[COSINT] 블록체인: 혁신과 규제 사이 - (2/2)

kilu83 (64)in #coinkorea • 6 years ago (edited)

안녕하세요. 블록체인에 대한 칼럼 및 설명을 작성하고, 해외 코인 뉴스 및 정보를 더욱 이해하기 쉽고 빠르게 전달해 드리기 위해 노력하는 @kilu83 COSINT입니다.

저번 주에는 유럽 내 GDPR을 주제로 규제와 혁신에 대해 논한 Michelle Finck 선임 연구원의 글을 기반으로 우리나라의 규제가 나아갈 방향에 대해 이야기 해보았습니다. 이번 글에서는 실제 GDPR이 어떤 내용을 다루고 있으며 어떻게 블록체인 업계에 영향을 미칠 지에 대해 논의해보도록 하겠습니다.

이전 편이 궁금하신 분들을 위한 전편 바로가기: https://bit.ly/2HBe9iC

블록체인: 혁신과 규제 사이 - (2/2)

What is GDPR?

일반데이터보호원칙(General Data Protection Regulation, GDPR)은 2016년 5월 유럽의회에서 공표되어 2018년 5월 25일 발효되는 개인정보 보호 강화 규정으로 발효 시점부터 유럽 연합 내 모든 회원국에 적용되게 되며 개인의 정보에 대한 소유권을 포함한 다양한 권한을 정보를 보유한 측에서 정보의 원래 소유주로 이전시키는 것을 그 골자로 하고 있습니다. 쉽게 말하면 개인 정보에 대한 개인의 다양한 권리들을 강화시키는 셈입니다.

본격적으로 규제 내용에 다루기에 앞서 규제에서 사용하는 주요 개념의 정의에 대한 consensus를 이루고자 합니다. 주요 개념들은 다음과 같습니다:

개인정보: 식별된, 또는 식별될 가능성이 존재하는 살아있는 자연인에 대한 직,간접적인 모든 정보
데이터주체: 개인 정보의 대상이 되는 자연인
프로세싱: 개인 정보에 대해 가해지는 모든 작업, 또는 일련의 작업들
데이터 제어 주체(Data Controller): 개인정보 데이터에 대한 프로세싱의 목적 및 방식을 결정하는 자연인 또는 법인

GDPR은 결국 간단히 하자면 데이터 제어 주체로 하여금 개인 정보에 대해 최소한의 데이터를 필요한 기간 동안만 가지고 있고, 가지고 있는 동안 안전하게 지켜야 한다는 규제입니다. 여기에 더해 데이터 주체의 요청 시 데이터를 삭제해야만 합니다. 만일 이를 어길 경우 최대 2천만 유로(약 245억원) 또는 전 세계 매출액의 4% 중 높은 금액을 과징금으로 부과 받게 됩니다.

블록체인과의 접점?

그렇다면 GDPR이 블록체인과 무슨 접점이 있길래 암호화폐 업계가 불안에 떨고 있는 것일까요? Michele Finck 막스플랑크 혁신경쟁 연구소 선임 연구소는 GDPR에 대해 “이미 트렌드에 뒤쳐진 규제”라고 칭했는데 어떠한 연유에서 그랬던 것일까요?

기본적으로 GDPR이 블록체인에 적합하지 않거나 문제가 되는 부분은 크게 2파트로 나뉘어질 수 있습니다. 그 중 가장 많이 화두에 오른 부분은 아마 많은 분들이 이미 알고 있으실 GDPR이 데이터 주체들에게 부여하는 ‘잊혀질 권리’에 대한 부분입니다. 그리고 다른 한 부분은 규제 대상의 불확실성입니다.

잊혀질 권리

GDPR은 특별한 예외 상황들을 제외하고는(예, 범죄 행위에 대한 증거 등) 데이터 주체들에게 ‘잊혀질 권리’를 부여했습니다. 이 ‘잊혀질 권리’는 데이터 주체가 원할 시 데이터 제어 주체가 데이터 주체에 대한 개인 정보를 모두 삭제해야 한다는 규정입니다. 이쯤 되면 다들 왜 블록체인에 있어서 이 잊혀질 권리가 문제가 되는지 아실 것입니다.

