지갑주소는 개인정보인가?
탈중앙화에 기대 놓치고 있는 개인정보
TL;DR
한국의 개인정보보호위원회는 가상자산 지갑주소가 다른 정보와 결합하여 개인을 식별할 수 있다면 개인정보에 해당한다고 명시하고 있다. 이는 지갑주소만으로는 개인정보로 분류되지 않지만, 추가 정보와 결합될 경우 개인정보로 간주될 수 있음을 의미한다.
웹3 서비스에서 지갑주소의 개인정보 분류 여부는 서비스의 형태에 따라 다르며, 대부분의 경우 지갑주소는 개인정보로 분류될 가능성이 높다. 비수탁 지갑을 사용하고 기타 개인정보를 수집하지 않는 경우를 제외하고는 대부분의 경우 지갑주소는 개인정보로 취급된다.
한국에서 가상자산 지갑서비스업자는 VASP로 분류되나, 현재는 통제권의 모호성과 비용 부담으로 인해 많은 업체가 라이선스 신고를 기피하고 있다. 하지만, 앞으로 감독기관의 규제와 감독이 강화될 경우, VASP 라이선스 보유 여부가 지갑서비스 선택의 결정적 요소가 될 수 있다.
웹3 서비스와 개인정보
서비스를 운영함에 있어 데이터 수집과 활용은 빼놓을 수 없다. 수많은 데이터 중에서도 개인을 식별할 수 있는 개인정보는 민감한 데이터로 분류된다. 이에 각 국가들에서는 개인정보 관리, 감독과 관련된 규제를 마련했으며, 한국 역시도 개인정보보호법에 의거하여 개인정보를 철저하게 관리 감독하고 있다.
웹3 서비스 역시 이를 피할 수는 없다. 하지만 일부 웹3 서비스는 “탈중앙화"에 기대어 개인정보의 범위에 대한 명확한 인식과 관리 체계가 소홀하다. 단기적으로는 문제가 없어보이지만, 웹3 서비스 역시 개인정보와 관련된 문제가 제기된다면 규제상 제재 대상이 되고 장기적인 운영 퀄리티 저하를 피할 수 없을 것이다.
지갑주소는 개인정보에 해당하는가?
한국의 개인정보보호위원회에서 발간한 ‘2023 개인정보 보호법 표준 해석례’는 빈번한 문의가 있는 질문 서른 가지를 담고 있으며 그 중 하나가 “코인을 보관하는 가상자산 지갑주소가 개인정보인지?”에 대한 질문이다. 이에 대한 개인정보보호위원회의 답변은 명확하다. 바로, “가상자산 지갑주소 자체만으로는 개인을 알아볼 수 없어도 거래계좌, 이름 등을 통해 특정 개인을 알아볼 수 있다면 개인정보에 해당함" 이라는 답변이다.
하지만 많은 사람들은 지갑주소는 개인정보가 아니라고 생각한다. 착오송금과 관련한 대법원 판례(대법원 2021.12.16. 선고2020도9789 판결) 에 따르면, 지갑주소만으로 그 주소를 사용하는 사람의 인적사항을 알 수 없으며, 신임관계도 없다고 한다. 이처럼 오직 ‘지갑주소’만으로는 개인을 식별할 수 없기에 명확하게는 지갑주소를 개인정보라고 할 수 없다.
하지만 한국 내 개인정보보호법 제2조 제1호에 의하면 “개인정보”란 살아 있는 개인에 관한 정보로서 성명, 주민 등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보(해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 정보)를 말한다고 규정한다. 때문에 지갑주소를 IP주소 등 어떠한 정보와 결합했을 때 특정 개인으로 식별할 수 있다면 이는 개인정보로 볼 수 있다는 것이다.
어떠한 서비스에서 지갑주소는 개인정보가 될까?
결론적으로 지갑주소의 개인정보 분류 여부는 서비스의 형태에 따라 다르지만, 대다수의 경우 개인정보로 분류될 가능성이 높다. 오직 1) 비수탁 지갑의 주소를 서비스에서 직접 관리하지 않고, 2) 기타 개인정보 수집도 하지 않는 경우에만 지갑주소가 개인정보로 분류되지 않는다.
1) 개인정보로 분류되지 않는 경우: 비수탁 지갑, 기타 개인정보 수집 X
비수탁 지갑주소를 직접 서비스에서 저장하지 않고, 기타 개인정보를 수집하지 않는 서비스는 사용자의 신원을 확인하거나 저장하지 않는 탈중앙화 금융(DeFi) 서비스나 NFT 마켓플레이스와 같은 형태이다. 이러한 서비스는 오직 사용자의 지갑주소만을 사용하여 거래를 진행하기에 지갑주소 자체는 단독으로 사용자의 실제 신원을 밝히지 않는다. 이 경우, 서비스는 개인정보를 전혀 다루지 않기 때문에 개인정보처리방침 기재에 대한 법적 의무는 없다. 하지만 사용자에게 서비스의 특성을 명확히 고지하고 투명성과 신뢰 구축을 위해 개인정보 처리방침을 자발적으로 명시하는 것이 권장된다.
2) 개인정보로 분류되는 경우: 그 외의 경우
이 외에 기타 개인정보를 수집하는 웹3 서비스의 경우 수집된 개인정보를 통해 지갑주소로 개인을 식별할 수 있어 지갑주소 역시 개인정보로 분류된다. 또한 수탁형 지갑은 개인키와 지갑에 대한 관리를 중앙화 거래소(CEX)나 특정 기관이 관리하기에 개인정보 수집을 피할 수 없어, 해당 경우에도 지갑주소는 개인정보로 분류된다. 이러한 서비스는 사용자의 지갑주소와 같은 개인정보를 수집, 이용, 보관하는 과정에서 개인정보처리방침을 명시하고 사용자의 동의를 반드시 얻어야 한다.
