블록체인은 모든 거래의 기록 및 관리에 대한 권한을 P2P 네트워크를 통해 분산시켜 보다 안전하고 효율적으로 통제할 수 있도록 하는 기술이다.

이 기술은 보안성(Secure), 투명성(Transparent), 탈중개성(P2P-Based), 신속성(Instantaneous)의 특징을 갖추고 있어 금융은 물론 제조, 유통, 헬스케어 등의 분야로도 빠르게 확산하고 있다.

하지만 이러한 특징은 개인정보보호와는 상충하는 부분이 있어 업계의 고심은 커지고 있다. 등록된 데이터의 삭제·정정이 불가능한 특징으로 인해 정보 주체의 개인정보 삭제권이나 정정권을 침해할 수 있기 때문이다.

유럽 일반개인정보보호법(EU GDPR) 제17조(삭제권)는 개인정보 수집 목적을 달성했거나, 정보 주체가 동의를 철회한 경우 이를 삭제하도록 명시하고 있다. 또 제16조(정정권)에서도 개인정보가 부정확하거나 불완전한 경우 해당 정보를 정정하거나 보완하도록 규정했다.

우리나라 개인정보보호법에도 관련 규정이 존재한다. 개인정보호보호법 제21조 제1항은 ‘개인정보처리자는 보유기간의 경과, 개인정보의 처리 목적 달성 등 그 개인정보가 불필요하게 되었을 때에는 지체없이 그 개인정보를 파기해야 한다’고 명시하고 있으며, 동법 제36조 제1항에도 정보주체는 개인정보처리자에게 그 개인정보의 정정이나 삭제를 요구할 수 있다고 규정짓고 있다.

이처럼 블록체인에 민감정보가 포함되는 일이 늘어날 수 있도록 개인정보의 삭제권을 인정하는 GDPR이나 우리나라 개인정보보호법이 상충하는 상황이 발생할 가능성은 커진다.

이를 해결할 방안은 크게 3가지로 논의되고 있다.

먼저 ‘오프 체인 스토리지(off-chain storage)’를 살펴보자. 이 방식은 개인정보를 블록 내에 저장하는 것이 아니라 블록 밖에 저장하고, 필요시 블록체인의 해시값을 호출해 일치 여부를 확인하고 사용한다. 정보 저장의 측면에서는 기존 중앙집중형 방식과 유사하기 때문에 블록 외부에 저장된 정보를 삭제하거나 정정할 수 있다. 다만 블록체인의 장점인 분권이 동작하지 않기 때문에 해킹이나 정보조작의 위험은 여전히 남는다.

두 번째는 ‘블랙리스팅(Blacklisting)’ 방식이다. 이는 암호키를 파기해 영원히 개인정보에 대한 열람·접근을 못 하게 하는 방법이다. 즉, 금고의 키를 아예 없애서 그 누구도 정보에 접근하지 못하게 막는다는 의미다. 다만 암호키를 파기하는 것은 정보에 대한 접근성만 없애는 것으로 ‘삭제’의 문언적 의미를 벗어나고, 암호키 관리의 신뢰성 문제가 야기될 수 있어 아직 논란이 있다.

마지막으로 ‘하드포크(Hard Fork)’ 방식이 있다. 하드포크는 기존 블록체인에서 새로운 블록체인을 생성하는 것을 의미한다. 블록체인을 소유하는 각 구성원 간 합의에 따라 전면 업데이트(하드포크)를 하고 기존의 블록체인은 파기하는 형태다. 이런 방식은 전원 합의라는 과정을 거쳐야 하기 때문에 현실적으로 어렵고 관리의 비효율성이 내재돼 있다.

이처럼 블록체인의 장점을 살리면서 개인정보보호를 만족시키는 방안이 현재까진 마땅치 않다. 앞서 소개한 것처럼 충돌을 해결할 방안이 제시되고 있으나 완벽하지 않은 상황이다.

블록체인과 개인정보보호의 충돌문제는 기술 발전과 규범(Tech. vs. Law)간 충돌 문제에 해당한다. 즉, 기술의 역동성과 규범의 안정성이 충돌하는 것으로 볼 수 있다.

이에 대한 해결책은 ‘유연성’에 있다. 법은 결코 혁신의 저해 요소가 돼서는 안 된다. 입법자가 유연한 자세를 취하지 않는 한 혁신은 저해될 수 있다. 블록체인과 GDPR이 모두 사회발전과 혁신이라는 공통의 목적이 있지만, 그 수단이 이질적이기 때문에 이를 해결할 수 있는 유연한 입법이 필요하다.

* 법무법인 민후 김경환 대표변호사 작성, IT조선(2018. 6. 19.) 기고.