블록체인은 기본적으로 변화 및 삭제가 불가능한 분산형 데이터 저장 방식입니다. 위조를 불가능하게 만들어 보안을 강화시킨 블록체인의 강점이 이 경우 오히려 발목을 잡은 경우라고 할 수 있습니다. 결국 블록체인이 개선되어 다른 방식을 찾지 않는 한 블록체인은 GDPR의 규제 대상이 될 확률이 높습니다.

개인정보?

여기서 어떤 분들은 의문을 가질 수 있을 것입니다. 과연 블록체인이 실제로 ‘개인 정보’를 가지고 있는지 여부에 관해서 말입니다. 그리고 실제로 개인정보를 보유하고 있더라도 블록체인은 정보를 해쉬화하여 알아볼 수 없는 형태로 저장하는데 문제가 될 부분이 존재할까요? 실제로 이더리움의 비탈릭 부테린은 인터뷰를 통해 “블록체인 기술을 제대로 활용한다면 개인정보 저장 문제로 GDPR에 저촉될 가능성이 없다. 개인 정보를 블록체인에 저장하는 어플리케이션이 있다면 블록체인 기술을 완전 잘못 사용하고 있는 것”이라며 GDPR이 블록체인 업계에 미칠 악영향에 대해 일축했습니다.

하지만 법조계의 해석은 조금 다릅니다. Michele Finck 선임 연구원은 “Public Key들 또한 체인에 해시화된 자연인에 대한 정보와 마찬가지로 개인 정보로 취급된다”고 이야기했으며 “암호화된 개인 정보는 원상복귀 불가한 상태로 익명화된 것이 아니라 단순히 ‘가명화’된 상태이기 때문에 EU 법 상으로 여전히 개인 정보로 해석”될 여지가 높다고 본인의 소견을 밝혔습니다.

글로벌 로펌인 Hogan Lovells 또한 Public Key의 반복적 사용이 결국은 그 Public Key가 특정 user를 지칭하는 것을 의미하게 되기 때문에 일종의 ‘개인 정보’로 취급할 수 있다는 소견을 밝혔으며 해쉬 기술이 reverse-engineering(역추산)을 통해 원래의 문서로 돌아가는 것은 불가능한 것이 사실이나 과거 규제 실무진들은 해시 기술에 대해 익명화하는 기술이 아닌, ‘가명화’하는 기술이라는 소견을 밝힌 바 있다고 이야기하며 블록체인 내 암호화된 개인 정보가 GDPR 규제의 영향을 받을 것이라는 전망을 내비쳤습니다.

요약하자면 법조계에서는 현재 상태로는 개인정보의 취급이라는 영역에서 블록체인 기술이 GDPR의 규제권 하에 있으며 따라서 잊혀질 권리를 보장해야 한다는 대상으로 본다는 것입니다.

규제의 대상?

블록체인과 GDPR의 두 번째 불협화음은 바로 규제 대상 여부의 불확실성입니다. GDPR은 데이터 제어 주체들이 개인정보 보호의 원칙을 지켜야 한다고 이야기하고 있습니다. 블록체인의 특성 상 하나 이상의 데이터 제어 주체가 발생할 확률이 높으며 이 경우 거버넌스 합의를 분석해 각 참여자 별 책임 여부를 조사해야 하게 됩니다. 뿐만 아니라 GDPR 규제에 따르면 데이터 제어 주체들뿐만 아니라 데이터 프로세서들 또한 책임을 지게 될 확률이 높은데 이는 모든 노드가 규제의 대상이 될 수 있음을 의미합니다.

결국 규제에 따르면 블록체인 내 모든 노드들이 규제의 당사자가 될 수 있다는 이야기인데 이는 규제의 적용에 대해서도 많은 의문점을 불러일으키게 됩니다. 많은 법조계인들이 조정의 필요성을 이야기하는 이유이기도 합니다.

마치며

결국 요약하자면 개인 정보를 취급하고 있는 블록체인들은 암호화 여부에 관계 없이 GDPR의 규제의 영향하에 속하게 될 것으로 보이며 이에 따라 잊혀질 권리를 제공해야 할 의무를 지게 됩니다. 하지만 현재 블록체인 기술의 특성 상 이와 같은 권리의 이행이 불가능해 보이며 블록체인 업계는 이에 따른 대책이 필요할 것으로 보입니다.

