블록체인은 GDPR 규제를 준수할 수 있을까

서울이더리움밋업: 황현철 박사 "상용화 위해 GDPR 준수 필수…해결 안 된 지점 많아"

등록 : 2019년 3월 12일 16:29 | 수정 : 2019년 3월 13일 10:43

유럽연합(EU)의 일반개인정보보호규정(General Data Protection Regulation·이하 ‘GDPR’)이 블록체인 서비스 상용화를 위한 주요 이슈로 떠올랐다.

GDPR의 효력이 미치는 범위는 유럽에 한정되지만, 실질적으로는 국경을 넘어 사용되는 모든 서비스가 GDPR 규제 대상이다. 예를 들어, 블록체인 블록에 유럽 거주자의 데이터가 저장되면 해당 데이터는 GDPR 적용 대상이다. 때문에 GDPR을 준수하지 않고서는 글로벌 시장을 타깃으로 한 블록체인 서비스를 상용화하기 어렵다. 문제는 데이터 불변성, 삭제 불가능성 등 블록체인 기술이 갖는 특징과 GDPR이 상충한다는 데 있다.

지난 8일 서울 성동구에서 열린 서울 이더리움 밋업에서 황현철 재미한인금융기술협회(KFTA) 회장은 ‘블록체인 기반 서비스는 GDPR 규제 요건들을 따를 수 있을까’를 주제로 발표하며 “블록체인과 GDPR의 접점을 위한 논의가 계속 이뤄지고 있지만, 아직 해결되지 않은 문제가 많다”라고 지적했다.

황현철 재미한인금융협회 회장. 사진=코인데스크코리아

 

GDPR은 2018년 5월부터 유럽 전역에서 발효된 개인정보의 수집, 저장 및 전송, 사용 등에 대한 규제다. 위반 시 기업의 전 세계 연 매출 4% 또는 2000만유로(우리 돈 250억원) 중 높은 금액을 과징금으로 물어야 한다.

GDPR의 핵심은 정보(데이터)의 주체에게 자신의 데이터에 대한 더 많은 권리와 통제권을 주는 것이다. 정보 주체에게는 자신과 관련된 정보를 정정하거나 삭제해달라고 요구할 권리, 이른바 ‘잊힐 권리’를 보장한다. 정보 관리자(컨트롤러)와 수행자(프로세서)에게는 개인정보 보호에 대한 책임을 부과한다.

지난 8일 서울 성동구에서 제24회 서울 이더리움 밋업이 열렸다. 사진=한수연 기자

지난 8일 서울 성동구에서 제24회 서울 이더리움 밋업이 열렸다. 사진=한수연 기자

 

황 회장은 GDPR이 정보 주체에 보장하는 ▲정보 열람권 ▲정보 정정권 ▲정보 삭제권(잊힐 권리) 등 주요 권리를 설명하며, 현재 블록체인 서비스들이 GDPR을 준수하는 데 문제를 겪고 있다고 지적했다.

먼저 정보 열람권과 관련해, 탈중앙화된 블록체인에서 정보 열람을 요청할 대상을 규정하기 힘들다는 문제가 있다. 정보 정정권과 관련해서는 데이터의 위·변조가 불가능한 블록체인의 특성과 상충한다는 문제가 있다.

황 회장은 “정보를 암호화해 비식별화하는 방안이 논의되고 있지만, 비식별화한 개인정보라도 다른 정보와 결합해 개인 식별이 가능하다면 GDPR 대상”이라면서 “‘익명화’ 측면에서 개인정보 암호화는 불충분하다”라고 지적했다.

황 회장은 또 정보 삭제권(잊힐 권리)을 준수하기 위해서는 ‘잊혀진다는 것, 즉 데이터를 삭제한다는 것’에 대한 기술적 정의가 마련돼야 한다고 말했다.

현재 블록체인 업계에서 GDPR의 잊힐 권리를 보장하기 위한 여러 해결책이 논의되고 있다. 대표적인 방안이 개인정보를 오프체인에 저장해 GDPR을 준수하고, 온체인에는 해당 정보에 대한 접근 정보만 저장하는 방법이다. 이에 대해 황 회장은 “오프체인에 저장된 정보를 관리할 주체가 모호하다는 문제가 여전히 남는다”라고 말했다.

또 다른 방안은 개인정보를 모두 암호화해 온체인에 저장하고, 삭제 요청이 있을 때 암호 키를 제거하는 방법으로 온체인 정보에 대한 접근을 영구히 막는 것이다. 황 회장은 이에 대해 “이때 이를 ‘삭제’됐다고 볼 것인지 혹은 ‘접근이 불가’하게 됐다고 볼 것인지에 대한 이슈가 남아 있다”라고 말했다.

황 회장은 이어 탈중앙화된 블록체인에서 GDPR에 대한 법적 책임의 주체가 모호하다고 말했다. 그는 “프라이빗 블록체인과 퍼블릭 블록체인에서 문제가 다르고, 채굴자와 블록체인 개발자, 토큰 발행자 등을 정보 통제자로 봐야 할지, 애매한 경우가 많다”라고 말했다.