법과 기술은 떼려야 뗄 수 없는 관계다. 기술이 실제로 실생활에 쓰이게 되는 순간 법적 적용을 받기 때문이다. 기술이 발전하기 위해서는 그에 맞는 법 제정이 필요한 이유다.
블록체인 기술도 마찬가지다. 블록체인 서비스는 이르면 올 하반기부터 상용화될 전망이다. 하지만 법적 요건이 뒷받침되지 않는다면 블록체인 서비스는 ‘개인정보 보호’라는 암초에 부딪혀 좌초될 가능성도 배제할 수 없다.
데이터가 여러 사람에게 공유돼 위변조가 불가능한 블록체인과 개인정보를 보호하기 위한 개인정보보호법은 ‘투명성’과 ‘프라이버시’라는 상충된 지점이 존재한다.
업계에서는 블록체인 서비스가 상용화되기 위해서는 이러한 법적 문제를 고려해야 한다는 논의가 계속되고 있다.
지난 8일 서울 성수동 아띠호텔에서 열린 제24회 서울이더리움 밋업에서 황현철 큐빅힐 대표는 ‘GDPR, 프라이버시와 블록체인’을 주제로 이와 같은 문제를 풀기 위한 업계의 노력과 향후 나아가야 할 방향을 제시했다.
■ GDPR 위반 시 연 매출 4% 벌금…”블록체인상에 올라가는 암호화된 정보도 개인정보”
유럽의 개인정보보호법(GDPR)은 개인정보 보호를 강화하기 위해 유럽연합(EU)이 제정한 개인정보보호법으로, 지난해 5월부터 전격 시행됐다.
GDPR은 단순히 EU 내에 있는 기업·국가를 대상으로만 하지 않는다. EU 시민 또는 기업에 제품, 서비스를 판매할 때도 GDPR은 똑같이 적용된다. 그런 의미에서 GDPR은 유럽 국가뿐 아니라 전 세계에 영향을 미치는 매우 강력한 개인정보보호법으로 분류된다.
과징금 규정도 한국의 개인정보보호법보다 훨씬 세다. 한국의 개인정보보호법을 위반했을 경우 최대 5천만원을 배상해야 하는 반면, GDPR은 위반 정도에 따라 위반기업에 전년도 전 세계 연 매출 4% 또는 2천만 유로(약 255억원) 중 더 높은 금액의 과징금이 부과된다.
황 대표는 “법은 기술 중립적으로 만들려고 최대한 고려하지만, 법에서 고려한 기술은 현재까지 또는 과거의 기술이지 앞으로 나올 기술이 아니다”라며 “GDPR이 발의될 때는 탈중앙화된 시스템이나 ‘토큰노믹스(토큰과 경제를 합친 신조어)’와 같은 상황을 가정하지 않았기 때문에 법과 블록체인이 상충되는 요소들이 많다”고 지적했다.
블록체인상에 올라가는 정보가 GDPR에 적용되는지 알기 위해서는 먼저 해당 정보가 ‘개인정보’로 분류되는지 확인해야 한다. GDPR은 개인정보의 수집과 저장.전송.사용 등 개인정보를 처리하는 방법을 규제하는 법으로, 개인정보가 아니면 GDPR의 적용을 받지 않기 때문이다.
GDPR에서 말하는 개인정보는 식별이 되었거나 혹은 식별이 가능한 자연인과 관련된 모든 정보를 말한다. 식별이 가능하다는 것은 직접적인 것뿐 아니라 간접적으로 여러 데이터로부터 추론이 가능한 것을 포함한다.
황 대표는 “우리가 쓰고 있는 해싱(하나의 문자열을 빨리 찾을 수 있도록 주소에 직접 접근할 수 있는 짧은 길이의 값이나 키로 변환하는 것)이나 암호화는 비식별화된 값이지 GDPR 적용이 안 되는 익명화된 정보로 볼 수 없다”며 “개인정보로 취급된다”고 설명했다.
■ 가장 큰 상충점 ‘잊혀질 권리’…구현 가능한 방법은?
개인정보보호법에 따르면 정보 주체는 자신의 개인정보를 정정하고 바꿀 수 있는 ‘정정권’, 개인정보 삭제를 요구할 수 있는 ‘삭제권’, 자신이 원하는 장소로 정보를 옮길 수 있는 ‘이동권’ 등의 권리가 보장된다.
