내 홍채정보가 나도 모르게 해외로?...‘월드코인’에 11억 과징금

고학수 개인정보보호위원장이 지난 25일 정부서울청사에서 개최된 2024년 제16회 위원회 전체회의에서 의사봉을 두드리고 있다. 개인정보위 제공

월드코인재단 및 TFH의 개인정보 처리 흐름. 개인정보위 제공

가상자산을 대가로 생체정보를 무단 수집해 해외로 보낸 '월드코인' 관계사들에 총 11억400만원의 과징금 처분이 내려졌다.

개인정보보호위원회는 2024년 제16회 전체회의를 열고 개인정보보호법을 위반한 월드코인파운데이션(월드코인재단)에 과징금 7억2500만원, 툴스포휴머니티(TFH)에 과징금 3억7900만원을 부과하기로 의결했다고 26일 밝혔다. TFH는 월드코인재단으로부터 개인정보 처리 업무를 위탁받아 가상자산 지갑 앱 '월드앱'을 개발·운영하고 있다.

개인정보위의 조사 결과, 월드코인재단과 THT는 합법 처리 근거 없이 국내 정보주체의 홍채정보 등 개인정보를 수집하고 이를 국외로 이전하면서 개인정보보호법상 의무를 준수하지 않은 것으로 확인됐다. 지난 6일 기준으로 국내에서 9만3463명이 '월드앱'을 다운로드받았고 이 중 2만9991명이 홍채 인증을 했다.

먼저, 월드코인재단은 오브(홍채인식기)를 통해 정보주체의 홍채를 촬영한 후 이를 활용해 홍채코드를 생성하면서 국내 정보주체에 '수집·이용 목적' 및 '보유·이용 기간' 등 보호법에서 정한 고지사항을 제대로 알리지 않았다. 특히 홍채코드는 그 자체로 개인을 유일하게 식별할 수 있고 변경 불가능한 민감정보(생체인식정보)로, 보호법상 그 처리를 위해서는 별도로 동의 받고 안전성 확보조치 등을 해야 하는데 이를 위반했다.

또한 월드코인재단과 TFH가 홍채코드를 비롯해 국내 정보주체로부터 수집한 개인정보를 독일 등 국외로 이전하면서 '개인정보가 이전되는 국가', '개인정보를 이전받는 자의 성명(법인명) 및 연락처' 등 보호법에서 정한 고지사항을 정보주체에 알리지 않았다. 지난 4월 조사 과정에서 해당 기능·절차가 추가되기 전까진 홍채코드 삭제 및 처리정지 등을 요구할 수 있는 방법이 없었고 '월드앱' 가입 시 만 14세 미만 아동의 연령 확인 절차도 미흡했다.

이에 개인정보위는 월드코인재단의 민감정보 처리 및 국외 이전 관련 의무 위반, TFH의 국외 이전 관련 의무 위반에 대해 각각 과징금을 부과했다. 월드코인재단에는 민감정보 처리 시 별도 동의를 충실히 받고, 최초 수집 목적 외 사용되지 않도록 보장하며, 정보주체 요청에 따른 삭제 기능을 실효적으로 제공하도록 시정명령·개선권고를 함께 부과했다. TFH에도 '월드앱' 내 연령 확인 절차 도입하고 국외 이전 시 법정 고지사항을 충분히 알리도록 개선권고를 했다.

개인정보위는 "세계적인 인공지능(AI)·디지털경제사회 확산 속에 인간의 고유한 속성인 바이오 등 민감정보의 이용과 개인 데이터의 국외 이전 또한 계속 증가하고 있다. 개인정보가 안전하게 보호되며 활용되기 위해서는 처리자(사업자)의 보호법상 의무 및 책임에 대한 인식과 준수가 어느 때보다 강하게 요구된다"며 "앞으로도 신기술·신서비스에 대해 개인정보 주체의 권리가 충실히 보장되며 활성화될 수 있도록 지속적으로 점검·지원해나갈 계획"이라고 전했다.

데미안 키어런 TFH 최고개인정보보호책임자(CPO)는 "TFH는 개인정보보호위원회의 부단한 노력에 감사를 표하며, 앞으로도 최고 수준의 개인정보 보호 기준을 지키면서 한국의 디지털경제에 기여할 수 있기를 기대한다"고 밝혔다.

팽동현기자 dhp@dt.co.kr