2018.05.09

‘블록체인과 GDPR’ 상극일까, 공생 관계일까?

Lucas Mearian | Computerworld
유럽연합(EU)이 이번 달 새로운 정보 보호 규정 GDPR의 발표를 준비함에 따라 블록체인이라는 온라인 거래 기술이 새 규정에 근본적으로 위배될 가능성이 있으며, 기업이 블록체인 기반 프로젝트 추진을 꺼릴 수 있다는 우려가 제기되고 있다.

EU의 일반 정보 보호 규정(General Data Protection Regulation, GDPR)은 회원국 국민의 개인식별정보(Personally Identifiable Information, PII)를 대상으로 하고, 정보 이용의 투명성을 제공하고, 개인 정보의 이용을 제한하거나 전부 삭제하도록 요구할 수 있는 권리를 유럽연합 거주민에게 부여한다.

GDPR에는 개인식별정보, 즉 PII라는 말이 전혀 나오지 않지만, 이는 새로운 규칙에 나온 ‘개인 정보’라는 용어의 정의에 부합한다. 즉 “식별된, 또는 식별 가능한 생존 개인에 관한 모든 정보. 다시 말해 여러 정보 조각이 취합되었을 때 특정 개인의 신원을 확인할 수 있고, 개인 정보를 성립시키는 정보들’이다. 쉽게 말해, 취합되어 신원 정보가 될 수 있는 모든 정보를 말한다.

기업계에 큰 파장을 몰고 왔던 블록체인은 트랜잭션 이력을 기록하는 영구 기록물을 생성하는 온라인 전자 분산 원장 기술이다. 그러므로 블록체인이 개인식별정보에 의한 트랜잭션을 위한 일종의 데이터베이스로 이용된다면 이는 그 자체로 일반정보보호규정에 위배된다. 블록체인 원장은 추가될 수 있지만, 정보는 수정되거나 삭제될 수 없다. 한번 쓰여진 후 다수의 정보가 첨가되는 기술이기 때문이다.


블록체인이 GDPR에 위배된다는 주장
워싱턴 소재 법률회사인 리드 스미스(Reed Smith)의 지적 재산, 기술 및 데이터 그룹의 게리 스테그마이어 파트너는 블록체인이 갖는 가장 탁월한 속성, 즉 신뢰성 있고, 감사 추적이 완벽한 변경 불능의 기록이라는 점이 규칙의 관점에서 볼 때 최대의 약점도 될 수 있다고 지적했다.

스테그마이어는 이메일에서 ‘분산 원장의 정의적 특성이 데이터 삭제 불가능성이고 따라서 데이터 삭제가 가능한 방식으로 기능할 수 없기 때문에 블록체인은 GDPR 규제에서 예외라는 주장은 받아들여지지 않을 것”이라면서 “이러한 논리는 규제자로부터 공감을 받은 적이 없었다”고 밝혔다.

이어 일반적으로, 기술 개발은 좋은 쪽이든 그렇지 않든, 유럽의 정보 보호 정책 개발을 좌우한 적이 없었다고 덧붙였다. 규제자 측에 과학기술 직원이 있는 경우가 드물고 “기술전문가 자체가 훨씬 적”기 때문이다.

그러나 블록체인이 개인정보 보호와 기본적으로 배치되지 않고, 실제로 산업계에서 이용 가능한 최고의 개인정보 보호 방법론을 제공할 수 있다고 주장하는 사람도 있다.

IBM의 블록체인 기술 사업부 부사장 게나로 쿠오모는 블록체인 기술은 획일화된 기술이 아니라고 설명했다.

쿠오모는 한 이메일에서 “4가지 근본 요건, 다시 말해 책임성, 프라이버시, 확장성, 보안 문제를 해결한 기업용 블록체인 기술을 이제 기업 및 정부 부문에서도 활용할 수 있게 되었다”고 밝혔다.

지난 2월, 쿠오모는 한 국회 분과위원회에서 각종 기업 및 정부 커뮤니케이션을 위한 변혁적 요소로서의 블록체인에 관해 증언하였다. 그는 소셜 미디어가 인터넷의 한 사용처에 불과하듯, 비트코인 등의 암호화폐도 블록체인의 한 사용처에 불과하다고 강조했다.