이 중에서도 블록체인과 GDPR이 가장 크게 상충되는 지점은 바로 개인정보를 삭제할 수 있는 삭제권, 즉 ‘잊혀질 권리’다.
블록체인은 데이터가 한번 저장되면 모두에게 공유되면서 데이터의 수정이나 삭제가 어렵다는 특징을 지닌다. 그 때문에 블록체인은 데이터의 위변조가 불가능하다는 장점을 지닌다. 하지만 이런 장점은 개인정보 보호 측면에서는 ‘잊혀질 권리’를 위반하는 점이기도 하다.
그렇다면 ‘잊혀질 권리’는 블록체인상에서 어떻게 구현해야 될까.
황 대표는 이에 크게 네 가지 방안이 제시되고 있다고 소개했다. 첫 번째 방법은 모든 정보를 블록체인 위가 아닌 오프체인(블록체인 밖)에 기록하는 것’이다. 대신 온체인에는 레퍼런스 데이터를 비롯해 정보에 접근할 수 있는 모든 기록을 올려 블록체인의 장점을 살린다. 해당 방법을 사용하는 이용자는 이를 통해 GDPR을 충분히 따랐다고 주장한다.
두 번째 방법은 개인정보를 전부 암호화해서 온체인에 넣고, 삭제해달라는 요청이 오면 암호키만 날려 버리는 방법으로, 현재 제일 많이 논의되는 방식이라고 황 대표는 설명했다. 암호화돼있기 때문에 온체인에 올려놔도 아무도 개인정보에 접근할 수 없고, 암호를 풀 수 있는 암호키를 없애버리면 개인정보가 삭제된 걸로 볼 수 있다는 주장이다.
하지만 해당 방법은 진짜 개인정보가 삭제된 거로 봐야 하는지, 아니면 단순히 접근을 못 하게 한 수준으로 봐야 하는지에 대해 의견이 분분하다. 또 향후 퀀텀 컴퓨팅으로는 암호화가 풀릴 수 있다는 문제까지 존재한다.
이외에도 암호학 기법을 사용하는 방안과 오프체인에 민감한 개인정보는 빼고 올려 온체인하고 교류하면서 해결하는 시큐어 컴퓨팅 등의 방안이 있다.
황 대표는 “이런 여러 방안이 논의되고 있지만 현재 GDPR을 준수하는 완전한 블록체인은 없다”며 “설계 방식부터 개인정보 보호 문제를 잘 고려해 어떤 블록체인을 쓰고 어떻게 관리할 것인지에 따라 컴플라이언스를 만들어야 한다”고 설명했다.
■ 법적 주체·관할권 문제도 존재…”기술 발전 고려한 유연한 법 필요”
데이터 수집·관리·서비스 주체가 블록체인에서는 애매한 경우가 많아 법적 주체를 둘러싼 문제도 존재한다. 노드와 마이너가 데이터 컨트롤러인지 프로세서인지에 대해서도 명확한 정리가 이뤄지지 않았으며, 또 퍼블릭 블록체인인지, 프라이빗 블록체인인지에 따라서도 법적 책임을 지는 주체를 정의하는 방식이 달라진다.
관할권의 문제도 존재한다. GDPR은 개인 데이터를 제3국이나 제3서비스에 옮길 때의 요건도 상세히 정의돼 있다. 황 대표는 “관할권 문제는 굳이 블록체인만의 문제는 아니”라면서도 “전 세계로 분산된 DB인 블록체인의 경우 관할 분과가 어디고, 규정 위반 시 즉각적 고지 의무는 누구에게 있는지 등의 이슈가 많다”고 말했다.
관련기사
- "USB부터 스마트폰까지"…암호화폐, 이젠 지갑 전쟁2019.03.10
- 페이스북·SKT도 눈독...블록체인 신원인증 뜨는 이유2019.03.10
- 구글, 프랑스서 642억원 벌금…"개인정보 보호 위반"2019.03.10
- 애플 CEO "미국도 GDPR같은 프라이버시법 필요"2019.03.10
GDPR과 블록체인의 문제는 단시간에 해결되는 것이 아닌 앞으로 계속 논의해 가야 하는 문제다.
황 대표는 “우리나라는 성문법 체제로 한번 법에 명시되면 바꾸기 힘들기 때문에 너무 세세하게 하위법으로 규정하지 말고, 기술 발전을 충분히 고려한 유연한 법 제정이 필요하다”고 조언했다.