블록체인에서 일어난 일은 블록체인에 남는다
높은 보안성을 가지고 있다고 알려진 블록체인 기술, 취약점은 없는 것일까?
블록체인 기술은 탈중앙화(Decentralization), 투명성(Transparency), 익명성(Anonymity), 불변성(Immutability)과 같은 특성을 가지고 있습니다. 우리는 이런 특성을 높은 보안성과 연결 짓지만 개인정보 보호의 관점에서는 불필요한 공개를 지향하는 속성 때문에 상호 충돌할 수 있습니다. 이번 조사에서는 블록체인 기술과 개인정보 보호법 사이에 발생하는 사례를 분석해보고, 이들 간의 균형을 어떻게 찾아낼 수 있는지, 또는 찾아내었는지 탐색해 보았습니다. 이를 통해 블록체인 기술을 활용하면서도, 개인 정보 보호와 관련한 법적 의무를 충족시키는 방법을 찾아보고자 합니다.
해당 글은 2022년 발간 논문 「What Happens in Blockchain Stays in Blockchain」을 기반으로 작성되었습니다.
1. 개요
(2022) What Happens in Blockchain Stays in Blockchain.
A Legal Solution to Conflicts Between Digital Ledgers and Privacy Rights
해당 논문은 블록체인 기술의 개인정보 보호 및 데이터 보호 이슈에 집중하며, 이것이 유럽 일반 데이터 보호 규정(GDPR)과 어떻게 상호작용하는지를 살펴봅니다. 블록체인은 자체적으로 개인정보 보호를 위한 훌륭한 도구이기도 하지만, 동시에 ‘잊혀질 권리(right to be forgotten)’와 같은 중요한 데이터 보호 권리를 위반할 수 있습니다. GDPR이 요구하는 중요한 원칙을 실현하기 위해서는, 특히 개인정보 처리에 대한 목적을 설정하고 책임이 있는 주체를 명확하게 식별하는 것이 필요합니다. 이는 기존의 분산 블록체인 아키텍처만으로는 실현하기 어렵습니다.
2. 연구 방법
본 연구에서는 GDPR 규정과 블록체인 기술 간의 갈등을 이론적으로 탐구하였습니다. 특히 블록체인 기술의 특성과 중요한 측면을 분석합니다. 이 분석 기술은 기술 작동 원리와 데이터 처리와 관련해서 어떤 문제를 야기할 수 있는지를 분석합니다.
① BC 데이터 불변성(vs. GDPR 잊혀질 권리): 블록체인 기술의 핵심 원칙 중 하나는 데이터 불변성입니다. 한 번 블록체인에 데이터가 저장되면, 그 데이터는 변경이나 삭제가 불가능합니다. 이 원칙은 GDPR의 "잊혀질 권리"(Right to Erasure)와 충돌합니다. GDPR에서는 개인이 자신의 데이터를 삭제하도록 요구할 수 있는 권리를 보장하고 있습니다.
② BC 탈중앙화(vs. GDPR 데이터 컨트롤러): GDPR은 개인 데이터를 처리하는 주체인 '데이터 컨트롤러'의 존재를 요구합니다. 이 데이터 컨트롤러는 데이터 보호를 위한 책임을 지게 됩니다. 반면, 블록체인은 기본적으로 탈중앙화되어 있어, 특정한 당사자가 데이터 컨트롤러로서의 역할을 수행하기 어렵습니다. 이는 GDPR과 블록체인의 기본 원칙 간의 갈등을 야기합니다.
③ BC 익명성(vs. GDPR 투명성): 블록체인의 핵심 원칙 중 하나는 익명성입니다. 그러나, GDPR은 개인의 데이터가 어떻게 처리되고 있는지에 대한 투명성을 요구하며, 필요한 경우 개인이 그 처리를 제어할 수 있어야 합니다. 이는 블록체인의 익명성 원칙과 충돌할 수 있습니다.
이를 해결하기 위해 저자는 중앙화된 사이드체인과 계층별 프라이버시(Privacy by Layers)라는 접근 방식을 제안하고, 이를 통해 개인 정보 처리에 대한 GDPR 원칙이 존중되는 방식으로 블록체인 아키텍처를 설계하는 방법을 탐구했습니다.
① 데이터 컨트롤러 지정: 블록체인 네트워크에서 데이터 컨트롤러 역할을 하는 주체를 명확히 지정해야 합니다. 이 데이터 컨트롤러는 GDPR에 따라 데이터 처리의 법적 책임을 부담합니다.
② 데이터 처리 목적의 명확성: 블록체인에서 수집, 처리, 저장되는 모든 개인 데이터는 미리 정의된 목적을 준수해야 합니다. 이 목적은 데이터 컨트롤러에 의해 설정되어야 하며, 데이터 컨트롤러는 이를 사전에 사용자에게 알려야 합니다.
