속을 안 했을 경우 '휴면계정으로 전환된다'는 예고 메일을 한 번쯤 받아보셨을 겁니다. 정보통신망법에 따라 개인정보 보호(파기) 수순을 밟기 위해 이러한 절차를 거치는데요.
통상 이용자가 휴면상태를 해지하고자 하면 웹사이트 운영사는 본인확인을 위해 이메일이나 휴대전화, 공인인증서 등의 인증을 요구합니다. 그런데 코빗은 특이합니다. 자신의 주민등록증이나 여권을 직접 들고 있는 사진을 찍어 보내야 합니다. 얼굴까지 나오도록 말이죠.
일명 '셀피(selfie) 인증'을 놓고 이용자의 불만 신고가 많았던 모양입니다. 주민등록번호 뒷자리를 가린 셀피이긴 하지만, 온라인 상으로 얼굴을 공유한다는 건 어딘지 찜찜한 구석이 있죠. 또 코빗이 셀피 없는 휴면계정 해제 신청은 아예 받아주지 않기도 했습니다.
코빗이 번거로운 방법을 택한 데에는 나름의 이유가 있긴 합니다. 보이스피싱 예방 차원이라고 하는데요. 실제 전재수 더불어민주당 의원이 발표한 자료에 따르면 2019년 2900여건, 640억원에 달했던 코빗 보이스피싱 피해 건수와 금액이 셀피 인증이 도입되자 '제로'로 감소했습니다.
그전까지 코빗의 피싱 피해 현황은 거래소 업계에서 타의 추종을 불허했습니다. 코빗 관계자도 개인정보위 위원들에게 "이런 (복잡한) 정책이 오히려 매출에 타격을 줬지만, 보이스피싱 방지를 위한 가장 효과적인 방법이라고 판단했다"고 호소했는데요.
하지만 '과잉 정보요구'는 위법 소지가 있다는 게 문제죠. 코빗의 행위는 개인정보법 제39조의3 제3항, 즉 '정보통신서비스 제공자는 이용자가 필요한 최소한의 개인정보 이외의 개인정보를 제공하지 않는다는 이유로 서비스 제공을 거부하면 안 된다'는 조항을 들이대면 명분이 약해집니다.
위원회는 오는 7일 열리는 전체회의에서 코빗의 제재 여부를 다시 논의합니다. 만약 위원회가 행정처분을 내리기로 하면 코빗은 최대 5000만원에 달하는 과태료를 물어야 하는데요.
과연 셀피가 적절한 비대면 수집 범위 내 정보였는지, 셀피 수집과 보이스피싱 감소의 인과관계가 명확한지 등이 중요한 판단 기준이 될 것으로 보입니다.
이에 대해 개인정보위 관계자는 "(코빗처럼) 다른 자산자산 거래소도 휴면계정 해제시 신분증 사진을 요구한다면 즉시 조사에 들어갈 계획"이라고 말했습니다.
