홍채 등 생체정보를 무단으로 수집한 ‘월드코인’ 관계사에 11억원대의 과징금이 부과됐다.
개인정보보호위원회(개인정보위)는 25일 전체회의를 열고 월드코인재단과 ‘툴스포휴머니티’(TFH)에 대해 총 11억400만원의 과징금을 부과하기로 의결했다고 26일 밝혔다. 월드코인 재단에 7억2500만원, TFH에 3억7900만원 등이다.
시정명령 및 개선권고도 함께 부과됐다. 개인정보 국외 이전 시 법정 고지사항을 충분히 알려야한다는 것이다. 개별적으로 월드코인 재단에는 △민감정보 처리 시 별도 동의를 충실히 받을 것 △홍채정보 등 개인정보가 최초 수집 목적 외 사용되지 않도록 보장할 것 △정보주체의 요청에 ᄄ·른 삭제 기능을 실효적으로 제공할 것 등을 시정명령 및 개선권고했다. TFH에는 △월드앱 내 연령 확인 절차를 도입할 것을 명령 및 권했다.
월드코인은 지난해 7월 공식 출시됐다. 월드코인 가상지갑 애플리케이션인 월드앱에 가입, 월드 ID를 생성한 이들은 2주일마다 월드코인을 지급받을 수 있다. 지난 3월 기준 전세계 가입자는 450만명에 달했다.
그러나 지난 2월 “월드코인 측이 가상자산(월드코인)을 대가로 생체정보를 무단으로 수집하고 있다”는 의혹이 제기됐다. 이에 개인정보위는 조사에 착수했다. 조사 결과, 월드코인 재단과 재단으로부터 개인정보 처리 업무를 위탁받은 TFH가 합법 처리 근거 없이 국내 정보주체의 홍채정보 등 개인정보를 수집하고 이를 국외로 이전하면서 개인정보보호법 상 의무를 준수하지 않은 것으로 확인했다.
조사에 따르면 월드앱 아이디 인증 시 이용자는 ‘오브’에 얼굴 및 홍채를 촬영, 홍채코드를 생성해야 했다. 월드코인 재단은 국내 정보주체에게 이같은 홍채 촬영 및 홍채코드 생성의 ‘수집·이용 목적’ 및 ‘보유·이용 기간’ 등 보호법에서 정한 고지사항을 제대로 알리지 않았다. 링크를 통해 관련 내용을 기재했으나 영문으로만 공개했다. 한글 번역본은 지난 3월22일에 공개했다. 특히, 홍채코드는 그 자체로 개인을 유일하게 식별할 수 있고 변경 불가능한 민감정보이기에 별도 동의를 받고 안전성 확보조치 등을 했어야 하나 이를 위반한 것이다.
또한 월드코인 재단 및 TFH가 홍채코드 외에도 이름과 이메일, 전화번호 등 개인정보를 독일 등 국외로 이전하면서 ‘개인정보가 이전되는 국가’, ‘개인정보를 이전받는 자의 성명(법인명) 및 연락처’ 등 보호법에서 정한 고지사항을 정보주체에게 알리지 않은 사실도 확인됐다.
이와 함께 월드코인 재단은 홍채코드의 삭제 및 처리정지 등을 요구하 수 있는 방법·절차를 마련하지 않았다. TFH는 월드앱 가입 시 만 14세 미만 아동의 연령 확인 절차가 미흡한 것으로 확인됐다. 월드코인 재단은 조사에 돌입한 지난 4월 홍채코드 삭제 기능을 마련하고, 국내 홍채정보 수집을 재개하면서 현장 신분증 확인 절차를 도입했다.
조사 과정에서 월드코인측은 홍채코드로는 중복 가입 여부만 확인하기에 익명정보에 해당한다고 설명했으나, 개인정보위는 홍채코드가 유일무이하고 내부적으로도 월드 아이디와 연계된 점 등을 고려해 민감정보 처리에 해당한다고 봤다. 다만 시정명령 등 일정 조건을 부과해 이를 준수하는 범위에서 민감정보의 처리 자체는 금지하지 않았다.
개인정보위는 “전 세계적인 인공지능·디지털 경제사회의 확산 속에 개인정보가 안전하게 보호되며 활용되기 위해서는 사업자의 보호법상 의무 및 책임에 대한 인식과 준수가 강하게 요구된다”며 “앞으로도 신기술·신서비스에 대해 개인정보 주체의 권리가 충실히 보장되며 활성화될 수 있도록 지속적으로 점검 및 지원해 나갈 계획”이라고 강조했다.