③ 계층별 프라이버시 (Privacy by Layers): 블록체인에 접근 가능한 사용자의 범위를 세밀하게 제어해야 합니다. 이를 통해 개인 정보의 공개 범위를 조절하고 데이터 액세스를 적절하게 제한할 수 있습니다. 이 방법은 블록체인의 투명성과 개인정보 보호 사이의 균형을 유지하는데 도움이 됩니다.
④ 안전한 데이터 처리: 모든 데이터 처리는 GDPR의 보안 요구사항에 따라 이루어져야 합니다. 이는 블록체인 노드가 익명이거나 분산되어 있어도 적용되며, 데이터 컨트롤러는 개인 데이터 보호를 위한 법적 요구사항 전반에 대해 책임을 져야 합니다.
⑤ 투명성과 책임감: 블록체인은 처리하는 모든 데이터에 대해 투명성을 유지해야 하며, GDPR에 따라 처리되는 모든 개인 데이터에 대한 책임을 지는 주체를 확정해야 합니다. 블록체인의 모든 이해관계자는 데이터 처리에 대한 이해와 투명성을 증진해야 하며, 블록체인의 행동에 대해 책임을 지는 방식을 명확하게 정의해야 합니다.
⑥ 법적 책임의 중앙화: 데이터 컨트롤러가 될 주체는 블록체인의 구조와 기능을 관리하고 통제할 법적 책임을 가져야 합니다. 이 주체는 블록 정보에 대한 액세스를 기록하고, 이에 대한 책임을 지는 것을 포함하여 블록체인의 전체 기능을 관리할 수 있어야 합니다.
3. 연구 결과
논문은 블록체인 기술의 중요성을 인정하면서도, 이 기술의 잠재적인 데이터 보호 문제에 대해 경고합니다. GDPR와 호환되는 블록체인 시스템을 개발하기 위해, 중앙화된 시스템과 사이드 체인 아키텍처를 도입할 것을 제안합니다. 이렇게 하면 블록체인의 본질적인 가치를 유지하면서 개인정보 보호와 데이터 보호를 보장할 수 있기 때문입니다.
또한 법적인 관점에서 블록체인 모델은 수 세기동안 존재*해 왔으며(시간 순으로 기록되는 특징, 수정할 수 없는 데이터의 연속성) 이를 바탕으로 이러한 제안이 실현되기 위해서는 EU 및 국가 입법자가 사이드 체인에 대한 기술 표준을 명확하게 정의하고, 신뢰할 수 있는 third-party entities*가 필요하다고 강조하고 있습니다.
* third-party entities : 인증기관, 정부기관, 법률 및 기술 컨설팅 회사 등
* 법적인 관점에서의 블록체인 모델 : 부동산거래, 은행거래의 경우 시간 순으로 기록하며, 작성된 데이터는 변경 불가한 특징을 지님
4. 논문의 주장과 의의
블록체인 기술이 제공하는 이점에도 불구하고, 이 기술의 개인정보 보호 및 데이터 보호 측면에서의 문제점을 극복해야 한다는 것입니다. 특히 블록체인이 유럽 일반 데이터 보호 규정(GDPR)의 요구사항을 충족시키는 데 어려움이 있다는 문제를 제기합니다. 이를 해결하기 위해, 저자는 '사이드 체인'이라는 중앙화된 블록체인 아키텍처를 제안하며, 이는 GDPR 원칙을 준수하면서도 블록체인의 핵심 기능을 유지하는 방법을 제시합니다.
논문의 의의는 이론적 논의를 통해 기술적 문제를 법적 차원에서 탐색하고 해결책을 제안하는 것입니다. 이는 기존의 블록체인 아키텍처가 데이터 보호와 개인정보 보호에 어떤 문제점을 가지고 있는지를 분명하게 인식하고, 이에 대한 해결책을 제시함으로써 블록체인 기술의 발전에 기여합니다. 이는 또한 GDPR과 같은 법규와 기술 간의 상호 작용을 이해하는 데 중요한 참고 자료로 작용할 수 있습니다.
# 향후 연구방향
논문을 통해 향후 연구에 대한 몇 가지 가능성을 생각해 볼 수 있습니다. 이를테면 사이드체인의 기술적 표준을 개발하거나, 신뢰할 수 있는 제3자 엔티티에 대한 연구, 제시한 모델의 보안 영향 분석 등이 그 예입니다. 특히 중앙화된 사이드 체인 인프라에 대한 완전한 분석을 수행하면서 그것이 거버넌스와 책임성에 어떤 실질적인 요소를 손상시킬 수 있는지를 살펴보는 것이 필요하다는 점을 논문은 말하고 있습니다. 이러한 분석은 또한 보안 측면에 미치는 영향을 좀 더 자세히 조사할 수 있는 기회를 제공하며, 이는 감사 활동과 DPIA(Data Protection Impact Assessment) 절차 중에 위험 프로파일이 어떻게 변화하는지를 이해하는데 도움이 될 수 있습니다. 이 논문은 또한 블록체인 인프라의 경제적 영향에 대한 연구를 지원할 수 있습니다.