"온체인에 개인정보 기록 금지"...블록체인 개인정보 보호 가이드라인 나왔다
개인정보보호위원회
투명성·분산성·불변성 특징에 맞춰 개인정보 보호 방안 제시
[파이낸셜뉴스] 개인정보보호위원회가 블록체인의 온체인 정보에 이름, 주민번호 등 그 자체로 특정 개인을 식별할 수 있는 정보는 기록하지 않도록 가이드라인을 제시했다. 또 온체인 정보를 생성할 때는 안전한 암호 알고리즘을 적용하고, 전자서명 등에 활용되는 난수값이 재사용되지 않도록 관리의무를 명시했다.
개인정보보호위원회는 블록체인의 특성에 맞춰 △투명성에 따른 온체인 정보 공개 및 추적 방지방안 △분산성에 따른 참여자 간 정보 공유 관리방안 △불변성에 따른 개인정보 파기방안 등 블록체인 기술의 특성을 고려한 '블록체인 서비스 개인정보 보호 가이드라인'을 수립했다고 25일 밝혔다.
개인정보보호위는 지난해 11월 블록체인 서비스 별 개인정보 보호 실태조사에 착수하면서, 블록체인 서비스 개발·운영에 참고할 수 있는 가이드라인을 올 상반기 중 마련하기로 결정한 바 있다.
가이드라인은 우선 온체인 정보 공개 및 추적 대응관리를 위해 온체인 정보에는 개인 식별 정보를 기록하지 않도록 했다. 또 오프체인 상 개인정보는 유출되지 않도록 암호화, 접근통제 등 개인정보 안전조치 의무를 준수하도록 제시했다.
참여자 간 정보 공유 상태를 관리하기 위해 참여자 간 정보 공유가 제3자 제공, 위·수탁관리 등 어떤 처리관계에 해당하는지 면밀히 따져 개인정보보호법 조항을 준용해 사항을 이행하도록 했다. 또 계약·협약 또는 운영정책 등을 통해 참여자 간 개인정보 보호 책임을 명확히 구분하도록 했다.
단, 참여자를 통제하지 않는 비허가형 블록체인(퍼브릭 블록체인)의 경우에는 참여자의 범위, 자격, 역할 및 책임 등을 쉽게 확인할 수 있도록 사전에 공개하도록 했다.
온체인 정보를 특정 개인을 식별할 수 있는 정보와 함께 다른 사업자에게 제공하는 경우에는 개인정보보호법 규정을 따르도록 했다.
블록체인의 블변성에 맞춘 개인정보 파기 관리 가이드라인도 제시했다. 개인을 식별할 수 있는 정보는 원칙적으로 오프체인에 저장·관리하고, 온체인에는 개인을 알아볼 수 없도록 처리한 익명정보(해시값 등)만 기록하는 것을 원칙으로 했다. 개인정보를 파기할 때는 오프체인에 저장된 개인정보와 온체인 정보 생성에 활용한 솔트값 등 추가정보를 삭제하는 방식으로 개인정보 파기의무를 이행하도록 했다.
개인정보보호위는 "블록체인은 참여자 등이 거래내역을 볼 수 있는 투명성, 참여자 간 분산·협업으로 운영되는 분산성, 한번 기록되면 수정하거나 삭제가 어려운 불변성의 기술적 특성을 가지고 있어, 블록체인 기술을 활용한 서비스는 기획 단계부터 개인정보보호 원칙을 철저히 고려해야 한다"고 가이드라인의 필요성을 설명했다.
cafe9@fnnews.com 이구순 기자