블록체인은 GDPR을 어떻게 지원할 수 있나
IBM은 백서를 통해 블록체인이 GDPR을 지원할 수 있다고 설명한다. 그러나 개인정보가 블록체인에 저장되어서는 안 되는데, 이를 이해하지 못하고 온갖 용도로 이를 블록체인에 저장하는 일이 계속되고 있다고 지적한다.

IBM은 블록체인 클라우드 서비스 및 컨설팅 사업을 운영하고 있는데, 여기서는 다국적 기업이 국제 결제, 화물 추적, 공급망 관리에 따른 모든 디지털 기록 정보를 공유할 때 기술을 활용하고 있다.

블록체인 기반의 분산 원장은 물류 운송 업계에서 연간 수십억 달러를 절감할 수 있다.


블록체인은 퍼블릭과 프라이빗(또는 퍼미션드), 2가지 형태가 있다. 비트코인이나 기타 암호화폐는 퍼블릭 블록체인을 이용한다. 중앙 기관이 없고, 누구든지 전자 원장의 정보를 열람할 수 있다. 그러나 금융 트랜잭션이 해시에 묶이기 때문에 이용자 익명성 또한 제공한다. 데이터 출처가 암호화되어 해시 키를 통해서만 알 수 있도록 되어 있는 것이다.

기업들은 주로 프라이빗 또는 퍼미션드 블록체인에 관심이 있다. 여기서는 중앙 기관이 있어, 누구를 전자 원장에 참여하도록 허가할 것인지 관리한다.

블록체인 기술은 정보를 데이터베이스에 저장되는 방식과 동일하게 저장할 수 있다. 아울러 정보는 별개의 데이터베이스에 ‘오프-체인’으로 저장되어 프라이빗 및 퍼블릭 암호 키를 통해 블록체인에 연결될 수도 있다.

업계의 기본적인 방향은 블록체인에 개인정보를 두지 않고, 이를 편집 가능한 데이터베이스에 저장한 후 데이터의 일방향 해시만이 블록체인에 저장되도록 한다는 것이다.

블록체인과 개인 정보의 분리
포레스터 리서치는 지난 달에 발간한 한 보고서에서 블록체인이 최신의 정부 개인 정보 보호 요건을 충족하고 신원 파악을 위한 신뢰성 있는 정보 보관소로 기능하는 용도가 이상적이라고 밝혔다.

포레스터 리서치의 수석 연구원이자 보고서의 공동 저자인 마사 베넷은 “개인식별정보는 절대로 블록체인 네트워크에 저장되어서는 안 된다”면서 “체인 상의 기록물에 PII를 연결하는 업체는 연결을 불가역적으로 파손할 수 있는 메커니즘을 마련해야 한다”고 말했다.

예컨대 누군가가 ‘잊혀질 권리’를 행사할 경우, 데이터베이스 기록물은 삭제되어야 하고 또한, 기업 블록체인 관리자는 체인상의 기록물이 무의미해지도록 보장해야 한다.

정보에 연결되는 해시 키의 삭제는 암호 데이터의 삭제라고 할 수 있다. 왜냐하면 데이터가 여전히 존재하고 오프라인 데이터베이스에 유포되더라도 정확한 암호 키가 없다면 데이터의 재조립이 불가능하기 때문이다. 다시 말해 데이터는 무의미한 정보 조각들에 불과한 것이다.

아울러 베넷 연구원은 블록체인 기반 시스템이 신규 GDPR 규칙들에 대한 해법의 일부가 될 수 있다고 주장한다. 예컨대, 시스템을 삭제 요청의 완수는 물론, 동의를 추적할 때 사용할 수 있다는 것이다.

GDPR은 EU회원국에게 적용되는 신규 정보 보호 프레임워크다. 이는 개인정보 사용 방식에 대한 회원국 국민의 통제권을 늘리고, 나아가 세계 모든 지역에서 개인식별정보를 호스팅하고 가공하는 단체에게 엄격한 규칙을 부과한다. 유럽에서 사업을 하는 많은 미국 기업 역시 변화를 수용하는데 분주하다.

