PIS FAIR 2018, 법무법인 민후 김경환 대표변호사 발표 나서
GDPR을 중심으로 한 블록체인 환경에서의 개인정보보호

[보안뉴스 엄호식 기자] 서울 삼성동 코엑스 그랜드볼룸에서는 PIS FAIR 2018 둘째날 행사가 이어지고 있다. 오전 마지막 키노트스피치에서는 법무법인 민후의 김경환 대표변호사가 ‘GDPR을 중심으로 한 블록체인 환경에서의 개인정보보호’라는 주제로 발표에 나섰다.

이번 발표에서는 ‘블록의 개인정보성’, ‘컨트롤러 등의 결정’, ‘개인정보의 삭제 또는 파기’ 그리고 기타 쟁점들에 대한 설명이 이어졌다.

먼저 블록의 구조는 개별거래 정보가 해쉬 처리돼 블록헤더에 저장되며 공개키 암호화 방식(Public Key Encryption)을 통해 모든 참가자가 두 개의 키를 보유하게 된다며 공개키는 암호화폐의 소유자 주소 역할로 일종의 식별자가 된다고 전했다.

이어 프라이빗 유형에서는 시스템 운영자는 컨트롤러에, 노드 운영자가 프로세서에 해당되지만 퍼블릭 유형은 노드 운영자가 처리의 목적과 수단을 결정하는 컨트롤러가 된다고 밝혔다.

개인정보 삭제 또는 파기에 대해서 GDPR 규정에는 17조 삭제권과 16조 정정권 등이 있다. 삭제권에 대해서는 ‘개인정보를 제3자에게 공개했으면, 이용 가능한 기술과 삭제 비용을 고려해 필요한 합리적인 조치를 취해야 한다’고 되어 있으며 정정권의 경우 이행 기간은 1달 내이지만 요청이 복잡하거나 여러 건인 경우에는 이행 기간을 2개월 더 연장할 수 있다.

우리나라 개인정보보호법 관련 규정을 살펴보면 개인정보의 파기(제21조 제1항)에 대해서는 ‘개인정보처리자는 보유기간의 경과, 개인정보의 처리 목적 달성 등 그 개인정보가 불필요하게 되었을 때에는 지체 없이 그 개인정보를 파기하여야 한다(파기는 복구 또는 재생되지 않도록 하는조치)’라고 규정돼 있다.

또한, 개인정보의 정정·삭제(제36조 제1항)’에 대해서는 ‘자신의 개인정보를 열람한 정보주체는 개인정보처리자에게 그 개인정보의 정정 또는 삭제를 요구할 수 있다’고 명시돼있다.

김 변호사는 “블록체인 환경의 불변성과 GDPR과의 충돌에 대해서는 ‘Off-chain Storage’, ‘Blacklisting’, ‘Hark Fork’ 등 3가지 해결방안이 제시되고 있지만 충돌 해결방안의 한계가 있어 무엇이 더 나은 방법이라 하기 어렵고, 결국 개인정보의 ‘파기’ 또는 ‘삭제’할 수 없는 블록체인 환경에 부합하는 새로운 입법이 필요하다”고 전했다.

이어 블록체인 기술의 특성상 개별 블록에 저장된 데이터를 완전히 삭제하는 경우 블록체인 연결고리가 끊어져 시스템이 가동되지 않는 문제가 있다고 설명했다. 김 변호사는 “바른미래당 권은희 의원이 개인정보보호법 개정안을 발의했는데, 개정안에는 제21조에 대해 ‘개인정보를 파기해야 한다’라는 부분을 ‘파기 또는 기술적 조치를 통해 내용을 할 수 없는 형태로 폐기해야 한다’로 수정하는 것으로 방향을 잡고 있다. 하지만 논의 단계에 있고 이에 대해서도 사업자들은 기준이 모호하다는 비판이 있어 개선이 필요하다”고 밝혔다.

마지막으로 “블록체인과 GPDR의 충돌은 기술의 ‘역동성’과 규범의 ‘안정성’의 충돌로 목적은 같으나 특성이 이질적인 수단으로 되어 있기 때문에 기술 발전과 규범 간의 충돌 문제에 해당하며, 이를 해결하기 위해 유연성을 바탕으로 혁신에 저해되지 않는 선에서 협의와 개선이 필요하다”고 강조했다.
[엄호식 기자(eomhs@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>