며칠 전 여러 매체는 대한민국 개인정보보호위원회(PIPC)가 국경 간 개인정보 이동과 관련된 위반으로 암호화폐 거래소 빗썸에 과태료를 부과했다고 보도했습니다.
당시에는 별로 신경 쓰지 않았습니다 — 일상적인 뉴스처럼 보였기 때문입니다. 그런데 오늘 위원회의 보도자료를 직접 확인해 보니 다소 특이한 점이 있었습니다. 보도자료는 한국어로 여기에서 확인할 수 있습니다. 여러 AI 도구로 번역해 봤는데 모두 같은 해석을 제시했습니다.
빗썸에 제기된 문제 중 하나는 다음과 같았습니다: 자산을 13개 외국 거래소로 이체할 때, 빗썸이 발신자와 수신자 모두의 개인정보—구체적으로 이름, 지갑 주소, 그리고 한 경우에는 생년월일—를 공유했다는 점입니다. 거래소는 이를 AML(자금세탁방지) 요건 때문이라고 설명했습니다. AI 번역이 정확하다면 이 데이터 공유는 자산 이체 과정 자체의 일부로 발생했습니다("빗썸은 자산을 이체할 때 데이터를 전송했다").
기술적으로 이 상황이 들어맞을 수 있는 유일한 틀은 트래블룰(Travel Rule)뿐이라고 생각합니다. 빗썸이 출금 요청을 받으면 목적지 주소의 소유자를 고객에게 묻습니다. 고객이 다른 거래소를 소유자로 지목하면 빗썸은 해당 거래소에 연락해 발신자의 세부 정보를 전달합니다. 그렇지 않고서는 빗썸이 어떻게 수신자의 이름을 알게 되었는지 설명할 방법이 없습니다.
여기서 분명한 질문이 생깁니다: 빗썸만 이런 식으로 하고 다른 거래소들은 하지 않는다는 것이 현실적일까요? 믿기 어렵습니다. 제 추측은 이러한 데이터 공유는 상호주의적 기제로만 작동한다는 것입니다 — 즉 한 거래소에 정보를 제공하면, 당신이 자금을 그 거래소 소유 주소로 출금할 경우 최소 13개 이상의 다른 거래소에서 그 정보에 접근할 수 있게 될 가능성이 있습니다.
빗썸이 과태료를 부과받은 이유는 특히 이러한 행위에 대해 사용자 동의를 얻지 않았기 때문입니다. 하지만 다른 거래소들은 어떨까요? 암호화폐 이체 과정에서 거래소들이 발신자 개인정보를 공유한다는 말을 들어본 적이 있습니까? 저는 없었습니다 — 그리고 한국의 개인정보보호위원회가 이를 공개적으로 지적한 첫 번째 권한인 것으로 보입니다.
참고로: rabbit.io에서 암호화폐를 교환할 때 우리는 개인 정보를 수집하지 않습니다. 즉 우리에겐 누구와도 공유할 정보가 애초에 없다는 뜻입니다. 명심해 두실 가치가 있습니다.
