장주봉 법무법인 광장 변호사
블록체인 테크비즈 컨퍼런스서 개인정보보호법 문제 지적
삭제나 수정이 불가능한 블록체인 기술과 특정 기간이 지나면 수집한 개인정보를 파기해야 하는 국내 개인정보보호 관련 법안이 상충되기 때문에 관련 제도 개선 논의를 서둘러야 한다는 지적이 나왔다.
블록체인 테크비즈 컨퍼런스서 개인정보보호법 문제 지적
특히 현행 개인정보보호 내용을 담은 법률인 정보통신망법과 개인정보보호법은 개인정보 처리자와 제공자가 명확하다는 전제로 만들어졌다. 탈중앙화를 추구하는 블록체인 기술은 중앙화된 방식이 아니기 때문에 처리자와 제공자가 불분명하기 때문에 기존 법을 그대로 적용하기 어렵다는 지적이다.
과학기술정보통신부는 지난 18일 서울 포스코P&S타워에서 '제11회 블록체인 테크비즈 컨퍼런스'를 개최하고 블록체인 확산을 가로막고 있는 규제 개선 방안에 대한 연구결과를 발표했다. 이 방안은 지난 9월부터 운영한 블록체인 규제개선 연구반 1기가 도출한 방안이다. 과기정통부는 블록체인 기술 및 관련 법령에 전문적인 역량을 보유한 교수와 법조인, 업계 종사자 등 민간중심 연구반을 운영해왔다.
■블록체인에 저장된 정보도 개인정보로 봐야할까?
이날 발표된 방안 가운데 블록체인에 기록된 개인정보 파기 관련 기술적 대안 및 법령 개정 방안이 눈길을 끈다. 블록체인에 한번 기록된 정보는 수정이나 삭제가 사실상 불가능하기 때문이다. 때문에 유럽연합의 정보보호법인 GDPR에서 규정하고 있는 '잊혀질권리' 등과 상충된다는 지적이 나온다. 국내 개인정보보호 관련 법률에도 수집한 개인정보 보유기간이 지나거나 수집목적이 달성된 개인정보를 파기해야 한다.
법무법인 광장 장주봉 변호사는 "블록체인과 개인정보와 관련된 가장 큰 문제는 블록체인에 저장된 정보도 파기해야 할 필요가 있느냐라는 점에 대해 사회적합의가 이뤄져야 한다는 점"이라며 "블록체인에 개인정보 처리자나 제공자 있느냐와 블록체인에 저장된 정보를 개인정보로 봐야 하느냐에 대한 합의가 이뤄져야 한다"고 강조했다.
기존 중앙화 방식의 서비스는 개인정보 관련 책임주체가 명확하지만 탈중앙화 방식의 블록체인 서비스는 책임주체를 특정하기 어렵다. 책임주체가 없기 때문에 기존 법을 그대로 적용할 수 없다는 것이다.
장주봉 변호사는 "블록체인이라는 개념을 받아들이기 위해 새로운 규정을 만들거나 블록체인에 저장된 정보는 개인정보가 아니라는 등의 예외 규정이 필요하다"며 "다만 예외규정이나 새로운 규정을 만드는 것도 왜 블록체인만 특별하게 다뤄야 하는가에 대한 공감대가 형성돼야 한다"고 말했다.
■'개인정보 파기' 개념도 더 확장할 필요 있어
최근에는 개인정보보호를 위해 블록체인에 개인정보를 기록하지 않는 방식이 아이디어 차원에서 제시되고 있다. 예를 들면 개인정보를 블록체인이 아닌 다른 시스템에 저장하고 블록체인에는 그 저장된 정보와 블록체인을 연결하는 해쉬값만 저장하는 방식이다. 개인정보 파기 이슈가 발생하면 블록체인이 아닌 다른 시스템에 저장된 개인정보를 파기할 수 있다는 것이다. 블록체인에 개인정보를 기록한 암호키를 파기하는 방법도 논의되고 있다.
다만 이럴 경우에도 법 개정이 필요하다는 것이 장 변호사의 설명이다. 그는 "기술적 조치를 통해 내용을 확인할 수 없는 형태의 조치를 취하는 것도 파기로 인정한다는 내용이 포함돼야 한다"고 설명했다.
아울러 장 변호사는 이같은 개인정보보호 규정을 마련할때 반드시 역차별에 대한 고민도 해야 한다고 강조했다. 국내 블록체인 프로젝트들은 까다롭게 규정을 마련해도 잘 지키겠지만, 해외 블록체인 프로젝트들이 국내 법을 잘 따를지는 미지수라는 것이다.
jjoony@fnnews.com 허준 기자
※ 저작권자 ⓒ 파이낸셜뉴스, 무단전재-재배포 금지