블록체인 기술은 GDPR을 준수할 수 있을까?
이 글은 개인정보보호페어 2018 법무법인 민후 김경환 변호사님의 KEY NOTE를 바탕으로 작성했습니다.
Edit By 박지원 (고려대)
4차 산업혁명에서의 기술 혁신과 산업 발전에 개인정보를 포함한 데이터의 활용은 필수적이다. 박노형 고려대학교 교수는 ‘지능 정보화 사회 대응 개인정보보호 세미나’ 기조연설에서 이에 대해 “개인정보 보호 권리는 인간의 기본권이지만, 절대적 권리는 아니다”며, “다른 인권과의 조화도 필요”하고, “‘개인정보보호’와 ‘개인정보 활용’ 사이에서 균형도 필요하다”고 지적했다. 즉, 경제 성장을 위해 데이터 기반의 산업이 필연적인 환경에서, 높은 수준의 개인정보보호 규제만이 올바른 답안은 아니라는 뜻이다. 해결하기 어려운 문제지만 결국 과학기술과 사회규제는 수레의 두 바퀴처럼 상호 보완하며 함께 발전해 나가야 한다.
현재 많은 국가는 이런 사회 변화와 수요에 대응하여 균형 잡힌 사회 규제를 정립하기 위해 노력하고 있다. 특히 데이터 관련 산업이 발전하면서, 개인정보보호의 법적 규제에 대한 관심이 높아졌다. 지능 정보화 사회에 대응하여, 개인정보를 엄격하게 보호하고, 사용자에게 더 많은 권한을 부여하자는 노력에서 유럽연합(EU)은 2018년 5월 25일부터 EU의 개인정보보호 규정인 GDPR(General Data Protection Regulation)을 실행했다. 하지만, 블록체인 같은 신기술이 GDPR에 포함한 개인정보보호 규정을 완전히 실행하는데 일정 어려움이 존재하고 있다. 이 글에서는 이 어려움과 관련해 어떤 쟁점이 있는지 살펴보고자 한다.
첫 번째는 블록체인에 저장된 거래정보에 GDPR에서 규정한 개인정보가 존재하는지에 대한 논의다.
GDPR 제4조 제1항에서는 개인정보를 식별된 또는 식별 가능한 자연인(‘개인정보주체’)과 관련한 일체의 정보로 정의한다. 블록체인은 어카운트 생성 시, 개인정보 주체를 나타내는 개인키와 비대칭 암호 키를 생성하는 알고리즘을 통해 개인키의 쌍인 공개키를 만들어낸다. 그 후 트랜잭션을 보낼 경우, 결괏값을 가지고는 입력값을 추정하기 어려운 해시 함수로 공개키를 암호화시켜 정보를 저장한다. 비록 블록체인 내의 정보가 암호화되어 식별된 개인정보주체의 정보는 아닐 수 있지만, 공개키 자체가 정보 주체를 식별하는 기능을 가지고 있기 때문에 식별 가능한 개인정보주체인지에 대한 논쟁은 피하기 어렵다.
법적 맥락 속에서 블록체인의 기술은 GDPR의 제4조 제5항에 정의된 가명처리(Pseudonymisation)에 해당한다. 가명처리 정보는 추가 정보를 이용하여 개인을 식별할 수 있는 정보를 말한다. GDPR의 Recital 26항에서는 추가 정보를 이용한다는 의미를 “합리적으로 예상되는 모든 수단” 뿐만 아니라 “식별하기 위해 소요되는 비용과 시간 등 객관적인 요소”를 고려하고, “처리 당시 가용한 기술과 기술적 발전을 모두 고려해야한다”의 단서를 붙이고 있다. 결국, 블록체인에서 해시값으로 저장된 최종 어카운트 주소를 개인정보로 취급할지에 대한 법적 판단은 블록체인의 암호화된 정보가 얼마나 안전하게 보안 되는지를 근거로 해석할 수 있다.
두 번째는 GDPR의 책임과 의무를 이행할 대상자가 누구인지에 대한 쟁점이다.
블록체인 내의 정보도 GDPR에 영향을 받는 개인정보에 포함한다면, 블록체인의 정보를 관리하고 처리하는 의무를 갖는 대상자가 누군지에 대한 논의가 필요하다. GDPR은 개인정보처리자(controller)와 수탁처리자(processor)로 나누어 법적 의무를 부여한다. 이때 GDPR의 개인정보처리자는 “단독으로 또는 제3자와 공동으로 개인정보 처리의 목적 및 방법을 결정하는” 자이며, “제3자와 공동”의 의미인 joint-controller라는 개념도 정의에 포함시켰다. 수탁처리자는 “개인정보처리자를 대신하여 개인정보를 처리하는” 자다.
