주메뉴바로가기 본문바로가기

비즈한국 BIZ.HANKOOK

전체메뉴
HOME > Target@Biz > 비즈

'민증' 든 셀카까지? 암호화폐거래소 개인정보 보호 논란

많은 정보 요구하면서도 관리 제대로 안돼…"보안과 보호 사이, 거래소도 딜레마" 측면도

2020.05.13(Wed) 17:14:32

[비즈한국] 암호화폐 거래소의 개인정보 유출 사건이 연이어 터지는 가운데, 일각에서는 이들이 요구하는 개인정보의 양이 지나치다는 지적이 나온다. ​이용자들은 ​거래소가 요구하는 자료를 제출하지만 ​개인정보가 제대로 보호되는지 확인할 수 없어 불안하다고 입을 모은다.

 

한 가상화폐 거래소의 가상화폐 시세 전광판. 사진=고성준 기자

 

암호화폐 거래소 ‘코인원’을 이용 중인 A 씨는 최근 개명해 개인정보 수정을 요청했다. 거래소는 인증목적, 등록 이메일주소, 인증요청 날짜가 기재된 메모를 신분증에 부착하고 본인의 얼굴 전면이 나온 사진을 요구했다. 거래소에 등록된 휴대폰의 통신사 이용계약 증명서 원본도 함께 제출해야 했다. A 씨는 “대부분 금융회사에는 주민등록표등본 정도를 제출하는데, 코인원은 지나치게 많은 개인정보를 요구했다. 비대면 블록체인 업체라는 특성을 감안해도 과도하다는 생각이 들었다”고 말했다. 

 

코인원 홈페이지에 있는 ‘개인정보처리방침’에 따르면 개인의 신원확인 과정에서 수집되는 정보는 ‘신분증 사본, 통장 사본, 송금 확인증, 이용자의 얼굴 이미지 정보, 통신사 이용계약증명서 사진, 필적, (영상통화 녹화 시) 영상정보 형태로 저장된 신분증, (신분증 진위 확인 시) 신분증 사진’이다.

 

코인원과 함께 국내 4대 암호화폐 거래소로 꼽히는 빗썸코리아, 업비트, 코인빗도 적지 않은 개인정보를 수집한다. 홈페이지의 ‘개인정보처리방침’에 따르면 빗썸코리아도 보안비밀번호 초기화를 위해서는 얼굴 사진을 제출해야 하며, 업비트는 휴대전화번호 초기화를 할 때 통신사 이용계약증명서를 제출해야 한다. 

 

한 암호화폐 거래소 관계자는 “얼굴 사진은 거래 플랫폼(거래소)이 시스템화하기 전, 즉 P2P(Peer To Peer, 개인 간 거래) 형태로 거래하던 본인확인 절차가 고스란히 남아 있는 것 같다. 고객확인 절차를 시스템화할 여력이 없거나 개인정보를 엄격하게 수집하는 거래소에 이 부분이 남은 듯하다. 이외에 거래소가 다른 금융기관에 비해 많은 정보를 요구하는 것 같진 않다”고 설명했다.  

 

또 다른 거래소 관계자는 “블록체인의 특성상 국경 없이 거래가 진행되다 보니 신분증을 든 본인 셀피를 제출하는 경우는 흔하다. 규모가 어느 정도 되는 거래소는 만일을 대비해 금융회사에 준하는 고객확인 절차를 둔다. 만약 이용자 계정이 범죄에 이용될 경우를 대비해 고객 정보를 사전에 최대한 많이 파악해두는 것이다. 폐쇄적 성향의 일부 커뮤니티가 요구하는 것처럼 가입 절차에 신분증을 든 셀카 사진을 제출하는 게 이용자 입장에서는 불편할 수도 있지만, 거래소 입장에서는 마땅한 규제가 없으니 고육지책인 것”이라고 전했다.

 

#해킹·관리 소홀로 인한 노출 잦아 이용자들 불안

 

문제는 ‘관리’다. 암호화폐 거래소 이용자 B 씨는 “내가 거래소에 제출한 정보가 제대로 관리되는지 의심스럽다. 북한이 거래소를 해킹했다거나 거래소 내부 문제로 개인정보가 유출됐다는 소식이 하루 걸러 들려오니 이용하면서도 불안함을 떨칠 수 없다”고 전했다. 

