코빗 “보이스피싱 방지 위한 것…매출에 오히려 타격”
“보이스피싱 방지를 위한 방편이었다.” VS “‘셀피’를 추가 인증 수단으로 했어야 했던 이유가 있나.”
가상자산 거래소 코빗의 정책을 놓고, 개인정보보호법 위반 논쟁이 불붙었다.
휴면 계좌 해지 시 신분증과 신분증을 들고 있는 사진을 이메일로 보내게 한 것을 두고 코빗은 보이스피싱에 효과적인 방책이었다고 주장했다. 반면 개인정보보호위원회(개인정보위)는 정보통신망법 제28조 개인정보 보호조치 위반 행위에 해당할 가능성이 크다고 보고, 사실관계를 추가 확인하고 있다.
개인정보위는 23일 서울 광화문 정부 청사에서 제11회 전체회의를 열었다.
이 자리에서 개인정보보호 법규를 위반한 사업자들을 대상으로 과태료를 부과하고 시정 명령 처분을 의결했다. 코빗은 이들 사업자에 포함돼 있었으나 개인정보위의 결정에 반발해 의견 진술을 진행했다.
코빗은 2019년부터 지난해 말까지 휴면 계정 해제 신청 시 ‘신분증 사진과 신분증을 들고 있는 사진’을 요구했다.
해당 정보를 제공하지 않으면 휴면계정 해제를 거부하기도 했다. 코빗은 이 같은 정책을 홈페이지 공지사항에 게재해 두었다.
개인정보위는 코빗의 이러한 정책이 개인정보보호 조치 위반 행위에 해당한다고 보고 조사에 나섰다. 지난해 조사가 진행되면서 코빗 측은 해당 정책을 바꿔 현재는 휴면 계정 해제 시 이메일 인증을 사용하고 있다.
이날 의견 진술에 나선 손경민 광장 변호사는 셀피 인증이 서비스의 본질적인 기능을 위해 필요한 것이었다고 주장했다. 그러면서 보이스피싱 방지를 위한 효과적인 방법이었다고도 짚었다.
그는 “2018년 5월부터 1년간 총 1700여 건의 보이스피싱 피해가 코빗에서 발생했고, 그 규모는 300억 원가량”이라며 “2019년 셀피 인증 정책 도입 뒤 그 규모가 대폭 줄었다”고 설명했다.
또, 셀피 인증 자체가 과도한 신원 확인 방법이 아니라고 밝혔다. 신분증과 신분증을 들고 있는 사진을 요구하긴 했으나 주민등록번호를 가림 처리하도록 해 △성명 △생년월일 △주소 △얼굴 사진만 수집한 것이라는 의미다.
은행 등 여타 금융사업자들과 비교해서도 과한 정보 수집이 아니라는 주장도 나왔다.
코빗 관계자는 “은행도 휴면 계좌를 활성화 할 때는 추가로 인증을 한다”며 “셀피라는 거부감이 있을 수 있지만, 정부 청사 출입 시 오프라인 대면 확인을 하는 것을 고려하면 ‘비대면’이라는 특성에 대한 거부감이 작용한 것일 뿐”이라고 부연했다.
개인정보위원회 위원들은 셀피 인증이 보이스피싱에 효과적이었다는 인과성이 있냐고 캐물었다. 이에 코빗 관계자는 “인과 관계에 관한 통계는 없다”며 “다만, 최소수집원칙을 위반했느냐고 봤을 때 금융권에서도 준하는 방식이라고 본다”고 답했다.
또, 지난해 말 인증 방식을 셀피에서 이메일로 바꿨는데 문제가 없지 않냐는 위원의 질문에는 “적절한 인증 수단을 찾고 판단하는 데 유예 기간이 있었다고 생각해 달라”고 했다.
코빗 측은 이 같은 정책이 매출에 오히려 지장을 주는데도 불구하고, 보이스피싱을 막기 위한 고육책이었다는 점을 강조했다.
이어 타 거래소에서도 동일한 인증 방식을 요구했다고 언급했다.
이에 관해 개인정보위 관계자는 “아직 사실관계를 확인한 바 없지만, 다른 거래소에서 같은 유형의 피해가 있다는 사실을 인지하면 그 즉시 조사할 계획”이라고 말했다.
이날 논의됐던 코빗의 개인정보법 위반 여부 안건은 내달 차기 전체회의에서 다시 다뤄질 예정이다.