“현행 개인정보보호법으로 퍼블릭 블록체인 대응 불가능”
“현행 개인정보보호법으로 퍼블릭 블록체인 대응 불가능”
  • 강진규 기자
  • 승인 2019.02.01 08:38
  • 댓글 0
이 기사를 공유합니다

개인정보보호위원회 정책연구 결과 제도 개선 필요

블록체인 기술이 개인정보보호에 미치는 영향에 대한 조사에서 한국의 현행 개인정보보호법으로는 퍼블릭 블록체인에 대해 대응할 수 없다는 결과가 나와 주목된다. 블록체인에 담기는 정보가 개인정보인지, 블록체인 노드를 개인정보처리자로 볼 것인지 등 기초적인 해석도 어렵다는 것이다. 이에 따라 개인정보와 블록체인에 대한 면밀한 연구와 전문가들의 의견 수렴, 제도 개선 방안 마련이 필요하다는 지적이다.

1일 정부 관계자들에 따르면 개인정보보호위원회는 지난해 하반기 진행한 ‘블록체인 기술이 개인정보보호에 미치는 영향에 관한 연구’ 결과를 최근 공개했다.    

개인정보보호위원회는 블록체인 기술이 확산되고 다양한 분야에 적용되고 있는 상황에서 개인정보와 관련해 블록체인이 어떤 영향을 줄 것인지 또 개인정보보호법이 블록체인에 어떻게 적용될 수 있는지 알아보기 위해 연구를 진행했다. 연구는 법무법인 광장이 수행했다.

더비체인이 확인한 연구결과 보고서에 따르면 블록체인에서 개인정보와 관련해 많은 난제들이 있는 것으로 나타났다.

보고서에 따르면 블록 내에 저장된 거래정보를 개인정보에 해당하는 것으로 볼 것인지 여부부터 불확실하다. 블록에는 이름, 전화번호 등이 아니라 비트코인 주소 등 임의의 식별정보가 저장된다.

그런데 현행 개인정보법규 기준으로 임의의 정보도 다른 정보와 결합해 개인의 식별이 가능하면 개인정보가 될 수 있다.

이에 따라 암호화폐거래소가 암호화폐 지갑 주소와 함께 거래자의 신원에 관한 정보를 수집하고 연계해 활용할 때 개인정보를 처리하고 있다고 볼 수 있다는 것이다. 반면 블록체인 노드에서 처리되는 임의의 식별정보를 개인정보로 볼지 아닐지는 불확실하다고 보고서는 주장했다.

이에 따라 블록체인에서의 정보처리를 제대로 규율하기 위해서는 개인정보의 개념에 대한 보다 심도 있는 검토가 필요하다는 것이다.

이와 관련해 블록체인 네트워크의 노드가 개인정보처리자에 해당하는지 여부도 모호하다고 보고서는 지적했다. 기존 법규에서는 노드가 법률적으로 개인정보처리자에 해당한다는 해석과 해당하지 않는다는 해석이 모두 가능하다는 것이다.

이 부분은 매우 민감한 내용이다. 블록체인 네트워크의 노드들이 개인정보처리자에 해당한다면 개인정보의 수집 및 이용 동의, 제3자 제공 동의 등 개인정보보호법상의 많은 규정들이 적용될 수 있다. 보고서는 이렇게 될 경우 사실상 블록체인을 통한 개인정보처리의 상당 부분이 불법이 되는 결과가 발생할 수 있다고 경고했다.

그렇다고 노드를 개인정보처리자가 아니라고 볼 경우에는 블록체인 노드의 정보처리로부터 야기될 수 있는 위험으로부터 정보주체를 보호하기가 매우 어려워지는 상황이 발생할 수 있다는 것이다.

 

블록체인 개인정보 활용 동의와 삭제는?

블록체인상의 개인정보 해석뿐만 아니라 요구사항 이행도 문제가 될 수 있다는 지적이다. 

보고서는 블록에 개인정보가 저장되고 각 노드가 개인정보처리자에 해당한다고 볼 때 각 노드의 운영자가 블록에 저장된 개인정보를 처리하기 위해 개인정보보호법을 준수해야 하며 정보주체로부터 개인정보 수집 및 이용에 관한 사전 동의를 받아야 한다고 설명했다. 그런데 각 노드들은 블록체인 네트워크의 일부로서 합의 알고리즘에 따라 정보를 처리하기 때문에 현실적으로 각 노드가 동의를 얻는 것이 어렵다는 주장이다.

더구나 퍼블릭 블록체인 특성상 노드가 전 세계적으로 운영되는 상황에서 이런 요구가 맞느냐의 문제도 발생할 수 있다.

보고서는 블록체인에서 개인정보 삭제권에 대한 논란도 있을 것이라고 내다봤다. 현행 개인정보보호법과 정보통신망법은 정보주체가 개인정보처리자 또는 정보통신서비스 제공자에게 개인정보의 열람, 정정, 삭제를 요구할 수 있도록 규정하고 있다. 보고서는 블록체인의 불변성(immutability) 특성으로 인해 블록에 이미 기재돼 검증되고 승인된 정보를 삭제하는 것은 기술적으로 불가능하거나 현저히 곤란하다고 지적했다. 블록체인 자체가 정보의 삭제를 막기 위하여 설계된 것인데 이런 블록체인의 특성과 개인정보보호법상 삭제권이 충돌할 수 있다는 것이다.

이를 해결하기 위해 해당 블록체인 정보에 접근을 못하도록 해 사실상 삭제하는 기술이 나오고 있지만 접근을 막는 것을 삭제로 볼 수 있는지 해석상 논란이 있을 수 있다고 지적했다.

보고서는 최종 결론에서 퍼블릭 블록체인의 경우 기본적인 문제에 대해서부터 확실한 답을 내릴 해석론적 근거부터 찾기 어려운 상황이라고 우려했다. 이에 따라 블록체인 활용의 다양한 사례를 확인하고 연구하는 것이 필요하다는 것이다.

반면 프라이빗 블록체인의 경우 보고서는 개선을 통해 개인정보보호법규를 적용할 수 있을 것이라고 분석했다. 프라이빗 블록체인에 있어서는 개인정보보호법의 적용 여부, 블록에 저장되는 정보가 개인정보에 해당하는지 여부가 비교적 명확하게 판단될 수 있다는 것이다.

프라이빗 블록체인의 경우도 개인정보 삭제권 등을 구현하기 어려울 수 있지만 블록체인 설계 시 개인정보에 대한 사항을 반영할 경우 상당부분 문제를 해결할 수 있다고 주장했다. 프라이빗 블록체인의 경우 일부 개선을 통해 현행 개인정보보호법을 적용할 여지가 있지만 퍼블릭의 경우는 적용이 어렵기 때문에 심도 있는 연구가 필요하다는 것이다.

이 보고서에 대해 개인정보보호위원회 관계자는 “보고서 내용이 개인정보보호위원회의 입장은 아니"라며 "말 그대로 연구를 해 본 것이고 정책에 필요한 부분이 있다면 일부 반영할 수도 있다”고 밝혔다. 

보고서의 내용이 민감하고 다양한 문제가 제시됐기 때문인 것으로 보인다.

하지만 위원회 내부에서는 보고서 내용을 반영할 필요가 있다고 보는 것으로 알려졌다. 더비체인이 입수한 정책연구 활용결과 보고서에 따르면 위원회는 이 보고서 내용을 제4차 개인정보보호 기본계획(2020년부터) 수립 시 참고하고 개인정보보호 관련 법령 개정 시에도 활용할 방침이다.

강진규 기자  viper@thebchain.co.kr

 


관련기사

댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.