유럽 GDPR에 발목 잡힌 블록체인…"모법답안이 없다"

유럽 개인정보보호 규정 지난해 5월 발효
1년여 지났지만 블록체인 업계 해답은 '아직'

황현철 큐빅힐 대표가 유럽의 개인정보보호 규정(GDPR)에 대해 설명하고 있다.

지난해 유럽연합(EU)의 개인정보보호 규정(GDPR) 발효가 1년 가까이 지났지만 블록체인 업계에서는 아직 관련 대응방안을 찾지 못했다는 비판이 나왔다.

GDPR은 개인정보에 대한 권한과 통제권을 개인에게 돌려줘 데이터 주권을 보장하자는 취지로 마련된 법안. 개인정보를 개인 스스로 정정 또는 삭제할 수 있어야 한다고 규정한다. 즉 개인이 자신에 대한 정보의 삭제를 원한다면 해당 개인 정보뿐 아니라 개인정보와 연관된 모든 데이터도 삭제할 수 있다는 뜻이다.

이점에서 블록체인과는 상충되는 면이 있다. 기본적으로 블록체인은 원본 정보를 유지하며 누구에게나 공개한다. GDPR 관련 조항의 경우 원본 정보의 위·변조 가능성이 생기는 셈이다.

지난 8일 서울 성수동 아띠호텔에서 열린 '서울 이더리움 밋업'에서 황현철 큐빅힐 대표는 이와 관련해 "블록체인은 이름, 주소 등 일부 정보를 지워 개인과 정보의 '연결'을 없애지만 다른 정보들과 결합하면 누구인지 특정 가능하다. 익명화가 아닌 비식별화에 해당하므로 GDPR을 피할 수 없다"고 짚었다.

GDPR은 개인정보에 적용돼 영구적으로 개인을 구별할 수 없는 완전한 익명정보는 GDPR 적용 대상이 아니다. 하지만 블록체인 기술에 사용되는 해시화·암호화는 익명정보엔 해당하지 않는다는 설명이다.

EU는 GDPR 규정을 위반하면 기업 계열사 전체 연 매출의 4%까지 벌금을 매길 수 있도록 했다. 지난 1월 프랑스 개인정보보호위원회(CNIL)는 GDPR 위반을 근거로 구글에 벌금 5000만유로(약 642억원)를 부과하기도 했다.

때문에 블록체인 업계는 GDPR 문제 해결을 위해 여러 기술적 해결책을 강구하고 있다. △개인정보는 블록체인 밖(오프체인)에 저장하고 블록체인(온체인)에는 개인정보에 대한 접근정보를 넣는 방식 △개인정보를 모두 암호화해 블록체인에 올린 뒤 삭제 요청을 받으면 암호키를 제거해 아무도 접근할 수 없도록 만드는 방식 등이다.

전자의 경우 오프체인에 저장한 개인정보는 GDPR 규정에 맞춰 안전하게 보호할 수 있는지, 보관 책임은 누구에게 있는지 등이 해결과제로 남는다. 후자도 암호키를 제거하는 방식을 '삭제'라 할 수 있는지, 암호화가 영구적으로 풀리지 않을 수 있는지 등이 관건이 된다.

황 대표는 "중앙화된 인프라와 달리 블록체인은 주체가 모호한 것도 문제"라며 “개발자와 노드(참여자), 채굴자 지위를 어떻게 설정해야 하는지, 법적 책임을 지는 주체는 누구인지, 관할 국가는 어디인지 등의 문제가 남는다"면서 "GDPR 허용범위 내에서 블록체인 서비스를 만들려 하지만 아직 뚜렷한 해결책은 나오지 않은 상황"이라고 진단했다.

오세성 한경닷컴 기자 sesung@hankyung.com
기사제보 및 보도자료 open@hankyung.com