블록체인 기술의 장점 중 하나는 ‘영원불변’, ‘비가역성’이다. 한 번 기록된 데이터는 영원히 저장되고 누구도 수정하거나 지울 수 없다는 것이다.
그러나 ‘양날의 칼’처럼 탁월한 장점은 뒤집으면 치명적 약점이 된다. 강력한 핵분열 에너지는 원자력 발전에도 쓰이지만, 동시에 치명적 핵폭탄 제조기술에 활용된다.
블록체인 기술도 마찬가지다. 영원불변한 기록이 필요한 곳에선 최고의 기술이지만, 당장 삭제해야 할 정보라면 최악의 기술이 된다. 안타깝게도 삭제해야 하는 정보가 갈수록 많아지는 추세다. 뉴스 중에는 “알몸 사진에 주소까지 공개… 리벤지 포르노의 ‘전이’”, “지인 사진에 나체 사진 합성해 유포…” 등 본인이 원치 않는 동영상이나 이미지, 개인정보가 유출되는 사례가 적지 않게 나온다. 해킹으로 빼돌린 개인정보를 푼돈에 사고파는 경우도 많다. 개인정보 유출에 대한 우려가 클 수 밖에 없다. 이런 상황에서 원치 않는 영상과 사진, 개인정보 등이 삭제 불가능한 블록체인에 영원불변한 데이터로 저장된다면 악몽이 아닐 수 없다.
우선 블록체인의 기술적 특성부터 살펴보자.
대부분의 인터넷 사이트는 중앙집중형 서버에 정보를 저장하고 관리한다. 이에 반해 공개형(퍼블릭) 블록체인은 중앙서버 없이 거래 참여자 모두에게 거래내용을 보내는 분산 저장기술을 사용한다. 네트워크 참여자들은 거래내용을 검증하고 합의를 통해 블록을 생성함으로써 거래의 무결성과 신뢰성을 유지한다. 참여자가 많으면 무결성도 높아진다. 분산 저장된 정보를 참여자 누구나 조회할 수 있는 투명한 탈중앙화 구조지만, 뒤집어 보면 프라이버시를 위협할 수 있는 시스템이다.
여러 기업들이 퍼블릭 블록체인 기반의 제품과 서비스 도입을 서두르고 있다. 이를 이용하는 개인들의 정보가 블록체인 위에 저장될 수 있다는 의미다. 개인들은 안심하고 블록체인 기반의 제품과 서비스를 사용할 수 있을까?
개인정보 중 가장 민감한 것은 의료정보다. 그래서 개인의 의료정보 다루는 블록체인 프로젝트들은 민감한 개인정보가 아닌 개인정보에 접속할 수 있는 정보(개인키 값)만 퍼블릭 블록체인에 올리거나 허가된 참여자만 접속할 수 있는 폐쇄형(프라이빗) 블록체인 플랫폼을 활용한다.
그러나 여러 장점으로 퍼블릭 블록체인을 적용하는 곳도 적지 않다. 만약 병원과 의료정보처리기관, 보험사 등이 퍼블릭 블록체인 기반의 의료정보 공유 플랫폼을 만들었다고 생각해보자. 사용자는 진단서 등 각종 의료 관련 증명서를 어디서나 쉽게 발급 받을 수 있고, 위변조도 할 수 없기 때문에 보험금도 바로 지급된다. 아주 편리해 진다.
그러나 블록체인 플랫폼 위에 올라간 의료정보가 프라이버시를 유지할 수 있을지 걱정되지 않을 수 없다.
블록체인 위에 올라간 정보는 모든 참여자들의 접근과 확인이 가능하다. 그래서 정보 접근 권한을 명확히 나누고, 개인정보가 노출되지 않도록 철저히 관리해야 한다. 여차하면 보험사 직원이 현재 청구한 ‘치아치료’ 뿐만 아니라 다른 진단병명도 모두 확인하는 사태가 발생할 수 있다. 투명성이 프라이버시 침해로 이어질 가능성이 높다. 블록체인 플랫폼에 뚫린 구멍은 개인정보를 투명하게 보여주는 유리창이 된다.
