삭제 불가능한 블록체인, 개인정보 보호할 수 있을까
블록체인과 GDPR의 역설
“유럽에선 다들 ‘멘탈붕괴’ 상태다. ‘블록체인 개발을 하지 말라는 이야기냐’라는 반발이 나온다.”(비트레스 류동주 대표)
블록체인이 유럽연합 일반개인정보보호법(GDPR)이라는 복병을 만났다. 등록된 정보의 삭제가 불가능한 블록체인과 개인정보의 삭제권을 보장한 GDPR이 충돌하기 때문이다.
GDPR 시행 첫날 구글과 페이스북 등 글로벌 IT기업들이 무더기로 제소됐고 LA타임스와 시카고트리뷴 등 GDPR 기준을 맞추지 못한 일부 미국 언론사들은 유럽 내 접속을 차단했다. 이런 혼란도 블록체인 업계가 받은 충격과는 비교하기 어렵다.
■삭제 불가능이 가장 큰 문제
블록체인은 암호화된 정보를 블록 단위로 분산해 저장하고 모든 블록들을 체인(외부에서 정보를 읽을 수 없도록 암호화한 숫자인 해시값)으로 연결한다. 중간 블록의 내용이 변경되면 그 이후의 블록의 내용이 모두 변경되어야 한다. 현실적으로 이것이 불가능해 블록체인은 정보의 위변조가 불가능한 비가역성을 갖는다. 블록체인에서 위변조가 불가능하다는 말은 삭제 역시 불가능하다는 것과 같다. 블록체인을 기반으로 한 플랫폼에서 게시물을 쓰거나 댓글을 단 경우 나중에 이를 삭제하고 싶어도 지울 수 없는 것이다.
개인정보의 경우 목적 달성과 관련해 불필요하거나 보존기간이 경과하면 정보를 파기해야 한다. GDPR은 이를 삭제권으로 보장한다. 개인이 검색 엔진이나 기타 플랫폼에서 나와 관련된 정보를 삭제하도록 요청할 수 있는 ‘잊힐 권리’로도 여겨진다. 국내 정보통신망법도 이용자가 자신의 정보가 더 이상 쓰이지 않으면 좋겠다고 생각하면 동의를 철회하고 파기를 요청할 수 있도록 하는데 이 규정이 국내에서는 삭제권을 인정한 것으로 받아들여지고 있다.
블록체인이 비트코인과 같은 암호화폐 거래를 넘어서 헬스케어, 보험 등 다양한 거래가 가능한 플랫폼으로 발전하면서 거래정보는 물론 질병 여부나 DNA와 같은 유전정보 등 민감한 개인정보가 포함될 가능성이 커졌다. 블록체인과 개인정보의 삭제권을 인정하는 GDPR 등의 법규가 상충하는 영역이 커진다는 뜻이다.
■근본 해결책 없어
전문가들 사이에서는 이 문제를 해결하기 위해 3가지 대안이 논의되고 있다. 가장 많은 지지를 받는 것은 블록 바깥에 개인정보를 저장하는 ‘오프 체인 스토리지’(off-chain storage)다. 블록에는 개인정보가 저장된 데이터베이스와 연결되는 참조값 정도만 저장하는 방식이다. 정보 저장의 측면에서 기존의 중앙집중형 방식과 크게 다르지 않아 파기·삭제가 가능하다. 다만 분권이라는 블록체인의 장점이 사라지고 해킹이나 정보조작이라는 기존 중앙집중형 시스템의 단점을 그대로 갖게 된다는 점이 한계다.
개인정보에 접근할 수 있는 암호키를 파기하는 ‘블랙리스트’ 방식도 있다. 다만 암호키 파기가 ‘지워서 없앤다’는 삭제라는 의미에 포함할 수 있냐는 논란이 있다. 누가 암호키 관리를 신뢰할 수 있는 정도로 할 수 있느냐의 문제도 있다. 세 번째로 하드포크 방식이 있다. 하드포크는 기존 블록체인에서 완전히 새로운 버전의 블록체인이 갈라져 나오는 것을 의미한다. 특정 블록을 참여자 전원 합의로 변경하고 포크 이후의 체인을 유지하고 포크 이전의 체인은 유지하지 않고 없애는 방식이다. 이런 방식은 전원 합의라는 과정을 거쳐야 하기 때문에 현실적으로 어렵고 비효율적이라는 문제가 있다. 이 때문에 세 방식 모두 근본적인 해결책은 될 수 없다는 비관론이 나온다.
