Posted by 개인정보보호위원회의 코빗에 대한 과태료 처분
개인정보보호위원회(이하 ‘위원회’)는 2021년 7월 14일, 가상자산사업자 코빗(Korbit)에 대해 480만원의 과태료 부과와 함께 시정명령 처분을 의결했습니다. 그 이유는 2019년부터 지난해 말까지 휴면 계정 해제 신청 시 ‘신분증 사진과 신분증을 들고 있는 사진’을 요구함으로써 과도한 개인정보를 수집하였다는 것입니다.
개인정보 보호법은 “개인정보를 수집하는 경우에는 그 목적에 필요한 최소한의 개인정보를 수집하여야 한다”(제16조 제1항), “정보통신서비스 제공자는 이용자가 필요한 최소한의 개인정보 이외의 개인정보를 제공하지 아니한다는 이유로 그 서비스의 제공을 거부해서는 아니 된다”(제39조의3 제3항)라고 규정하면서, 제39조의3제3항을 위반하여 서비스의 제공을 거부한 자에 대하여 3천만원 이하의 과태료(제75조 제2항 제12의2호)를 부과할 수 있도록 정하고 있습니다.
이에 대해 코빗 측은 보이스피싱 방지를 위하여 셀피 인증이 가장 효과적인 방법이라고 판단했다고 주장했습니다. 실제로 2019년 코빗의 보이스피싱 피해 현황은 2,900여건, 640억원에 달하였으나 셀피인증이 도입되자 ‘제로’로 감소했다고 합니다.
그러나 위원회는 “휴면계정을 해제하더라도 거래와 입출금을 위해서는 ‘휴대전화번호 인증’을 추가로 요구하고 있어 휴면계정 해제 시 신분증 사진정보가 반드시 필요한 정보는 아니”며, “휴면계정 해제 이후 ‘회원 들어가기(로그인)와 조회 서비스’만 가능”함에도 신분증 사진정보를 구하고 이를 미제공 시 휴면계정 해제를 거부한 행위는 개인정보 보호법상 ‘개인정보 최소 수집의 원칙’을 위반”한 것이라고 판단했습니다.
위원회의 판단을 요약하면, ‘휴대전화 본인인증 절차가 있으니 셀피사진을 받지 않아도 휴면계정 해제를 위한 본인확인에 충분하다’는 것입니다. 그렇다면 코빗은 셀피인증이 개인정보 보호법 위반에 해당할 수 있다는 점을 예상하지 못했을까요? 과연 코빗이 ‘셀피인증’을 도입한 것은 과도한 개인정보 수집으로서 명백히 개인정보 보호법에 위반되는 것일까요?
코빗이 ‘셀피인증’을 도입한 의도는 무엇일까
당시 가상자산은 거래소 사업자들에 대한 법적 규제가 전무한 상태여서, 사실상 국민들의 금융자산을 취급하는 업을 하고 있었음에도 불구하고 금융업자로 인정받지 못하고 있던 애매한 상황이었습니다. 지금이야 코빗은 가상자산사업자 신고를 마친 적법한 “금융회사”로서 가상자산 거래 서비스를 제공할 수 있게 되었지만, 그 당시에는 코인거래소 이용자들을 금융소비자로 볼 근거조차 없어 법적인 보호장치가 전무했습니다.
가상자산사업자에 대한 제도화 목소리가 높아지고 있었던 당시 상황에서 특히 코빗은 금융기관에 준하는 아이덴티티를 가진 거래소로 인정받고자 하는 의도가 강했던 것 같습니다. 신규 이용자 유치 및 매출증대 보다는 거래 안정성을 선택하기도 하며, 코인거래소에 대한 국민의 불신을 최소화하기 위한 노력을 해왔다고 평가할 수 있습니다. 금융전문가 출신 오세진 대표(2019년까지 CSO 역할을 수행하다 2020년 대표로 선임) 또한 항상 코빗 이용자들을 금융소비자에 준하여 이용자 보호정책을 수립하고자 했을 것입니다.
금융기관의 신규고객 본인확인 절차는 이렇습니다. 창구에서 신분증을 제시한 고객의 얼굴과 신분증 사진을 확인하고, 혹시 그 신분증 사진까지 위·변조된 것은 아닌지 확인하기 위해 정부에서 제공하는 ‘신분증 진위확인서비스’를 이용합니다. 행정안전부에서 제공하는 ‘신분증 진위확인서비스’는 신분증에 부착된 사진의 진위여부까지 확인할 수 있는 유일한 시스템입니다.
금융기관이 아니었던 코빗은 당연히 ‘신분증 진위 확인 서비스’를 이용할 수 없었고, 더구나 대면확인이 가능한 창구조차 구비하고 있지 못했습니다. 휴면계정 해제를 요청하는 자가 정말 그 계정 본인이 맞는지 확인하는 것은 ‘이메일 인증’만으로 가능하다고 볼 수 없습니다. 거래요청시 ‘휴대전화 인증’을 추가로 요구하더라도 크게 다르지 않습니다. 계정 아이디를 확보한 보이스피싱범이 이메일인증과 휴대전화인증을 통과하는 것이 그리 어렵지 않을 것이라는 점은 그 동안 코빗의 골칫거리였던 보이스피싱 피해 사례에 비추어 쉽게 알 수 있습니다.
