인쇄하기
특정금융거래정보의 보고 및 이용 등에 관한 법률(이하 “특정금융정보법령”)에 따라 자금세탁방지의무 이행을 위하여 해외 거래소로 가상자산을 이전하면서 송수신인의 개인정보를 해외 거래소에 제공한 행위가 개인정보 국외이전 규정 위반으로 문제되었습니다. 개인정보보호위원회(이하 '개인정보위')는 2026. 6. 24. 제12회 전체회의에서 ㈜빗썸의 개인정보 국외이전 규정 위반행위에 대하여 과징금 2억 1천만 원을 부과하고 시정명령을 의결하였습니다. 같은 날 개인정보위는 「블록체인 서비스 개인정보 보호 가이드라인」도 함께 발표하였습니다.
가상자산사업자는 트래블룰 준수 과정에서 개인정보 국외이전 동의·고지, 개인정보 처리방침, 해외 수령자 관리체계까지 함께 점검할 필요가 있습니다.
1. 트래블룰의 의의와 적용범위
트래블룰(Travel Rule)은 가상자산사업자가 고객의 요청에 따라 가상자산을 다른 가상자산사업자에게 이전하는 경우, 가상자산과 함께 송신인 및 수신인에 관한 정보를 상대방 사업자에게 제공하도록 하는 제도입니다. 특정금융정보법령에 근거하여 2022년 3월 25일부터 시행되고 있으며, 현재는 1백만 원 상당 이상의 가상자산을 이전하는 경우에 한하여 적용됩니다. 송신인과 수신인의 성명, 가상자산 주소 등이 제공되며, 필요한 경우 생년월일과 같은 추가 정보가 함께 제공되기도 합니다.
2. 자금세탁방지 목적의 정보제공과 국외이전 요건
개인정보 보호법 제28조의8 제1항은 개인정보의 국외이전을 원칙적으로 제한하면서, ① 정보주체의 별도 동의, ② 법률·조약·국제협정에 개인정보 국외이전에 관한 특별한 규정이 있는 경우, ③ 계약 체결 및 이행을 위한 처리위탁·보관이 필요한 경우, ④ 개인정보 보호 인증 및 필요한 보호조치를 갖춘 경우, ⑤ 이전 국가 또는 국제기구의 개인정보 보호체계가 국내법상 보호수준과 실질적으로 동등하다고 개인정보위가 인정하는 경우 등 일정한 사유가 있는 경우에 한하여 개인정보의 국외이전을 허용하고 있습니다.
특히 위 ②의 경우 ‘법률 등에 개인정보의 국외 이전에 관한 특별한 규정이 있는 경우’를 예정하고 있으므로, 특정금융정보법령상 트래블룰 이행을 위해 송·수신인 정보를 제공할 필요가 있다는 사정만으로 개인정보 보호법상 국외이전 요건이 당연히 충족된다고 보기는 어렵습니다. 실제로 개인정보위는 자금세탁방지를 위한 개인정보 제공의 필요성 자체는 인정하면서도, 개인정보 국외이전은 정보주체의 개인정보 자기결정권과 밀접한 사항이므로 개인정보 보호법상 요건과 절차를 별도로 준수해야 한다고 판단하였습니다.
개인정보 보호법 제28조의8은 국외이전 동의를 받을 때 이전되는 개인정보 항목, 이전 국가, 이전 시기 및 방법, 이전받는 자, 이용목적 및 보유·이용기간 등을 정보주체에게 미리 알리도록 하고, 해당 사항이 변경되는 경우 다시 알리고 동의를 받도록 정하고 있습니다. 따라서 개인정보 국외이전 동의는 포괄적으로 받는 것만으로 충분하지 않고, 구체적으로 동의받은 정보 수령자에게 정보가 제공되도록 관리되어야 합니다.
3. 블록체인 서비스 개인정보 보호 가이드라인의 시사점
개인정보위가 이번 제재와 함께 발표한 「블록체인 서비스 개인정보 보호 가이드라인」은 특정금융정보법이나 트래블룰을 직접 다루고 있지는 않습니다. 다만 가이드라인은 블록체인 서비스에서 온체인 정보와 오프체인 정보가 결합되는 경우 개인정보 보호 이슈가 발생할 수 있고, 참여자 간 정보 공유가 제3자 제공 또는 처리위탁 등에 해당하는지 검토할 필요가 있다고 설명하고 있습니다.
