개인정보보호위원회가 블록체인 기반 서비스에서 개인정보를 어떻게 다뤄야 하는지에 대한 첫 공식 기준을 내놓으면서, 가상자산 거래소를 비롯한 관련 업계의 정보 관리 방식도 한층 엄격해질 전망이다.
개인정보보호위원회는 9일 기자설명회를 열고 ‘블록체인 서비스 개인정보 보호 가이드라인’의 주요 내용을 공개했다. 이번 기준은 블록체인의 투명성, 분산성, 불변성 같은 기술적 특성을 반영해 개인정보 처리 원칙을 구체화한 것이 핵심이다. 배경에는 최근 빗썸의 개인정보 국외이전 규정 위반 사건이 있다. 개인정보위는 조사 과정에서 블록체인 서비스가 일반 온라인 서비스와는 다른 구조를 갖고 있어, 별도의 세부 기준이 필요하다고 판단했다.
실제 개인정보위 조사에 따르면 빗썸은 호가창인 오더북을 공유하는 과정에서 이용자들에게는 스텔라 거래소로 개인정보가 이전된다고 동의를 받았지만, 실제로는 다른 거래소가 운영하는 시스템인 빙엑스닷컴으로 회원번호와 주문정보를 전송한 것으로 나타났다. 이에 따라 개인정보위는 빗썸이 개인정보 국외이전 규정을 위반했다고 보고 과징금 2억1천만원을 부과하고, 적법한 이전 요건을 갖추도록 시정명령도 의결했다. 이번 가이드라인은 이런 사례가 재발하지 않도록 블록체인 환경에 맞는 기준을 명확히 하려는 성격이 강하다.
가이드라인은 블록체인 서비스에서 처리되는 정보를 크게 온체인 정보와 오프체인 정보로 나눠 본다. 온체인은 블록체인에 직접 기록되는 정보이고, 오프체인은 사업자 내부 시스템이나 데이터베이스에 따로 저장되는 정보다. 개인정보위는 성명이나 주민등록번호처럼 특정 개인을 바로 식별할 수 있는 정보는 온체인에 기록하지 말아야 한다고 안내했다. 겉으로는 개인을 알 수 없어 보이는 온체인 정보라도, 사업자가 별도로 가진 오프체인 정보와 결합하면 거래 내역 추적이나 자산 분석을 통해 개인 식별이 가능해질 수 있기 때문이다. 이에 따라 오프체인 개인정보는 암호화, 접근통제 같은 안전조치를 통해 보호해야 한다고 설명했다.
다른 사업자에게 정보를 넘길 때의 기준도 보다 분명히 했다. 온체인 정보를 특정 개인을 식별할 수 있는 정보와 함께 제공하는 경우에는 개인정보보호법상 적법한 제공 근거를 갖춰야 하고, 필요한 최소 범위의 정보만 제공해야 한다. 또 암호화 등 안전성 확보 조치도 함께 이행해야 한다. 기술적인 부분에서는 안전한 암호 알고리즘을 적용하고, 전자서명 등에 쓰이는 난수값이 반복 사용되지 않도록 관리해야 한다고 강조했다. 이재형 개인정보위 조사조정국장은 난수값이 재사용되면 결과값의 패턴 분석을 통해 개인키를 추정하거나 탈취하는 공격이 가능해질 수 있다고 설명했다.
참여기관이 여러 곳인 블록체인 구조의 특성도 이번 기준에 반영됐다. 개인정보위는 기관 간 정보 공유가 개인정보 제3자 제공인지, 처리위탁인지 법적 성격을 명확히 구분한 뒤 그에 맞는 의무를 이행해야 한다고 밝혔다. 허가형 블록체인은 참여기관이 늘어날수록 개인정보 처리 주체도 함께 확대되는 만큼 관리 대책이 필요하고, 비허가형 블록체인은 참여자의 범위, 자격, 역할, 개인정보 보호 책임을 사전에 공개하도록 권고했다. 개인정보를 파기할 때도 단순히 겉으로 보이는 정보만 없애는 것이 아니라, 오프체인에 저장된 개인정보와 온체인 정보 생성에 활용한 솔트값(암호화 과정에서 사용하는 임의의 값) 같은 추가 정보까지 삭제해야 파기 의무를 다한 것으로 봤다. 이 같은 흐름은 앞으로 블록체인 산업이 기술 혁신만이 아니라 개인정보 보호 체계의 정교함까지 함께 요구받는 방향으로 이어질 가능성이 크다.
<저작권자 ⓒ TokenPost, 무단전재 및 재배포 금지>
많이 본 기사