일반적인 중앙집권화 체계를 이용하는 공공기관과 산업에서는 정보처리자와 수탁처리자를 쉽게 확인할 수 있다. 하지만 블록체인 같은 분산원장기술을 이용하는 시스템은 이 둘의 역할을 완벽하게 확인하는 데 어려움이 있다. 블록체인은 중앙에 데이터를 관리하는 책임자가 존재하지 않고, 사용자들이 모든 데이터를 생산하고 공유한다는 점 때문이다. 물론 허가를 받은 사용자만이 새로운 블록을 인증할 수 있는 프라이빗 블록체인도 존재한다. 이 경우는 블록체인 운영자를 개인정보처리자로 볼 수 있다. 하지만 비트코인이나 이더리움 같은 퍼블릭 블록체인에서는 이론상으로 누구나 개인정보를 블록에 저장할 수 있고, 이렇게 개인정보를 등록하는 모든 사용자는 정보처리자로, 블록을 공유하고 있는 모든 사용자는 수탁처리자로 GDPR을 적용할 수 있다. 프라이빗 블록체인에서도 같은 이유에서 노드 사용자를 수탁처리자라고 해석할 가능성이 있다.
하지만 전 세계에 있는 노드 사용자들이 계속 바뀌는 블록체인 환경에서 과연 현실적으로 노드 사용자 모두에게 정보처리자 또는 수탁처리자의 책임을 부여할 수 있는지에 대한 문제가 남아있다. 또한 그럴 경우 어떤 국가의 법을 적용받아 재판할지에 대한 문제도 있다.
마지막 쟁점은 GDPR에 나타난 삭제권과 정정권에 대한 논의다.
GDPR의 제16조 정정권과 제17조 삭제권(잊힐 권리)은 개인정보 주체가 갖는 권리와 개인정보처리자의 의무를 설명한다. 제16조 정정권은 개인정보 주체가 “본인에 관하여 부정확한 개인정보를 부당한 지체 없이 정정하도록 개인정보처리자에게 요구할 권리를” 갖고, “처리 목적을 참작하여 추가 진술을 제공할 수단을 통하는 등, 불완전한 개인정보를 보완할 권리”를 부여한다. 또한 제17조 삭제권은 개인정보주체가 “본인에 관한 개인정보를 부당한 지체 없이 삭제하도록 개인정보처리자에게 요청할 권리” 뿐만 아니라 개인정보처리자가 개인정보를 삭제할 의무가 있는 경우, 제17조 제2항에서는 “가용기술과 시행비용을 참작하여” 의무를 수행한다는 단서를 붙인다.
퍼블릭 블록체인은 중앙 관리자가 없으며, 데이터를 저장하는 방식에 있어서 분산원장기술이 적용된다. 따라서 블록체인은 기술 자체적으로 데이터를 삭제하거나 정정하는 것이 불가능하게 만들어졌다. 비록 삭제권과 관련하여 GDPR에 정의된 “가용기술과 시행비용을 참작하여”라는 법안을 고려할 때, 블록체인은 GDPR에 적용되지 않을 수 있다. 그렇다면, 블록체인에서 개인정보를 정정하거나 보완할 수 있는 현실적인 방법이 존재하는가? 최근 GDPR 정정권과 삭제권을 블록체인 기술에 호환시키는 최선의 방법 중 가장 많이 논의되고 있는 방법은 “off-chain storage” 방식이다.
"The Blockchain-GDPR Paradox"에서 Andries Van Humbeeck는 블록체인이 아닌 외부 데이터베이스에 개인정보를 저장하고, 블록체인에는 데이터의 저장 위치, 해시함수, 개인정보 보호와 권한 등을 저장시키는 "off-chain storage" 방식을 소개한다. 이 경우 블록체인은 데이터를 저장하는 역할이 아니라, 체인에 저장된 해시함수와 개인정보 권한 등의 데이터를 검증하여, 실제 저장된 개인정보에 접근시키거나 접근하지 못하도록 통제 역할을 한다. 하지만 이 경우 개인정보는 블록체인이 아닌 외부 데이터베이스에 저장되기 때문에, 전통적인 데이터 저장방식과 근본적으로 차이가 없다. 따라서 오히려 불변성이라는 특징 때문에 가지는 블록체인의 높은 보안성이라는 장점을 적용시킬 수 없다.
믿을 수 있는 제3자 없이도 참여자들간의 신뢰성 문제를 기술로 해결했다는 점에서 블록체인은 혁신적이다. 중앙에서 관리하고 통제하던 많은 거래를 탈중앙화시켜 블록체인 참여자들에게 더 큰 권한을 부여하기에, 이는 기술혁신을 넘어 사회와 경제 전반에 패러다임 변화를 가져올 것이라는 긍정적인 목소리도 크다. 안타깝게도 빠르게 발전하는 신기술에 비해 사회 규제와 행정 분야는 정체되어있는 경우가 더 많다. 앞서 살펴본 몇 가지 쟁점은 블록체인에 저장된 개인정보가 GDPR의 완전한 보호를 받기 위해 겪을 수 있는 기술적 장애물을 시사했다. 블록체인이 합리적으로 사회 전반에 적용되고, 블록체인 산업 관계자들에게 혼란을 최소화 시킬 수 있는 법적 용어와 균형잡힌 규제가 시급하다.