3. 블록체인 서비스 개인정보 보호 가이드라인의 시사점
개인정보위가 이번 제재와 함께 발표한 「블록체인 서비스 개인정보 보호 가이드라인」은 특정금융정보법이나 트래블룰을 직접 다루고 있지는 않습니다. 다만 가이드라인은 블록체인 서비스에서 온체인 정보와 오프체인 정보가 결합되는 경우 개인정보 보호 이슈가 발생할 수 있고, 참여자 간 정보 공유가 제3자 제공 또는 처리위탁 등에 해당하는지 검토할 필요가 있다고 설명하고 있습니다.

이러한 내용은 가상자산사업자가 트래블룰을 이행하는 과정에서도 참고할 수 있습니다. 지갑주소 자체가 항상 개인정보에 해당한다고 단정하기는 어렵지만, 거래소가 보유한 회원정보, 실명확인 정보, 거래내역, 송·수신인 정보 등과 결합되는 경우에는 특정 개인을 식별할 수 있는 정보로 평가될 수 있습니다. 따라서 트래블룰에 따른 정보 제공은 단순히 AML 목적의 정보 전송으로만 볼 것이 아니라, 온체인 정보와 오프체인 개인정보가 결합되고 해외 사업자에게 제공되거나 조회될 수 있는 개인정보 처리 과정이라는 점도 함께 고려할 필요가 있습니다.
4. 실무상 시사점 및 점검사항
가상자산사업자는 트래블룰 이행 과정에서 개인정보 보호법상 국외이전 요건이 함께 충족되고 있는지 점검할 필요가 있습니다. 특히, 금융위원회는 100만원 이상 가상자산 이전거래에 적용되던 트래블룰의 기준금액을 폐지하는 내용의 특정금융정보법 시행령 및 감독규정 개정안을 입법예고한 바 있어 트래블룰 적용범위가 금액이나 수량의 제한없이 확대될 수 있습니다.
국외이전 동의는 최초 회원가입 단계에서 포괄적으로 동의를 받았다는 사정만으로 충분하지 않을 수 있습니다. 실제 이전받는 자, 이전 국가, 이전 항목, 이전 목적 등이 변경되는 경우에는 정보주체에게 이를 알리고 다시 동의를 받아야 하므로, 해외 거래소 제휴, 트래블룰 솔루션 시스템 변경, 클라우드 또는 중개 시스템 변경 시에는 AML 관점의 검토와 함께 개인정보 국외이전 해당 여부와 동의 범위를 추가로 확인하고 점검하는 프로세스가 마련되어야 할 것입니다.
4. 실무상 시사점 및 점검사항
가상자산사업자는 트래블룰 이행 과정에서 개인정보 보호법상 국외이전 요건이 함께 충족되고 있는지 점검할 필요가 있습니다. 특히, 금융위원회는 100만원 이상 가상자산 이전거래에 적용되던 트래블룰의 기준금액을 폐지하는 내용의 특정금융정보법 시행령 및 감독규정 개정안을 입법예고한 바 있어 트래블룰 적용범위가 금액이나 수량의 제한없이 확대될 수 있습니다.
국외이전 동의는 최초 회원가입 단계에서 포괄적으로 동의를 받았다는 사정만으로 충분하지 않을 수 있습니다. 실제 이전받는 자, 이전 국가, 이전 항목, 이전 목적 등이 변경되는 경우에는 정보주체에게 이를 알리고 다시 동의를 받아야 하므로, 해외 거래소 제휴, 트래블룰 솔루션 시스템 변경, 클라우드 또는 중개 시스템 변경 시에는 AML 관점의 검토와 함께 개인정보 국외이전 해당 여부와 동의 범위를 추가로 확인하고 점검하는 프로세스가 마련되어야 할 것입니다.
***
법무법인(유) 린 AML/CFT팀은 특정금융정보법상 금융회사등과 가상자산사업자 등 AML/CFT 의무대상 사업자를 대상으로 가상계좌 관련
AML/CFT 내부통제 점검, 가맹점 및 하위가맹점 관리체계 검토, 고객확인 및 의심거래보고 체계 자문, 지급결제·정산 구조 관련 자금세탁방지 리스크 분석 등 자문을 제공하고 있습니다.
특히 금융기관의 외국환·국제거래·고객확인 실무와 핀테크 해외송금·지급서비스 컴플라이언스 경험을 바탕으로, 법령 해석뿐 아니라 실제 업무흐름과 검사 대응 가능성까지 고려하여 관련 이슈를 검토하고 있습니다.
관련하여 보다 상세한 논의가 필요하시다면
언제든지 법무법인(유) 린 AML/CFT팀(Tel. 02-3477-8695)에 문의해 주시기 바랍니다.