지갑서비스 선택의 고려사항
위에서 설명한 것과 같인 일반적으로 웹3 서비스에서 지갑주소는 개인정보로 취급되나, 이를 관리하는 주체는 외부의 지갑서비스인 경우가 많다. 현재 국내외로 다양한 지갑서비스가 활동 중인데, 이들은 각기 다른 기능과 편의성을 제공하기에 이를 선택하는 것은 쉽지 않다. 예시로 이전 리포트에서 설명한 것과 같이 게임 서비스를 운영 중이라면 특성에 맞는 지갑을 선택해야 할 것이다.
하지만 그 이전에 한국 규제당국은 “가상자산 지갑서비스업자"를 하나의 가상자산사업자(VASP)로 보고있다. 이는 지갑서비스 역시도 하나의 규제권에 들어온 사업임을 시사한다. 그러나 위 문서에서 볼 수 있듯이 사업자가 개인 암호키를 보유하지 않거나 직접적으로 통제권을 가지지 않은 경우에는 신고 대상에서 제외되는데, 해당 ‘통제권'의 기준이 모호하여 지갑서비스 제공자들 사이에서도 VASP 라이선스 신고가 필수적인지 혼란이 존재한다. 특히 VASP 라이선스 취득을 위해서는 ISMS 인증 등 행정과 비용적인 부담이 커, 현실적으로 다수의 지갑 사업자가 신고를 하지 않는 상황이다.
하지만 추후 감독기관의 감리감독이 강화될 경우 상황은 달라질 수 있다. 예를 들어, 감독기관이 특금법상의 신고 대상을 보다 명확히 규정하고, 지갑서비스업자들의 준수 사항을 엄격히 강화한다면, 지갑서비스의 라이선스 유무는 지갑서비스 선택의 중요한 요소로 부상할 수 있다. 이런 상황에서는 지갑서비스의 선택 기준이 단순히 기능과 편의성을 넘어서 규제 준수의 관점 역시도 중요한 고려사항이 될 것이다.
각 주체가 인식해야할 사항들
웹3 서비스의 등장과 함께 지갑 사용이 늘고 있지만 이용자들의 지갑주소 중요성 인식은 부족하다. 웹3 서비스 이용자의 Transaction 내역은 모두 체인에서 확인할 수 있는데, 이는 지울 수도 없는 기록이다. 만약, 내 지갑주소를 누군가가 나라고 식별한 순간 모든 내역을 타인이 확인할 수 있는 것이다. 특히 최근에는 하나의 지갑주소로 다수의 서비스를 사용하고 있고 있기에 이러한 위험성은 더욱 가중되고 있다. 이에 지금부터도 웹3 서비스 이용자들은 지갑주소의 개인정보 분류에 대한 경각심을 가지고 접근해야 할 것이다.
또한 서비스 개발에 있어서 지갑서비스 선택 시에는 단순히 기능성이나 사용 편의성뿐만 아니라, 해당 지갑서비스의 VASP 라이선스 여부도 하나의 결정 요소로 고려할 필요가 있다. 특히 한국과 같이 개인정보 보호에 대한 규제가 엄격한 국가에서 운영되는 서비스라면, 해당 서비스가 가상자산사업자(VASP)로서 필요한 라이선스를 보유하고 있는지, 개인정보 처리방침이 투명하게 공개되어 있는지 등을 확인해야 할 것이다.
또한, 서비스 제공자들은 사용자의 지갑주소와 같은 개인정보를 취급함에 있어서 개인정보 보호법을 철저히 준수해야 하며, 이용자들에게 충분한 정보를 제공하고 동의를 얻는 과정을 거쳐야 한다. 이는 단순히 법적 의무를 충족시키는 것을 넘어서, 사용자의 신뢰를 얻고 장기적으로 지속 가능한 서비스를 제공하는 데에도 중요한 요소이다.
더 나은 리포트를 제공하기 위해 웹3.0 및 블록체인 시장에 대한 여러분의 의견을 듣고자 합니다.설문에 참여하시면 (소요 시간 1분), 최신 동향을 반영하여 업데이트된 "2024 Country Crypto Matrix" 스프레드시트를 다운로드 받으실 수 있습니다.
Disclaimer
이 보고서는 블록체인 기업 헥슬란트와 협력하여 작성되었으며, 양사 간에는 금전적 거래가 전혀 없음을 명확히 합니다. 이 보고서는 신뢰할 수 있는 자료를 바탕으로 작성되었습니다. 그러나 정보의 정확성, 완전성, 그리고 적합성을 명시적으로나 암시적으로 보증하지 않습니다. 당사는 본 보고서나 그 내용을 이용함에 따른 모든 손실에 대해 책임을 지지 않습니다. 이 보고서의 결론과 권고사항, 예상, 추정, 전망, 목표, 의견 및 관점은 작성 당시의 정보를 바탕으로 하며 예고 없이 변경될 수 있습니다. 또한 타인 및 타조직의 의견과 일치하지 않거나 반대될 수 있습니다. 이 보고서는 정보 제공의 목적으로 작성되었으며, 법률, 사업, 투자, 또는 세금에 관한 조언으로 간주되어서는 안 됩니다. 또한 증권이나 디지털 자산에 대한 언급은 설명을 위한 것일 뿐, 투자 권고나 투자 자문 서비스 제공을 제안하는 것이 아닙니다. 이 자료는 투자자나 잠재적 투자자를 대상으로 하지 않았습니다.