국내에도 많은 이용자를 확보 중인 것으로 알려진 가상자산 '파이코인'의 고객 데이터 관리가 매우 부실하다는 지적이 제기됐다. 본인확인제도(KYC)를 위해 제출한 신분증 사진이 고스란히 불특정 다수 이용자에게 유출됐다는 주장이 제기됐다.
13일 업계에 따르면 파이코인은 최근 이용자를 대상으로 본인 확인을 위한 KYC를 시행했다. 이 과정에서 이용자가 제출한 신분증의 진위 여부를 파이코인 측이 뽑은 불특정 다수 이용자들에게 검증하도록 하는 '검증자' 시스템을 도입했다.
검증자는 다른 이용자가 제출한 신분증과 직접 촬영한 사진 및 동영상을 대조해 본인 여부를 판독하고, 파이코인 측은 이에 대한 보상을 제공하는 방식이다. 개인정보 유출 위험이 매우 크다는 측면에서 이해하기 어려운 KYC 형태다.
더 큰 문제는 신분증 주요 정보에 대한 마스킹 처리가 불완전했다는 점이다. 일부 검증자들이 앱 상에서 온전히 노출된 타 이용자의 신분증 사진을 파이코인 커뮤니티 등에 올리면서 공론화됐고, 이를 본 다른 복수의 검증자 역시 타 이용자의 주민등록번호 뒷자리까지 노출된 이미지를 전달받은 적이 있다고 주장했다.
파이코인 옹호론자들은 이 문제를 신분증 제출인의 단순 실수라고 반박 중이다. 빛번짐이나 각도 틀어짐 등으로 인공지능이 제대로 가리지 못한 사진을 제출인이 제대로 확인하지 않았다는 것이다. 유독 국내 신분증에서 이와 같은 문제가 많이 발생한 것으로 알려졌다.
KYC를 도입한 국내 가상자산거래소 관계자들은 이와 같은 검증 방식이 매우 비상식적이라는 반응이다. 특금법에 의거해 시행되는 KYC는 개인정보보호법에 의해 수집되는 고객개인정보보다 더욱 엄중한 관리를 받는다. 법원에서 영장을 가져와도 거래내역 외 신분증 데이터 등은 열람할 수 없으며, 이를 유출할 경우 누설금지 조항 위반으로 형사처벌을 받게 된다.
한 관계자는 “대형 거래소의 경우 신분증 진위 파악을 위해 행정안전부의 데이터베이스와 대조하는 작업을 하는데, 파이코인의 방식은 위조 신분증을 전혀 걸러내지 못한다”며 “확인 작업 후 즉각 폐기해야 하는 고객 신분증 사진 데이터를 불특정 다수에게 보여준다는 것은 더욱 이해하기 어렵다”고 설명했다.
전문가들은 법에 의해 관리받는 금융기관 외 검증되지 않은 가상자산 사업자에게 신분증 사진 데이터를 제공하는 것은 매우 위험하다고 경고한다.
현행법상 파이코인은 한국어 서비스 등을 국내 이용자에게 제공하기 때문에 미신고 가상자산사업자로 볼 여지가 있다. 해외에 기반을 둔 가상자산사업자도 국내에서 영업을 하기 위해서는 금융당국에 신고 수리를 하는 것이 원칙이다. 신고수리 과정을 거치지 않은 채 한국인을 상대로 영업하는 외국 사업자는 사이트 접속차단 조치 및 형사 고발을 당할 수 있다.
정지열 한국자금세탁방지전문가협회 회장은 “불법 미신고 가상자산사업자에 소중한 개인정보를 제공하는 것은 매우 위험한 행위이고 법률적으로도 보호받지 못한다”며 “파이코인의 KYC는 정상적이지 않은 방식이며, 본인이 스스로 개인정보를 제공한 것이기 때문에 사기 범죄 등에 연루됐을 때 큰 피해를 볼 수 있다”고 설명했다.
이형두기자 dudu@etnews.com