다행히도 최근 개인정보 보호를 강화하는 다양한 기술이 등장하고 있다. 암호화폐 제트캐시(Zcash)에 적용되면서 알려진 ‘zk-SNARKs’ 기술은 익명성을 통해 프라이버시를 강화했다. ‘참과 거짓’만을 알려주는 영지식 증명(Zero Knowledge Proof)을 응용해 개인정보를 알려주지 않고도 자신을 증명한 후 거래가 이뤄지도록 한 기술이다. 인텔과 블록체인 스타트업 이니그마(Enigma)는 거래 내역을 암호화해서 프라이버시 문제를 해결하는 기술을 개발 중이다. 조만간 ‘영원불변’이라는 장점은 살리고 ‘프라이버시’라는 단점은 보호하는 블록체인 생태계가 구축될 것이란 희망을 가져본다.
세계 각국은 개인정보를 엄격하게 보호하기 위한 규제를 속속 도입하고 있다. 블록체인을 활용하는 기업은 개인정보 보호에 더 많은 관심을 갖고, 새로운 기술을 도입할 때 법적인 검토를 거쳐야 하는 이유다.
실제로 최근 EU는 정보주체의 권리를 강력하게 보호하는 ‘일반데이터 보호법’(GDPR·General Data Protection Regulation)을 도입했다. EU는 GDPR을 위반한 기업에게 2,000만 유로, 263억원 또는 전 세계 매출의 4% 중 큰 금액을 벌금으로 부과한다. GDPR은 이름과 주소 등 기본적 신상정보 뿐만 아니고 IP주소나 쿠키 정보, RFID 태그 등 웹 정보 그리고 정치적 의견, 성적 취향까지 보호해야 할 개인정보에 포함 시켰다. 특히 온라인에 저장된 개인정보에 대한 정정권과 삭제권을 명확히 했다. 일명 ‘잊힐 권리’인 ‘삭제 요청권’(right to erasure)으로 기업들은 수집 목적상 불필요한 정보거나 불법적으로 개인정보를 처리했을 때 혹은 개인정보 주체가 삭제를 원할 때 개인정보를 삭제해야 한다. 기업의 생사를 흔들 수 있는 강력한 처벌로 EU 국가는 물론 EU 시민의 데이터를 활용하는 경우에도 적용된다. 결국 전 세계 모든 기업이 관심을 가져야 하는 법인 셈이다.
멀리 유럽 뿐만 아니라 한국도 ‘개인의 자유와 권리를 보호하고, 나아가 개인의 존엄과 가치를 구현’하기 위한 개인정보 보호법을 두고 있다. 4조는 ‘정보주체는 개인정보의 처리정지, 삭제 및 파기를 요구할 권리가 있다’, 21조는 ‘개인정보 처리자는 보유 기간의 경과, 개인정보의 처리 목적 달성 등 그 개인정보가 불필요하게 됐을 때 지체 없이 정보를 파기해야 한다’고 명시하고 있다. 당연히 블록체인에 저장된 개인정보도 똑같이 적용된다.
결국 개인정보를 갖고 있는 기업은 GDPR과 개인정보보호법 위반 여부를 세밀히 살펴봐야 한다. 만약 개인정보를 블록체인에 저장한다면 이를 어떻게 통제하고 보호하고 삭제할 것인지 미리 검토하는 것이 중요하다. 특히 정보주체가 삭제권이나 정보의 정정권을 요구했을 때, 블록체인상에 저장된 정보를 어떻게 삭제할 것인지 명확한 대응방안이 필요하다.
블록체인이 기존의 비즈니스 모델을 뒤엎을 만한 혁신적 기술이라는데 이견이 없다. 그러나 블록체인은 만능열쇠가 아니고, 우리가 상상하는 블록체인 기술은 상용화를 위해선 많은 개선점이 존재한다. 정보 분산 저장하는 블록체인의 특성상 법이 강조하는 ‘잊힐 권리’와 충돌하는 상황이 발생할 수 있다. 개인이 자신의 정보에 대한 통제권을 가질 수 있는 방안을 마련해 둬야 한다.
이를 위해 개인정보 없이 본인을 증명하는 ‘zk-SNARKs’ 기술, 기술적으로 거래 내역을 숨기는 인텔과 이니그마의 암호화 기법처럼 블록체인의 장점은 살리고 단점은 보완하는 기술이 필요하다. 정보의 ‘유통’과 ‘활용’ 만큼이나 ‘보호’와 ‘삭제’도 중요하다.
개인정보 수집과 활용에 따르는 기술적·법적·제도적 문제점을 살펴본 후 블록체인 사업에 뛰어들어야 블록체인 생태계의 건강한 구성원이 될 수 있다.
이화여대 융합보안연구실
출처 : 서울경제
소식 감사합니다,^^