2024-10-07 01:45 (월)
월드코인, 개인정보보호법 위반으로 11억 400만 원 과징금…사용자 동의없이 민감정보 수집
상태바
월드코인, 개인정보보호법 위반으로 11억 400만 원 과징금…사용자 동의없이 민감정보 수집
  • 길민권 기자
  • 승인 2024.09.26 14:30
이 기사를 공유합니다

월드코인 재단, 사용자들의 홍채 촬영해 이를 기반으로 홍채코드 생성
민감정보 처리 및 국외 이전 관련 의무 위반으로 과장금 부과

개인정보보호위원회(위원장 고학수)는 월드코인 재단(Worldcoin Foundation)과 툴스 포 휴머니티(Tools for Humanity Corporation, 이하 TFH)에 대해 개인정보보호법 위반 혐의로 총 11억 400만 원의 과징금을 부과했다고 밝혔다. 이번 처분은 최근 월드코인의 개인정보 수집 방식에 대한 논란이 지속되면서 이루어진 것으로, 국내 사용자들의 민감정보 처리와 국외 이전 과정에서의 법적 의무 위반이 주요 사유로 지적되었다.

개인정보보호위원회는 올해 2월 월드코인이 가상자산 '월드코인'을 제공하는 대가로 국내 사용자들의 홍채정보를 무단으로 수집하고 있다는 민원이 제기되자 조사를 시작했다. 조사 결과 월드코인 재단과 TFH가 국내 정보주체의 홍채정보를 합법적인 처리 근거 없이 수집하고, 국외로 이전하면서 개인정보 보호법상의 의무를 지키지 않은 것이 확인되었다.

월드코인 재단은 사용자들의 홍채를 촬영해 이를 기반으로 홍채코드를 생성했으며, 이 과정에서 정보주체에게 수집 및 이용 목적, 보유·이용 기간 등을 제대로 고지하지 않았다. 특히 홍채코드는 변경이 불가능하며 개인을 유일하게 식별할 수 있는 민감정보임에도 불구하고, 별도의 동의 절차나 안전성 확보 조치가 부족했던 것으로 드러났다.

홍채코드의 수집과 관련하여 월드코인 재단은 'Biometric Data Consent Form'이라는 문서를 통해 개인정보 처리에 대한 상세한 내용을 공개했으나, 해당 내용은 영어로만 제공되어 국내 사용자들의 이해를 방해했다. 이후 2024년 3월 22일에서야 한글 양식이 공개되었다.

또한, 월드코인 재단과 TFH는 국내 정보주체로부터 수집한 홍채코드를 비롯해 이름, 이메일, 전화번호 등 개인정보를 독일 등 해외로 이전하면서 법적으로 고지해야 할 ‘개인정보 이전 국가’, ‘이전받는 자의 정보’ 등에 대한 내용을 정보주체에게 알리지 않았다. 이는 명백한 국외 이전 의무 위반으로 지적되었다.

조사 과정에서 월드코인 재단은 홍채코드 삭제 기능 및 정보주체의 권리 보장 절차를 마련하지 않은 것으로 밝혀졌다. TFH 역시 월드앱 가입 시 만 14세 미만 아동의 연령 확인 절차가 제대로 이루어지지 않았다는 점이 확인되었다. 이에 월드코인 재단은 조사 도중 홍채코드 삭제 기능을 마련하고, 국내 홍채정보 수집 재개 시 신분증 확인 절차를 도입했다.

개인정보보호위원회는 월드코인 재단의 민감정보 처리 및 국외 이전 관련 의무 위반에 대해 7억 2,500만 원, TFH의 국외 이전 의무 위반에 대해 3억 7,900만 원의 과징금을 각각 부과했다. 이와 함께 월드코인 재단에는 민감정보 처리 시 별도 동의를 충실히 받을 것, 홍채정보 등 개인정보가 최초 수집 목적 외에 사용되지 않도록 할 것, 정보주체의 요청에 따라 삭제 기능을 제공할 것 등을 명령했다. TFH에는 월드앱 내 연령 확인 절차를 강화할 것과 개인정보 국외 이전 시 법정 고지사항을 충분히 알릴 것을 권고했다.

한편 월드코인 측은 이번 조사 및 심의 과정에서 "홍채코드는 중복 가입 여부 확인을 위한 용도이며, 특정 개인을 식별하는 것이 어렵기 때문에 익명정보에 해당한다"고 주장했다. 또한 "홍채코드 처리과정에 최신 기술을 적용해 보안성을 강화하고 있다"고 설명했다.

개인정보보호위원회는 월드코인 측의 설명에도 불구하고, 홍채코드가 개인별로 고유하며 변경 불가능한 특성을 지닌다는 점, 정보주체로부터 직접 촬영된 홍채 이미지를 활용해 생성된다는 점을 종합 고려해 해당 정보를 민감정보로 판단했다. 특히, 국내 정보주체의 유효한 동의 없이 홍채정보를 수집·이용한 점은 보호법 위반으로 결론지었다.

이번 조치는 개인정보의 안전한 처리와 국외 이전 과정에 대한 중요성을 강조한 사례로 볼 수 있다. 개인정보보호위원회는 “향후 인공지능(AI) 및 디지털 경제사회에서 바이오 등 민감정보의 이용이 증가할 것으로 예상되는 만큼, 관련 사업자들의 보호법상 의무 및 책임에 대한 인식과 준수가 더욱 요구된다”고 강조했다. 앞으로도 개인정보보호위원회는 신기술·신서비스에 대한 지속적인 점검과 지원을 통해 개인정보 보호의 권리가 충실히 보장될 수 있도록 노력할 계획이다.

★정보보안 대표 미디어 데일리시큐 /Dailysecu, Korea's leading security media!★

■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★