퍼블릭 블록체인과 마찬가지로 퍼미션드 블록체인 역시 익명성을 제공할 수 있다. 네트워크에서 트랜잭션에 임하는 사람만이 정보를 조회할 수 있기 때문이다. 게다가 네트워크에 있는 사람조차 다른 참여자의 정보를 보는 것이 제한될 수 있다.

쿠오모 부사장은 “기업형 블록체인에서 참여자는 회원 키에 의해 알려지고 식별된다”면서 “원장에 남겨진 트랜잭션은 불변이기 때문에 정보는 신뢰할 수 있다. 어느 한 당사자의 행위에 의해 데이터가 삭제되거나 변경될 수 없다. 이러한 책임성에 의해 네트워크 감사가 가능해져 회원들이 현행 HIPPA, GDPR 등의 정부 규정을 준수하도록 할 수 있다”고 말했다.

블록체인과 개인식별정보
국회 블록체인위원회는 블록체인 이용을 규제하기보다는 오히려 개인이 신분정보를 안전하게 증명하고, 온라인 지불을 가능하게 하고(세금 납부 등), 공급망을 개선하는 데 도움이 되는 블록체인 프로젝트 정보를 수집하고 있다.

IBM은 현재 소브린 네트워크(the Sovrin Network)를 개발 중인 비영리단체인 소브린 재단(the Sovrin Foundation)의 창립 멤버다. 이 네트워크에서는 네트워크 상의 어떤 개체와도 사전 검증된 데이터를 세계적으로 교환할 수 있다. 재단의 주장에 따르면, 블록체인에 의해 신분정보 절취와 사기가 현저히 감소할 수 있고, 정부가 강제하는 고객 확인 제도 및 자금세탁방지법의 효과가 강화된다.

온라인 인증 정보는 운전면허, 은행 직불카드, 회사ID와 같은 개인 소지 정보와 유사한 정보다.

그러나 물리적 카드와 달리 이들 정보는 암호화되어 은행, 정부, 고용주 등의 생성 기관으로 다시 연결될 수 있다. 다른 정보를 제공하지 않으면서 블록체인을 통해 요청자에게 정보를 자동으로 인증할 수 있다는 점이 특징이다.

예를 들어 은행은 가계 대출 시 대출자의 연봉이 5만 달러 이상임을 증명하도록 요구할 수 있고, 블록체인 네트워크의 일부인 고용주는 정확한 급여 액수를 밝히지 않으면서 대출자가 그만큼의 소득을 매년 수령함을 확인할 수 있다. 전체 트랜잭션은 스마트 컨트랙트라고 알려진 블록체인 비즈니스 자동화 툴에 의해 진행된다.

소브린 네트워크 상에서 운영되는 자치적 신원정보 애플리케이션을 개발한 에버님(Evernym)의 대변인 저드 배글리에 따르면 기존 및 신규 블록체인은 대다수가 특성이 상당히 애매하기 때문에 블록체인 기술에 GDPR을 적용하는 것은 애매할 수밖에 없다.

배글리 대변인은 “예컨대 개인 정보를 수취해 영구적으로 유지하는 블록체인이 있는가 하면 그렇지 않은 블록체인도 있다. 분명, 무허가형 비트코인 블록체인 등의 누구나 쓰기가 가능한 블록체인은 이렇다 할 제거 메커니즘 없이 무엇이든 추가될 가능성이 있다”고 말했다.

그러나 프라이버시와 GDPR의 준수를 염두에 두고 개발된 블록체인이라면 분명한 장점을 갖는다. 예컨대 소브린 레저(Sovrin ledger)는 개인 정보를 보관하지 않는다. 대신, 더욱 전통적이고 중앙화된 데이터베이스에 보관된 개인 정보의 포인터 디렉토리 같은 역할을 담당하고, 설계와 기본 원리를 통해 GDPR의 개인정보보호 원칙를 이행하기 위한 추가적 조치를 취한다. 배글리 대변인은 “소브린 접근법은 사실상 개인 정보 보관 외의 다른 이유 때문에 GDPR 준수를 위한 꿈의 기술로 불리는 것”이라고 설명했다. editor@itworld.co.kr  

2018.05.09

‘블록체인과 GDPR’ 상극일까, 공생 관계일까?