또한 규제의 대상이 명확하지 않다 라는 이유로 현재 규제 대상이 누가 될 지도 불투명해 보이는 상황이므로 결국 수정 및 조정이 필요한 상황인데 입법 기관 특성 상 그 조차도 시일이 걸릴 것으로 보여 여러모로 불투명함이 가중되는 상황으로 보입니다. 우리나라도 규제에 있어 여러 부분들을 살펴서 블록체인 및 여타 신기술의 혁신을 최대한 장려하는 방향으로 정립했으면 합니다.

규제 요약

규제에 대해서는 제가 정리하는 것보다 보안뉴스 측에서 잘 정리한 자료가 있어서 가져왔습니다. 보안뉴스 측에서 정리한 GDPR의 기본 원칙들은 다음과 같습니다:

기본 데이터 보호 원칙

사람과 관련된 데이터를 처리할 때는 반드시 법의 절차를 따라 합법적이고 공평하고 투명하게 해야 한다.
데이터의 원주인이 인지하고 있는 바 그대로 데이터를 다뤄야 한다.
사업을 운영하는 데에 필요한 만큼의 데이터만을 가지고 있어야 한다.
보유하고 있는 데이터는 항상 정확해야 하며, 필요한 기간만큼만 보유할 수 있다.
필요 없는 데이터라면 반드시 삭제하고, 가지고 있는 데이터는 적절하게 보호해야 한다.

데이터 주체의 권리

데이터 주체들은 기업이 그 데이터를 가지고 무엇을 할 계획인지 알 권리가 있다.
데이터 주체들은 기업이 가지고 있는 자신들의 혹은 자신들에 관한 데이터의 복사본을 항시 요청할 수 있고 제공 받을 권리가 있다.
데이터 주체들은 기업이 자신의 데이터를 가지고 있어야 할 당위성과 보유 기간을 질문할 수 있고 답을 들을 권리가 있다.
기업이 보유하고 있는 데이터가 올바르지 않거나 부정확하다면 데이터 주체는 정정 요청을 할 수 있으며, 기업은 이를 최대한 빨리 수정해야 한다.
데이터 주체들은 기업에 데이터 삭제를 요청할 수 있다(잊힐 권리). 그러나 이 부분은 절대적인 권리까지는 아니다. 예를 들어 대출을 받은 은행 고객이 대출 관련 기록을 은행에 삭제해달라고 요청할 수는 없다.
데이터 주체들에게는 데이터 이동권이 있다. (예, 넷플릭스 등에서 갖고 있는 본인의 영상 선호도 등의 정보를 다른 회사에게도 제공하도록 할 권리가 있다는 것)
데이터 주체들은 데이터 처리 방식에 이의를 제기하거나 거부권을 행사할 수 있다.
데이터 주체들은 데이터 자동 처리 결과로 인해 실질적인 영향을 받지 않을 권리가 있다. 예를 들어 컴퓨터 기기가 자동화 기술로서 대출 신청을 거절하거나 신용등급을 낮게 처리했다면 “사람에 의한 검토를 다시 요청”할 수 있다는 것이다.
기업은 위 권리 이행에 있어 데이터 주체에게 비용을 청구할 수 없다. 그리고 1달 이내에 대응해야 한다.

데이터 제어 주체의 책임

기업은 정책 준수에 대한 책임이 있다. 적절한 거버넌스 구조와 정책을 보유하고 있어야 하며, 이를 항시 지켜야 한다.
기업은 데이터 보호 및 프라이버시 중심 디자인(privacy by design)을 도입해야 한다.
특정 유형 혹은 규모의 기업 중 유럽연합과 공식적인 관계가 수립되지 않은 곳이라면 유럽연합 대변인을 지정해야 한다.
데이터 처리를 위한 서드파티를 임명할 때 상당한 주의를 기울여야 한다. 그리고 올바른 계약서를 작성해야 한다.
직원 수가 250명 이상이거나 특정 유형의 데이터를 보유하고 있다면, 처리 과정에 대한 기록을 남겨야 하며, 규제기관이 요청할 때 언제라도 제공할 수 있어야 한다.
유출 사고가 일어났을 때 지역 규제기관에 72시간 내에 알려야 한다. 위협 수준이 높다면 데이터 주체에도 알려야 한다.
데이터 제어자는 규모와 다루는 데이터 유형에 따라 DPO를 임명해야 한다.