블록체인과 GDPR이 부딪히는 지점은 개인정보 삭제·파기의 문제 외에도 여럿이다. GDPR은 기업에 정보보호책임자(DPO)를 두도록 하고 있는데 블록체인 상에서 이런 식의 관리 책임을 묻기에는 현실적으로 무리가 있다. 블록체인은 참여자 모두가 각각 전체 정보를 공유·저장하고 거래 내력을 보증하는 일종의 관리자 역할을 수행하기 때문이다. 블록체인 참여자들이 여러 국가에 걸쳐 있을 경우 개인정보와 관련한 분쟁 시 어느 나라의 법원에 가야 하는지 어느 나라의 법을 적용해야 하는지 문제가 될 수 있다. 허가된 참여자만 네트워크에 들어올 수 있는 ‘프라이빗 블록체인’이 아닌 참여자 모두에게 정보가 공개되는 퍼블릭 블록체인에서는 모두 피할 수 없는 문제들이다.
■블록체인과 GDPR의 역설
GPDR의 목표는 시민들에게 개인 데이터에 대한 통제권을 되돌려주는 것이다. 블록체인 역시 중앙이 통제하는 정보를 개인에게 분산해 정보 독점을 막는다. 모두 거대 IT기업이 만들어낸 부작용을 해소할 수 있는 대안이지만 서로 간에는 상충하는 역설적인 상황에 있다. 법무법인 민후의 김경환 변호사는 “가장 시급하고 가장 많의 논의되는 것은 삭제나 파기의 문제”라며 “블록체인과 GDPR이 모두 사회발전과 혁신이라는 공통의 목적을 갖고 있지만 그 수단이 이질적이기 때문에 이를 해결할 수 있는 유연한 입법이 필요하다”라고 말했다.
이와 관련해 지난달 권은희 의원이 개인정보보호법 개정안을 발의해 개인정보의 파기 부분에 “파기 또는 기술적 조치를 통해 내용을 확인할 수 없는 형태로 폐기”하여야 한다는 내용을 더했으나 기술적 조치와 폐기의 의미가 모호하다는 비판은 여전하다.
GDPR에서 “이용 가능한 기술과 삭제 비용을 고려해 필요한 합리적 조치를 취해야 한다”는 내용을 들어 삭제의 예외가 되어야 한다는 주장도 나온다. 정정이나 파기에 대한 권리를 보장해야 하지만 그것이 다른 이용자나 제삼자의 권리를 현저하게 침해하거나 기술적으로 전혀 불가능한 합당한 이유가 있다면 예외가 적용될 여지가 있다는 것이다. 방통위 관계자는 이에 대해 “기술적으로 불가능한 경우까지 삭제를 요구하지는 않는 걸로 알고 있지만 이를 블록체인에 적용할 수 있는지는 확실치 않다”라고 말했다.
이효성 방송통신위원회 위원장과 베라 요로바 유럽연합 집행위원회 사법총국 집행위원이 1일 코엑스에서 GDPR 적정성 평가 관련한 협력 방안 등을 논의하고 있다. 방송통신위원회 제공■국내업체 “삭제 요청 시 조회 안 되게”
블록체인의 개인정보 보호 문제는 국내 기업의 유럽 진출에도 걸림돌이 될 수 있다. 류동주 대표는 “블록체인 안에서 기업정보나 개인정보를 유통할 경우 처음에는 퍼블릭이 아닌 무조건 프라이빗으로 가야 한다”라고 말했다. 류 대표는 “현재는 (모든 퍼블릭 블록체인 사업이) GDPR에 100% 걸릴 것이다”라며 “20여 년 만에 개정된 GDPR이 블록체인 때문에 다시 개정되지는 쉽지 않을 것이다”라고 말했다.
GDPR 개정이 어렵다면 특별법 혹은 예외조항으로 우회 해결할 가능성이 클 것으로 업계는 내다봤다. 분권이라는 블록체인의 특성을 버리긴 아깝기 때문이다. 지난 1일 서울을 찾아 개인정보보호 콘퍼런스 ‘PIS FAIR’에 참석한 베라 요로바 유럽연합 집행위원회 사법총국 집행위원도 비공개 석상에서 이 때문에 “고민스럽다”라고 말한 것으로 알려졌다.
블록체인 플랫폼 구축에 뛰어든 국내 주요 업체들도 정보보호 문제에 고민이 깊다. 다만 대부분이 프라이빗 블록체인이라 삭제 문제에서는 여유로운 편이다. 한 업계 관계자는 “블록체인은 기본적으로 비가역적이긴 하지만 기업용 블록체인은 허가된 사람끼리만 하기 때문에 내부에서 조정할 수 있다고 알고 있다”며 “삭제는 비가역적이라 불가능하지만 삭제 요청 시 조회가 안 되도록 프로그램을 짜 놓는 것은 가능하다”라고 말했다. 이 경우 암호화된 수치인 해시값은 그대로 남아있고 정보만 보이지 않도록 하는 것이라 삭제의 의미에 엄밀히 부합하지는 않는다는 문제는 남는다.
*아래 문서를 참고했습니다. 비밀번호는 mediadot