Lucas Mearian | Computerworld
유럽연합(EU)이 이번 달 새로운 정보 보호 규정 GDPR의 발표를 준비함에 따라 블록체인이라는 온라인 거래 기술이 새 규정에 근본적으로 위배될 가능성이 있으며, 기업이 블록체인 기반 프로젝트 추진을 꺼릴 수 있다는 우려가 제기되고 있다.

EU의 일반 정보 보호 규정(General Data Protection Regulation, GDPR)은 회원국 국민의 개인식별정보(Personally Identifiable Information, PII)를 대상으로 하고, 정보 이용의 투명성을 제공하고, 개인 정보의 이용을 제한하거나 전부 삭제하도록 요구할 수 있는 권리를 유럽연합 거주민에게 부여한다.

GDPR에는 개인식별정보, 즉 PII라는 말이 전혀 나오지 않지만, 이는 새로운 규칙에 나온 ‘개인 정보’라는 용어의 정의에 부합한다. 즉 “식별된, 또는 식별 가능한 생존 개인에 관한 모든 정보. 다시 말해 여러 정보 조각이 취합되었을 때 특정 개인의 신원을 확인할 수 있고, 개인 정보를 성립시키는 정보들’이다. 쉽게 말해, 취합되어 신원 정보가 될 수 있는 모든 정보를 말한다.

기업계에 큰 파장을 몰고 왔던 블록체인은 트랜잭션 이력을 기록하는 영구 기록물을 생성하는 온라인 전자 분산 원장 기술이다. 그러므로 블록체인이 개인식별정보에 의한 트랜잭션을 위한 일종의 데이터베이스로 이용된다면 이는 그 자체로 일반정보보호규정에 위배된다. 블록체인 원장은 추가될 수 있지만, 정보는 수정되거나 삭제될 수 없다. 한번 쓰여진 후 다수의 정보가 첨가되는 기술이기 때문이다.


블록체인이 GDPR에 위배된다는 주장
워싱턴 소재 법률회사인 리드 스미스(Reed Smith)의 지적 재산, 기술 및 데이터 그룹의 게리 스테그마이어 파트너는 블록체인이 갖는 가장 탁월한 속성, 즉 신뢰성 있고, 감사 추적이 완벽한 변경 불능의 기록이라는 점이 규칙의 관점에서 볼 때 최대의 약점도 될 수 있다고 지적했다.

스테그마이어는 이메일에서 ‘분산 원장의 정의적 특성이 데이터 삭제 불가능성이고 따라서 데이터 삭제가 가능한 방식으로 기능할 수 없기 때문에 블록체인은 GDPR 규제에서 예외라는 주장은 받아들여지지 않을 것”이라면서 “이러한 논리는 규제자로부터 공감을 받은 적이 없었다”고 밝혔다.

이어 일반적으로, 기술 개발은 좋은 쪽이든 그렇지 않든, 유럽의 정보 보호 정책 개발을 좌우한 적이 없었다고 덧붙였다. 규제자 측에 과학기술 직원이 있는 경우가 드물고 “기술전문가 자체가 훨씬 적”기 때문이다.

그러나 블록체인이 개인정보 보호와 기본적으로 배치되지 않고, 실제로 산업계에서 이용 가능한 최고의 개인정보 보호 방법론을 제공할 수 있다고 주장하는 사람도 있다.

IBM의 블록체인 기술 사업부 부사장 게나로 쿠오모는 블록체인 기술은 획일화된 기술이 아니라고 설명했다.

쿠오모는 한 이메일에서 “4가지 근본 요건, 다시 말해 책임성, 프라이버시, 확장성, 보안 문제를 해결한 기업용 블록체인 기술을 이제 기업 및 정부 부문에서도 활용할 수 있게 되었다”고 밝혔다.

지난 2월, 쿠오모는 한 국회 분과위원회에서 각종 기업 및 정부 커뮤니케이션을 위한 변혁적 요소로서의 블록체인에 관해 증언하였다. 그는 소셜 미디어가 인터넷의 한 사용처에 불과하듯, 비트코인 등의 암호화폐도 블록체인의 한 사용처에 불과하다고 강조했다.

