GDPR, 기업 블록체인 데이터베이스에 된서리 될까

InfoWorld
안전한 원장 기술은 모든 종류의 데이터베이스에 뜻밖의 행운처럼 들리지만, GDPR의 PII 관리가 어떻게 적용되는지 확인해 봐야 한다.

현재 블록체인을 둘러싼 과도한 열기는 불쾌한 자각의 언저리에 있는 것처럼 보인다. 핵심 문제는 이 기술이 성능이나 확장성, 보안, 유연성 등을 둘러싼 수많은 문제를 해결할 수 있느냐가 아니다. 그보다는 블록체인의 근본 아키텍처, 즉 공유되고 분산되고 절대 훼손할 수 없는 기록보존 시스템이 유럽 연합 규제기관의 점호를 무사히 통과할 수 있는지 여부이다.

Image Credit : GettyImagesBank

모든 지역의 기업이 5월 25일 발효되는 유럽연합의 GDPR을 준수하기 위해 달리고 있다. GDPR은 전세계 기업이 고객 데이터를 저장하고 공유하고 사용하는 방법에 지대한 영향을 미칠 것이다. GDPR은 유럽연합 회원국 거주민의 PII(personally identifiable information) 관리를 위한 법적 프레임워크이다. 규제는 미국에 있거나 비유럽연합 국가에 있더라도 그런 정보를 보유하고 있는 모든 기업에 적용된다. GDPR은 이런 정보를 보유하고 있는 조직이 각 개인에게 해당 정보의 삭제나 교정을 요청할 권리를 부여하고, 각 개인이 동의하지 않은 사용을 금지할 것으로 요구한다.

엄혹한 현실은 GDPR이 막대한 벌금을 부과한다는 것이다. 유럽연합 시민에게 PII를 삭제하거나 교정할 권리를 부여하지 못하면 2,000만 유로 또는 전세계 매출의 4% 중 높은 금액을 벌금으로 내야 한다.

블록체인과 그리 친하지 않다고 해도 GDPR의 요구사항이 블록체인의 핵심 아키텍처와 정반대라는 것을 알 것이다. 블록체인은 변경할 수 없는 이력 기록으로, 많은 컴퓨터에 분산되어 있다. 이는 일단 데이터가 블록체인에 기록되면, 쉽게 또는 실효성 있게 삭제하거나 변경할 수 없다는 의미이다. 한 전문가는 이런 특성을 CRAB(Create, Read, Append, Burn)이라고 표현하는데, 전형적인 거래 데이터베이스의 아키텍처인 CRUD(Create, Read, Update, Delete) 와 대조적이다.

GDPR을 고려한 기업 블록체인 배치 방법
그렇다면 GDPR은 기업의 블록체인 도입에 어떻게 적용될까? 만약 블록체인을 도입했거나 평가하고 있는 기업 IT 전문가라면, 다음 중 하나의 방법을 택할 것이다.

블록체인 완전 배제
GDPR을 준수하지 못했을 때 따르는 금전적 위험은 많은 기업이 블록체인 배치를 부차적인 것으로 생각하게 만들 것이다. 디지털 ID 관리, 디지털 계약서, 디지털 공증 서비스 등 얼마나 많은 블록체인 프로젝트가 PII와 관련되어 있는지 생각한다면, 블록체인 지지자도 실전 배치를 포기할 심각한 문제이다.

퍼블릭 블록체인 배제
PII와 기타 데이터 도메인 관리를 위해 기업은 블록체인의 활용을 온전히 비공개이거나 승인을 받은 용도로 한정하는 방법을 선택할 수 있다. 이는 어떤 블록체인이라도 내부적으로 배치하거나 폐쇄된 컨소시엄이나 커뮤니티가 유지하는 블록체인에만 참여하는 것을 말한다. 금융 서비스 제공업체 사이에 글로벌 지불결제용으로 사용되는 리플 블록체인이 대표적인 예이다.

삭제나 변경은 비트코인이나 이더리움 같은 퍼블릭 환경에서보다 프라이빗 블록체인이 한층 더 실현 가능성이 크다. 퍼블릭 블록체인에서 삭제나 변경은 두 가지 합의와 모두 관련되어 있기 때문인데, 우선은 변경을 포함하는 새로운 버전의 체인을 생성하는 데 대부분 네트워크 노드 간에 합의가 있어야 하고, 그 다음으로 모든 노드가 이전 버전 대신 최신 버전을 사용하는 데 합의해야 한다.

PII 관리 블록체인 배제
GDPR은 PII 삭제가 실제로 어떤 의미인지 정확하게 정의하지 않고 이를 데이터 주체가 구현 환경의 맥락에서 해석할 문제로 남겨뒀다. 또 여러 유럽연합 회원국이 입법을 통해 분명히 할 수 있도록 했다. 유럽연합 규제기관이 이를 수용할 수 있을지는 확실하지 않지만, 기업은 블록체인이 이들 기록을 자체 삭제할 수 있는 기능을 가지고 있는 한 변경할 수 없는 PII를 블록체인에 저장할 수도 있다. 방법은 다음과 같다.

- 해제에 필요한 비밀키를 철저하게 관리하면서 블록체인 상의 PII를 암호화한다. 삭제는 비밀키를 삭제하는 것이다.
- 삭제되거나 변경된 PII의 기록 버전을 원본 그대로 블록체인의 영구 스토리지에 보관하지만, 데이터 주체의 요청이 있기 전에는 영구적으로 누구도 액세스할 수 없도록 한다.
- 삭제되거나 변경된 PII 기록의 구 버전에 대한 서비스를 거부하는 블랙리스트 메커니즘을 통합한다.
- PII 기록 자체가 아니라 레퍼런스와 해시만 블록체인 상에 저장한다. 이는 PII 데이터를 시스템에 별도로 저장해 GDPR이 요구하는 삭제나 변경, 기타 데이터 관리 기능을 이용할 수 있도록 하는 방법이다. 불변 해시는 별도로 저장된 PII 데이터의 존재와 정확성을 확인하는 데 유용하며, 실제로 데이터가 삭제 또는 변경되었다는 사실을 표시하는 역할을 한다.

GDPR, 다양한 사용자 데이터 관련 블록체인에 영향
GDPR이 발효되면 ID 기록 관리에 초첨을 둔 소브린(Sovrin) 같은 블록체인 구상은 괴멸적인 타격을 입을 수도 있다. 이외에도 데이터 레이크의 저장과 관리를 위한 인공지능 영역, 교육 데이터 처리, 감사 로그 컴파일 등 흔히 PII 데이터가 개입되는 다양한 블록체인 구상에 부정적인 영향을 미칠 것이다.

또한 세일즈포스 같은 업체는 자사의 블록체인 상품화를 재고할 것이 분명하며, CRM 환경이 PII 라이크사이클 전체를 관리하는 것으로 생각할 것이다.

규제가 GDPR처럼 광범위하고, 유럽연합처럼 다국적 블록을 중심으로 세계 경제에 영향을 미칠 때는 파급 효과가 발생하지 않을 수 없다. 본질적으로 GDPR은 기업의 데이터 관리 모든 측면에 의심의 시선을 던지는 규제이며, 여기에 블록체인 배치 계획도 포함된 것이다. 향후 몇 년간 데이터 전문가, 규제기관, 법원, 솔루션 업체, 기타 이해관계자 모두에게 험난한 시기가 될 것이니 마음 단단히 먹기 바란다.  editor@itworld.co.kr