때문에 코빗은 당 거래소 이용자들의 보호를 위해 금융기관에 준하는 본인확인시스템을 도입하고자 했고, 금융기관이 아니라는 한계 속에서 안전한 본인확인을 위한 궁여지책으로서 ‘신분증을 들고 있는 얼굴사진’을 요구할 수밖에 없었을 것입니다.
코빗의 ‘셀피인증’은 개인정보 최소수집 원칙을 위반한 것일까
위원회의 과태료 처분의 근거로 언급한 ‘개인정보 최소수집 원칙’이란 ‘수집목적에 필요한 최소한의 개인정보를 수집하여야 한다’는 것이라는 점은 앞서 살펴보았습니다. 그렇다면 ‘수집목적에 필요한 최소한의 개인정보’란 무엇일까요?
그 해답을 찾기 위해서는 ‘수집목적’이 무엇인지에 대한 정의가 중요합니다. 저는 코빗이 셀피인증을 도입한 목적은 바로 ‘비대면 본인인증 과정에서 금융소비자에 준하는 정도로 안전한 본인확인수단을 확보하기 위한 것’이라고 생각합니다. 그러나 위원회가 보도자료에서 밝힌 이유를 살펴보면 단순히 ‘휴면계정 해제시 필요한 본인확인’을 전제로 판단한 것 같은데, 그렇다면 코인거래소의 본인확인은 금융소비자에 준하는 본인확인이 필요없다는 이야기가 됩니다. 코인거래소 이용자를 포함하여 모든 국민의 생명과 재산을 보호할 책무가 있는 정부기관이 그러한 이야기를 하였다는 것은 받아들이기 어렵습니다.
코빗이 셀피사진을 수집한 목적이 ‘비대면 본인인증 과정에서 금융소비자에 준하는 정도로 안전한 본인확인’이라고 한다면, 그 셀피사진 수집이 목적에 필요한 최소한의 범위를 넘어선 과도한 것이라고 볼 수 없는 것 아닐까요? 위원회의 과태료 처분이 적법한지 여부에 대해서 여전히 물음표가 남는 대목입니다.
코빗으로서는 위원회의 과태료 처분에 불복하여 행정소송 등으로 다툴 수 있었습니다. 그러나 후속보도를 찾기 힘든 것으로 보아 아마도 코빗은 불복하지 않고 과태료를 납부한 것 같습니다. 경영에 타격을 주지 않는 소액의 과태료는 순순히 납부하고, 오히려 ‘이용자보호를 위해 (정부가 요구하는 것 이상의) 조치를 이행하는 거래소’로서의 이미지를 얻은 것은 전화위복이 되었을 것입니다. 어찌보면 올해 코빗이 신한은행으로부터 실명계좌를 지원받고 무사히 가상자산사업자 신고를 마칠 수 있었던 데에는 이러한 이미지가 긍정적으로 작용하지 않았을까 생각합니다.
개인정보처리자가 안심하고 개인정보를 처리할 수 있는 시대가 오려면
개인정보처리자가 안심하고 개인정보를 처리할 수 있는 시대가 오려면 규제의 기준이 명확해야 합니다. 개인정보 보호법에는 “해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 정보” 또한 개인정보에 해당한다고 합니다. 다른 정보와 “쉽게” 결합하여 알아볼 수 있다면 개인정보라고 하니, 도대체 얼마나 쉽게 알아볼 수 있는 것이 개인정보인지 일반국민으로서는 알 길이 없습니다.
휴대전화번호 끝 4자리 숫자는 과연 개인정보에 해당할까요? 스마트폰 고유번호에 해당하는 IMEI는 어떨까요? 예로 든 사례는 모두 지방법원에서 개인정보 보호법 위반으로 유죄가 선고된 사례입니다. 물론 해당 사안에서는 일반에 공개되지 않은 특수한 사정이 존재하였을 수 있습니다. 이를테면 휴대전화번호 끝 4자리를 제공한 사람은 그 제공받은 사람이 자신의 지인들 중에서 해당 끝자리 번호를 사용하는 사람을 찾아 보복할 수 있다는 사정을 알면서 제공했던 사정이 있는 경우로서(대전지방법원 논산지원 2013. 8. 9. 선고 2013고단17 판결), 비난가능성이 높고 형사처벌이 필요한 사안이었다는 결론에는 공감할 수 있습니다. 그러나 이와 다른 사안에서 휴대전화번호 끝4자리 만으로 누군가를 식별할 수 있다(개인정보에 해당한다)고 볼 수 있을지 의문입니다.
개인정보 감수성 측면에서 보자면, 정보주체의 이익을 우선하여 엄격한 개인정보 규제가 필요할 수 있습니다. 그러나 아직까지 개인마다 자신의 개인정보를 중요하게 생각하는 정도는 다른 것 같습니다. 어떤 사람은 자신의 개인정보를 제공하고 유용한 서비스를 제공받고 싶었지만 정작 서비스사업자가 개인정보 최소수집 원칙이 염려되어 해당 서비스를 중단하는 경우도 있을 수 있습니다. 점점 비대면이 확장되고 개인정보 처리가 고도화되는 시대에서, 사회적으로 통용되는 기준으로써 서비스 제공 사업자가 참고할 수 있는 개인정보 처리기준이 더욱 면밀하게 정립될 필요가 있습니다.
지현진 변호사
법무법인 디라이트
hjj@dlightlaw.com