블록체인은 GDPR을 어떻게 지원할 수 있나
IBM은 백서를 통해 블록체인이 GDPR을 지원할 수 있다고 설명한다. 그러나 개인정보가 블록체인에 저장되어서는 안 되는데, 이를 이해하지 못하고 온갖 용도로 이를 블록체인에 저장하는 일이 계속되고 있다고 지적한다.

IBM은 블록체인 클라우드 서비스 및 컨설팅 사업을 운영하고 있는데, 여기서는 다국적 기업이 국제 결제, 화물 추적, 공급망 관리에 따른 모든 디지털 기록 정보를 공유할 때 기술을 활용하고 있다.

블록체인 기반의 분산 원장은 물류 운송 업계에서 연간 수십억 달러를 절감할 수 있다.


블록체인은 퍼블릭과 프라이빗(또는 퍼미션드), 2가지 형태가 있다. 비트코인이나 기타 암호화폐는 퍼블릭 블록체인을 이용한다. 중앙 기관이 없고, 누구든지 전자 원장의 정보를 열람할 수 있다. 그러나 금융 트랜잭션이 해시에 묶이기 때문에 이용자 익명성 또한 제공한다. 데이터 출처가 암호화되어 해시 키를 통해서만 알 수 있도록 되어 있는 것이다.

기업들은 주로 프라이빗 또는 퍼미션드 블록체인에 관심이 있다. 여기서는 중앙 기관이 있어, 누구를 전자 원장에 참여하도록 허가할 것인지 관리한다.

블록체인 기술은 정보를 데이터베이스에 저장되는 방식과 동일하게 저장할 수 있다. 아울러 정보는 별개의 데이터베이스에 ‘오프-체인’으로 저장되어 프라이빗 및 퍼블릭 암호 키를 통해 블록체인에 연결될 수도 있다.

업계의 기본적인 방향은 블록체인에 개인정보를 두지 않고, 이를 편집 가능한 데이터베이스에 저장한 후 데이터의 일방향 해시만이 블록체인에 저장되도록 한다는 것이다.

블록체인과 개인 정보의 분리
포레스터 리서치는 지난 달에 발간한 한 보고서에서 블록체인이 최신의 정부 개인 정보 보호 요건을 충족하고 신원 파악을 위한 신뢰성 있는 정보 보관소로 기능하는 용도가 이상적이라고 밝혔다.

포레스터 리서치의 수석 연구원이자 보고서의 공동 저자인 마사 베넷은 “개인식별정보는 절대로 블록체인 네트워크에 저장되어서는 안 된다”면서 “체인 상의 기록물에 PII를 연결하는 업체는 연결을 불가역적으로 파손할 수 있는 메커니즘을 마련해야 한다”고 말했다.

예컨대 누군가가 ‘잊혀질 권리’를 행사할 경우, 데이터베이스 기록물은 삭제되어야 하고 또한, 기업 블록체인 관리자는 체인상의 기록물이 무의미해지도록 보장해야 한다.

정보에 연결되는 해시 키의 삭제는 암호 데이터의 삭제라고 할 수 있다. 왜냐하면 데이터가 여전히 존재하고 오프라인 데이터베이스에 유포되더라도 정확한 암호 키가 없다면 데이터의 재조립이 불가능하기 때문이다. 다시 말해 데이터는 무의미한 정보 조각들에 불과한 것이다.

아울러 베넷 연구원은 블록체인 기반 시스템이 신규 GDPR 규칙들에 대한 해법의 일부가 될 수 있다고 주장한다. 예컨대, 시스템을 삭제 요청의 완수는 물론, 동의를 추적할 때 사용할 수 있다는 것이다.

GDPR은 EU회원국에게 적용되는 신규 정보 보호 프레임워크다. 이는 개인정보 사용 방식에 대한 회원국 국민의 통제권을 늘리고, 나아가 세계 모든 지역에서 개인식별정보를 호스팅하고 가공하는 단체에게 엄격한 규칙을 부과한다. 유럽에서 사업을 하는 많은 미국 기업 역시 변화를 수용하는데 분주하다.