 

지난 4월 9일에는 코인원의 VIP 회원 가입신청자 개인정보가 홈페이지에 노출되는 사건이 발생했다. 이메일, 휴대폰번호, 실명 등 민감한 개인정보가 반나절가량 고스란히 홈페이지에 노출됐다. 코인원 측은 “전 직원을 대상으로 개인정보 교육을 진행하겠다”며 홈페이지에 사과문을 올렸다. 

 

지난해에는 글로벌 거래량 1위 거래소에서 신분증을 들고 얼굴이 나오도록 찍은 사진이 유출됐다는 의혹이 제기됐다. 중국계 암호화폐 거래사이트 ‘바이낸스’ 회원으로 추정되는 개인정보 수백 건이 텔레그램방을 통해 유출된 것. 국내 이용자 피해가 적지 않은 것으로 드러나면서 과학기술정보통신부 산하 한국인터넷진흥원(KISA)이 조사에 나서기도 했다. 

 

임종인 고려대학교 정보보호대학원 교수는 “암호화폐를 디지털 자산으로 인정해나가는 분위기만큼 거래소들 스스로도 준금융회사라고 생각해야 한다. 기술적 조치만큼 관리적 조치를 잘 취해야 하는데, 거래소 자체가 급성장하다 보니 문제가 자주 발생한다. 금융회사들은 금융감독원의 감시하에 고객 개인정보를 철저하게 관리하지만, 아직까지 암호화폐 거래소는 감독기관이 불분명하다. 저축은행 같은 제2금융권이 제도권에 들어오기까지 시행착오를 겪었던 것처럼 암호화폐 거래소 문제 역시 과도기적 성장통일 수 있다. 하지만 안정화되기 전까지는 고객 스스로 혹시 모를 위험성을 인지하고 있어야 한다”고 조언했다. 

 

임종인 교수는 암호화폐를 악용하는 사례 때문에 거래소에서 개인정보를 과도하게 요구하는 측면이 있다고 봤다. 임 교수는 “내부 딜레마도 있을 것이다. 최근 ‘N번방 사건’에서 거래수단으로 사용되는 등 ​암호화폐가 ​암시장에서 돈세탁 용도로 악용되고 있다. 거래소는 자신을 보호하기 위해 이용자의 정보를 요청하는 부분이 있다. 차차 거래소의 연륜이 쌓이면서 난무하는 업체가 정리되고, 규모가 큰 업체 위주로 남게 되면 보안의 불확실성도 해소될 것”이라고 전망했다.

 

#개정된 법안도 개인정보 보호는 약해

 

암호화폐 거래소를 규제하려는 움직임도 있다. 내년 3월부터 시행되는 개정 특정금융정보법(특금법)은 규제 공백 상태이던 암호화폐를 법망 아래 두게 됐다는 점에서 주목된다. 업계에서는 내년부터 암호화폐 거래소에도 금융회사에 준하는 규제가 적용될 것으로 본다. 반면 소비자 보호는 여전히 갈 길이 멀다. 개정 특금법에 따르면 사업자의 신고 절차가 강화됐고, 과세 근거가 마련돼 거래 투명성도 높아질 예정이지만 소비자 개인정보 보호 관련 내용은 약하다.

 

블록체인·보안 전문가인 유성민 IT칼럼니스트(동국대 국제정보보호대학원 외래교수)는 “특금법은 개인정보 보호가 아닌 자금세탁방지(AML, Anti-Money Laundering)를 강화하는 데 초점이 맞춰 있다. 개인정보 보호에는 하나도 도움이 되지 않을 것이다. 정보보호관리체계(ISMS, Information Security Management System) 인증 관련 규정 개정도 소용이 없을 것으로 보인다. 결국 보안 전반의 법을 바꿔야 한다. 책임제인 미국과 달리 규정을 준수하면 면죄가 되는 체계인데, 이를 바꿔야 보안 관련 투자도 많아지고 보안성도 강화될 수 있다. 과도한 개인정보 수집에 관한 규제도 별도로 마련되어야 할 것”이라고 말했다.

김보현 기자 kbh@bizhankook.com


[핫클릭]

· [K-신약리포트] 3대 혈액암 '다발성 골수종' 신약경쟁 활활, 완치의 꿈 성큼
· 오뚜기라면, 감사보고서에 임직원 연봉 유독 높은 이유
· [넷플릭스와 망중립성 논란 1] 나는 억울하다, 나도 억울하다
· [단독] 고동진 삼성전자 사장 한남더힐 신탁, '종부세 폭탄' 피하려?
· 코로나19 시대, '마스크 마케팅' 어디까지 되나


<저작권자 ⓒ 비즈한국 무단전재 및 재배포 금지>