개인정보보호, 블록체인은 축복일까 해악일까…변호사 제언 들어보니

뜨거운 감자다. 블록체인의 개인정보 보호 이슈에 관한 이야기다. 블록체인은 한 번 기록된 정보를 위변조되거나 삭제할 수 없는 특징을 갖고 있다. 이러한 특성이 개인정보를 보호해 줄 구원투수가 될지, 아니면 지우고 싶어도 지울 수 없는 개인정보 침해가 될지 첨예한 논쟁이 불가피하다.

새해 암호화폐 투자 열풍이 사그라들고, 블록체인 스타트업 붐이 식으면서 ‘이제 블록체인 기술의 본질로 돌아가자’는 목소리가 잇따라 제기되고 있다. 이로 인해 지난해까지만 해도 뒤로 물러나 있던 블록체인의 개인정보 보호 이슈가 다시 전면에 등장하기 시작했다.

블록체인은 개인정보 보호 이슈의 축복일까, 해악일까. 그리고 블록체인과 연결된 개인정보 보호 문제는 어떻게 풀어나가야 할까. 이 질문에 대한 답을 찾기 위해 법무법인 우일의 안영주 변호사와 지난 1일 여의도 에스트레뉴 빌딩에서 만났다.

Q. 블록체인에서 개인정보 침해는 어떻게 해결할 수 있을까요.

우선 정보의 종류에는 식별 정보와 비식별 정보가 있습니다. 비식별 정보가 블록체인 위에 저장되고 참여자들이 그에 따라 합당한 보상을 받는 구조를 원칙으로 삼는다면, 블록체인 생태계가 돌아갈 수 있을 것입니다. 다만 그런 선순환이 이뤄지기까지 여러 가지 리스크가 존재할 수 있습니다.

예컨대, 정보를 받는 주체가 식별 정보를 비식별화하는 과정에서 문제를 일으키거나 비식별 정보를 식별 정보로 바꿔 유출하는 문제가 발생할 수 있습니다. 이 지점이 바로 법적 규제가 필요한 부분입니다. 비식별 정보를 식별하지 못하게 하거나 혹은 식별화했을 때 어떤 제재를 가할 것인지 방안을 마련해야 하죠.

정보 활용 플랫폼을 실현하는 데 있어서 가장 큰 걸림돌은 개인정보와 관련된 규제입니다. 데이터 수집 산업은 미래에 가장 큰 직업군 중 하나입니다. 그런데 개인정보 이슈가 법적으로 제대로 해결되지 않은 탓에 발전이 저해돼서는 안 된다고 생각합니다. 개인정보 보호 이슈는 반드시 넘어야 할 산이지만 규제 일변도로 해결할 문제는 아닙니다. 기업들이 시도할 수 있도록 규제를 완화하되, 그에 대한 법적 책임을 명확하게 지도록 하는 것이 핵심이라고 봅니다.

Q. 블록체인 상의 비식별 정보도 개인정보가 될 수 있나요.

비식별 정보는 눈으로 봐서는 내용을 알 수 없지만, 다른 정보를 통해 식별 정보가 되는 경우가 많습니다. 비식별이라는 개념도 애매합니다. 예를 들어 모자이크 처리, 음성 변조 등을 통해 비식별화된 정보도 다른 정보와 합쳐서 식별이 가능해진다면 개인정보 침해의 우려가 있습니다. 비식별 정보라도 정보 주체가 삭제 혹은 편집을 요구할 수 있어야 합니다.

그런 면에서는 정보 주체의 권리는 강화해야 할 필요가 있습니다. 지금까지의 개인정보 동의는 정보수집 플랫폼에 서명하는 데 그쳤습니다. 신용등급 같은 금융정보도 동의 하에 활용 목적으로 내주고 그 이후 관리 절차에 관한 동의 조항은 많지 않은 것 같습니다. 이때 정보 주체가 개인정보의 삭제 혹은 편집을 요구할 수 있는 권리를 부여하도록 하는 게 좋다고 생각합니다.

Q. 정보 주체의 권리를 어떻게 강화할 수 있을까요.

정보 주체의 권리는 유럽 일반개인정보 보호규정(이하 GDPR) 수준이 돼야 합니다. GDPR은 엄격한 기준 하에 개인정보 데이터베이스를 활용할 수 있도록 길을 열어준 것으로, 이에 비해 한국 규제는 폐쇄적입니다. 한국은 정보 주체가 행사할 수 있는 권리가 없기 때문입니다. 가령 개인정보활용동의서를 통해 은행 등에 제출한 개인정보에 대해 행사할 수 있는 권리가 거의 없습니다. 개인정보를 보호하기 위한 명목이라고는 하지만 카드사 개인정보 유출 사건을 보더라도 소액의 보상금만 주어지고 맙니다. 개인정보활용동의서를 제출하고 난 뒤 개인이 컨트롤할 수 있는 게 없다는 겁니다.

GDPR 에서 신설ㆍ강화된 정보주체의 권리(출처: 개인정보 보호포털)

GDPR처럼 정보 주체에게 정보 처리 권한을 부여한다면 블록체인 산업이 한 단계 나아갈 수 있는 초석이 마련될 것이라고 생각합니다. 비식별 정보를 활용할 수 있게끔 하되, 충분한 보안장치와 절차를 갖추는 조건이 필요하다고 생각합니다. 그것이 이뤄져야만 데이터 기반 산업이 발전할 수 있습니다.

Q. 한국의 블록체인 산업 규제는 어떤 방향으로 가야 할까요.

블록체인 산업의 규제는 샌드박스 기본법을 만든 후 샌드박스 특구를 지정하는 과정이 필요하다고 생각합니다.

블록체인은 글로벌 비즈니스이기 때문에 외국인의 접근성을 강화하기 위해 우선적으로 서울 등 대도시를 중심으로 특구를 지정합니다. 또 샌드박스를 만들어서 심사한 뒤 괜찮은 프로젝트는 그 안에서 자유롭게 활동할 수 있도록 허가합니다. 프로젝트의 진행 추이를 보고 법을 제정한다면 블록체인 산업이 안정적인 궤도에 올라갈 것이라고 봅니다. 사실 이 작업은 지난해에 이뤄졌어야 하는데 이제서야 샌드박스 논의가 오가고 있어 아쉽습니다. 일본은 지난해 6월 프로젝트형 규제 샌드박스가 시행된 바 있습니다.

페이스북, 애플, 아마존 같은 기업이 한국에서 탄생하지 못하는 이유는 창업가 정신이 없어서가 아닙니다. 제도적 토대를 만들어 주지 않은 탓입니다. 제도만 잘 만들어주면 전 세계적인 플랫폼이 만들어질 것이고, 블록체인 산업에서 그것이 가능해질 수 있습니다. 열매를 맺기 위해서는 무엇보다 정부의 적극적인 관심이 필요합니다.

안영주 변호사 프로필

-2000년 사법시험 합격(사법연수원 제32기)
-2005년 법무법인 율촌 소속변호사
-2012년 법무법인 조율 구성원변호사
-2015년 법무법인 우일 대표변호사
BRP 최고법무책임자(CLO)
-대한변호사협회 IT 블록체인 특별위원회 위원