퍼블릭 블록체인과 마찬가지로 퍼미션드 블록체인 역시 익명성을 제공할 수 있다. 네트워크에서 트랜잭션에 임하는 사람만이 정보를 조회할 수 있기 때문이다. 게다가 네트워크에 있는 사람조차 다른 참여자의 정보를 보는 것이 제한될 수 있다.

쿠오모 부사장은 “기업형 블록체인에서 참여자는 회원 키에 의해 알려지고 식별된다”면서 “원장에 남겨진 트랜잭션은 불변이기 때문에 정보는 신뢰할 수 있다. 어느 한 당사자의 행위에 의해 데이터가 삭제되거나 변경될 수 없다. 이러한 책임성에 의해 네트워크 감사가 가능해져 회원들이 현행 HIPPA, GDPR 등의 정부 규정을 준수하도록 할 수 있다”고 말했다.

블록체인과 개인식별정보
국회 블록체인위원회는 블록체인 이용을 규제하기보다는 오히려 개인이 신분정보를 안전하게 증명하고, 온라인 지불을 가능하게 하고(세금 납부 등), 공급망을 개선하는 데 도움이 되는 블록체인 프로젝트 정보를 수집하고 있다.

IBM은 현재 소브린 네트워크(the Sovrin Network)를 개발 중인 비영리단체인 소브린 재단(the Sovrin Foundation)의 창립 멤버다. 이 네트워크에서는 네트워크 상의 어떤 개체와도 사전 검증된 데이터를 세계적으로 교환할 수 있다. 재단의 주장에 따르면, 블록체인에 의해 신분정보 절취와 사기가 현저히 감소할 수 있고, 정부가 강제하는 고객 확인 제도 및 자금세탁방지법의 효과가 강화된다.

온라인 인증 정보는 운전면허, 은행 직불카드, 회사ID와 같은 개인 소지 정보와 유사한 정보다.

그러나 물리적 카드와 달리 이들 정보는 암호화되어 은행, 정부, 고용주 등의 생성 기관으로 다시 연결될 수 있다. 다른 정보를 제공하지 않으면서 블록체인을 통해 요청자에게 정보를 자동으로 인증할 수 있다는 점이 특징이다.

예를 들어 은행은 가계 대출 시 대출자의 연봉이 5만 달러 이상임을 증명하도록 요구할 수 있고, 블록체인 네트워크의 일부인 고용주는 정확한 급여 액수를 밝히지 않으면서 대출자가 그만큼의 소득을 매년 수령함을 확인할 수 있다. 전체 트랜잭션은 스마트 컨트랙트라고 알려진 블록체인 비즈니스 자동화 툴에 의해 진행된다.

소브린 네트워크 상에서 운영되는 자치적 신원정보 애플리케이션을 개발한 에버님(Evernym)의 대변인 저드 배글리에 따르면 기존 및 신규 블록체인은 대다수가 특성이 상당히 애매하기 때문에 블록체인 기술에 GDPR을 적용하는 것은 애매할 수밖에 없다.

배글리 대변인은 “예컨대 개인 정보를 수취해 영구적으로 유지하는 블록체인이 있는가 하면 그렇지 않은 블록체인도 있다. 분명, 무허가형 비트코인 블록체인 등의 누구나 쓰기가 가능한 블록체인은 이렇다 할 제거 메커니즘 없이 무엇이든 추가될 가능성이 있다”고 말했다.

그러나 프라이버시와 GDPR의 준수를 염두에 두고 개발된 블록체인이라면 분명한 장점을 갖는다. 예컨대 소브린 레저(Sovrin ledger)는 개인 정보를 보관하지 않는다. 대신, 더욱 전통적이고 중앙화된 데이터베이스에 보관된 개인 정보의 포인터 디렉토리 같은 역할을 담당하고, 설계와 기본 원리를 통해 GDPR의 개인정보보호 원칙를 이행하기 위한 추가적 조치를 취한다. 배글리 대변인은 “소브린 접근법은 사실상 개인 정보 보관 외의 다른 이유 때문에 GDPR 준수를 위한 꿈의 기술로 불리는 것”이라고 설명했다. editor@itworld.co.kr  

X