'계정 휴면' 상태를 해제하기 위해 이용자에게 신분증을 든 '셀피'(selfie)를 요구해온 코빗에 정부가 과태료 처분을 내렸다. 코빗은 '보이스피싱' 예방을 위해 어쩔 수 없는 선택이었다고 강조하고 있으나 정부는 코빗이 이용자의 개인정보를 과도하게 수집한 것이라 판단했다.
개인정보보호위원회(이하 개인정보위)는 14일 오전 정부서울청사에서 제12회 전체회의를 열고 '개인정보 최소 수집의 원칙'을 위반한 가상자산 사업자인 코빗에 480만원의 과태료 부과와 함께 시정명령 처분을 의결했다.
개인정보위는 지난달 거래소 코빗 이용자의 침해 신고를 접수받고 조사에 착수했다. 이용자가 1년 이상 코빗에 접속하지 않아 '휴면계정'으로 전환하면 코빗은 휴면 해제 조건으로 '신분증과 신분증을 들고 있는 얼굴 사진'을 요구했던 것.
코빗은 이용자가 주민등록번호 뒷자리를 가린 신분증을 들고 있는 사진을 보내지 않으면 휴면계정 해제 서비스 제공을 거부했다. 애초 코빗 회원 가입시에는 이메일 인증만 필요했기 때문에 이용자 사이에선 지나친 정보 수집이 아니냐는 지적이 나왔다.
앞서 개인정보위가 지난달 전체회의에서 코빗의 개인정보법 위반 행위를 심의할 당시 코빗 측은 사진 정보를 수집하는 강화된 절차가 필요했다고 주장한 바 있다. 보이스피싱 등의 금융범죄 예방을 위해서다.
그러나 개인정보위가 확인한 결과 신분증 사진정보가 반드시 필요한 것은 아니었다. 이용자가 휴면 계정을 해제하더라도 코빗이 거래 및 입출금을 위해서 '휴대전화번호 인증'을 추가로 요구한 탓이다.
코빗은 또한 휴면계정 해제 이후 회원 로그인 및 조회 서비스만 가능함에도 신분증 사진정보를 요구했다. 개인정보위는 사진 정보 미제공 시 휴면계정 해제를 거부한 행위에 대해 개인정보 보호법상 '최소 수집의 원칙'을 위반한 것으로 판단했다.
코빗의 주장과는 달리 업비트, 빗썸, 코인원 등 국내 3대 가상자산 거래소는 휴면계정 해제 시 신분증 사진을 요구하지 않는 것으로 확인됐다. 앞서 코빗은 국내 주요 거래소들도 신분증 사진을 요구한다며 개인정보위에 억울함을 호소한 바 있다.
송상훈 개인정보위 조사조정국장은 "앞으로도 개인정보위는 개인정보 최소수집 원칙이 잘 지켜질 수 있도록 엄정한 법 집행과 함께 사업자들의 인식 제고를 위해서도 노력해 나가겠다"라고 말했다.
