저번 주에는 유럽 내 GDPR을 주제로 규제와 혁신에 대해 논한 Michelle Finck 선임 연구원의 글을 기반으로 우리나라의 규제가 나아갈 방향에 대해 이야기 해보았습니다. 이번 글에서는 실제 GDPR이 어떤 내용을 다루고 있으며 어떻게 블록체인 업계에 영향을 미칠 지에 대해 논의해보도록 하겠습니다.
이전 편이 궁금하신 분들을 위한 전편 바로가기: https://bit.ly/2HBe9iC
본격적으로 규제 내용에 다루기에 앞서 규제에서 사용하는 주요 개념의 정의에 대한 consensus를 이루고자 합니다. 주요 개념들은 다음과 같습니다:
GDPR은 결국 간단히 하자면 데이터 제어 주체로 하여금 개인 정보에 대해 최소한의 데이터를 필요한 기간 동안만 가지고 있고, 가지고 있는 동안 안전하게 지켜야 한다는 규제입니다. 여기에 더해 데이터 주체의 요청 시 데이터를 삭제해야만 합니다. 만일 이를 어길 경우 최대 2천만 유로(약 245억원) 또는 전 세계 매출액의 4% 중 높은 금액을 과징금으로 부과 받게 됩니다.
기본적으로 GDPR이 블록체인에 적합하지 않거나 문제가 되는 부분은 크게 2파트로 나뉘어질 수 있습니다. 그 중 가장 많이 화두에 오른 부분은 아마 많은 분들이 이미 알고 있으실 GDPR이 데이터 주체들에게 부여하는 ‘잊혀질 권리’에 대한 부분입니다. 그리고 다른 한 부분은 규제 대상의 불확실성입니다.
GDPR은 특별한 예외 상황들을 제외하고는(예, 범죄 행위에 대한 증거 등) 데이터 주체들에게 ‘잊혀질 권리’를 부여했습니다. 이 ‘잊혀질 권리’는 데이터 주체가 원할 시 데이터 제어 주체가 데이터 주체에 대한 개인 정보를 모두 삭제해야 한다는 규정입니다. 이쯤 되면 다들 왜 블록체인에 있어서 이 잊혀질 권리가 문제가 되는지 아실 것입니다.
블록체인은 기본적으로 변화 및 삭제가 불가능한 분산형 데이터 저장 방식입니다. 위조를 불가능하게 만들어 보안을 강화시킨 블록체인의 강점이 이 경우 오히려 발목을 잡은 경우라고 할 수 있습니다. 결국 블록체인이 개선되어 다른 방식을 찾지 않는 한 블록체인은 GDPR의 규제 대상이 될 확률이 높습니다.
여기서 어떤 분들은 의문을 가질 수 있을 것입니다. 과연 블록체인이 실제로 ‘개인 정보’를 가지고 있는지 여부에 관해서 말입니다. 그리고 실제로 개인정보를 보유하고 있더라도 블록체인은 정보를 해쉬화하여 알아볼 수 없는 형태로 저장하는데 문제가 될 부분이 존재할까요? 실제로 이더리움의 비탈릭 부테린은 인터뷰를 통해 “블록체인 기술을 제대로 활용한다면 개인정보 저장 문제로 GDPR에 저촉될 가능성이 없다. 개인 정보를 블록체인에 저장하는 어플리케이션이 있다면 블록체인 기술을 완전 잘못 사용하고 있는 것”이라며 GDPR이 블록체인 업계에 미칠 악영향에 대해 일축했습니다.
하지만 법조계의 해석은 조금 다릅니다. Michele Finck 선임 연구원은 “Public Key들 또한 체인에 해시화된 자연인에 대한 정보와 마찬가지로 개인 정보로 취급된다”고 이야기했으며 “암호화된 개인 정보는 원상복귀 불가한 상태로 익명화된 것이 아니라 단순히 ‘가명화’된 상태이기 때문에 EU 법 상으로 여전히 개인 정보로 해석”될 여지가 높다고 본인의 소견을 밝혔습니다.
글로벌 로펌인 Hogan Lovells 또한 Public Key의 반복적 사용이 결국은 그 Public Key가 특정 user를 지칭하는 것을 의미하게 되기 때문에 일종의 ‘개인 정보’로 취급할 수 있다는 소견을 밝혔으며 해쉬 기술이 reverse-engineering(역추산)을 통해 원래의 문서로 돌아가는 것은 불가능한 것이 사실이나 과거 규제 실무진들은 해시 기술에 대해 익명화하는 기술이 아닌, ‘가명화’하는 기술이라는 소견을 밝힌 바 있다고 이야기하며 블록체인 내 암호화된 개인 정보가 GDPR 규제의 영향을 받을 것이라는 전망을 내비쳤습니다.
요약하자면 법조계에서는 현재 상태로는 개인정보의 취급이라는 영역에서 블록체인 기술이 GDPR의 규제권 하에 있으며 따라서 잊혀질 권리를 보장해야 한다는 대상으로 본다는 것입니다.
블록체인과 GDPR의 두 번째 불협화음은 바로 규제 대상 여부의 불확실성입니다. GDPR은 데이터 제어 주체들이 개인정보 보호의 원칙을 지켜야 한다고 이야기하고 있습니다. 블록체인의 특성 상 하나 이상의 데이터 제어 주체가 발생할 확률이 높으며 이 경우 거버넌스 합의를 분석해 각 참여자 별 책임 여부를 조사해야 하게 됩니다. 뿐만 아니라 GDPR 규제에 따르면 데이터 제어 주체들뿐만 아니라 데이터 프로세서들 또한 책임을 지게 될 확률이 높은데 이는 모든 노드가 규제의 대상이 될 수 있음을 의미합니다.
결국 규제에 따르면 블록체인 내 모든 노드들이 규제의 당사자가 될 수 있다는 이야기인데 이는 규제의 적용에 대해서도 많은 의문점을 불러일으키게 됩니다. 많은 법조계인들이 조정의 필요성을 이야기하는 이유이기도 합니다.
결국 요약하자면 개인 정보를 취급하고 있는 블록체인들은 암호화 여부에 관계 없이 GDPR의 규제의 영향하에 속하게 될 것으로 보이며 이에 따라 잊혀질 권리를 제공해야 할 의무를 지게 됩니다. 하지만 현재 블록체인 기술의 특성 상 이와 같은 권리의 이행이 불가능해 보이며 블록체인 업계는 이에 따른 대책이 필요할 것으로 보입니다.
또한 규제의 대상이 명확하지 않다 라는 이유로 현재 규제 대상이 누가 될 지도 불투명해 보이는 상황이므로 결국 수정 및 조정이 필요한 상황인데 입법 기관 특성 상 그 조차도 시일이 걸릴 것으로 보여 여러모로 불투명함이 가중되는 상황으로 보입니다. 우리나라도 규제에 있어 여러 부분들을 살펴서 블록체인 및 여타 신기술의 혁신을 최대한 장려하는 방향으로 정립했으면 합니다.
참고
https://bit.ly/2IVPvc5
https://bit.ly/2qy4wZZ
https://bit.ly/2uR7o9w
COSINT 팀이 궁금하신 분들을 위한 소개글 바로가기: https://bit.ly/2IkyeZM
오늘 하루도 마무리 잘 하시길 바랍니다.