4차산업혁명 시대의 원유이자 핵심으로 데이터가 주목받고 있다. 하지만 새롭게 나타난 블록체인 같은 기술에서 파생되는 정보는 어디까지를 개인정보로 봐야 하는지에 대해서도 아직 명확한 기준이 정해지지 않은 상황이다.
이와 관련해 법무법인 디라이트와 지디넷코리아는 '4차혁명 시대와 개인정보의 규제 및 이용'을 주제로 개인정보보호 세미나를 22일 강남 드림플러스에서 개최했다.
이날 세미나에서는 비트코인 주소를 비롯해 개인키, 공개키는 유럽 개인정보보호법(GDPR) 상 가명정보로 볼 수 있다는 의견이 나왔다.
세미나에는 권현준 한국인터넷진흥원(KISA) 개인정보보호본부장, 최광희 KISA 개인정보정책단장, 김동환 디라이트 변호사, 조원희 디라이트 변호사 등이 연사로 참석했다.
기조연설은 권현준 KISA 본부장이 맡았으며, '4차혁명 시대의 개인정보보호 정책방향'을 주제로 발표했다.
권 본부장은 "신선한 공기를 맡으려고 문을 열다 보면 파리 떼가 같이 들어온다는 말이 있듯이, 새로운 좋은 기술을 받아들일 땐 나쁜 것도 같이 올 수 밖에 없다"며 "규제를 하다 보면 방충망 설치를 잘해야 하는데, 또 너무 촘촘하게 하면 신선한 공기를 맡을 수 없다"고 신기술 규제에 대해 언급했다.
이어 "인공지능(AI)과 같은 신기술을 받아들일 때 편익이 있다면, 나쁜 영향을 끼치는 해(harm)도 있다"며 "이에 대해 정책적으로 어떻게 접근해 나아가야 하는지 이슈가 존재한다"고 설명했다.
그는 결국 "새로운 기술이 나오고 규제가 변화할 때는 근본으로 돌아가야 한다"며 "개인정보 보호는 목적이 아니라 개인의 자유와 권리를 보호하기 위한 수단"이라고 강조했다.
이어서 김동환 디라이트 변호사가 '블록체인 기술과 개인정보 보호'를 주제로 발표했다.
김 변호사는 블록체인 기술은 "데이터를 관리하고 보관하는 새로운 기술"이라고 소개했다.
이어 블록체인과 개인정보와 관련해서는 "블록체인상에서 쓰이는 공개키, 개인키, 비트코인 주소등이 개인정보에 해당하는지에 대한 이슈가 존재한다"고 설명했다.
개인정보보호법 제2조 제1호에 따르면 개인정보는 살아있는 개인에 관한 정보로서, 개인을 알아볼 수 있는 정보를 말한다. 개인을 알아볼 수 있는 정보에는 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 '쉽게 결합'해 알아볼 수 있는 정보가 포함된다.
김 변호사는 '쉽게 결합'이 가능하다는 것은 입수가능성과 결합가능성 모두를 포함한다고 설명했다. 입수가능성은 두 종 이상의 정보를 결합하기 위해 결합에 필요한 정보에 합법적으로 접근할 수 있는 가능성으로, 공유.공개될 가능성이 희박한 정보는 합법적 입수 가능성이 없다고 봐야 한다.
결합가능성은 현재의 기술 수준에 비추어 합리적인 결합이 용이한지 판단한다. 결합하는 데 비합리적인 수준의 비용이나 노력이 수반된다면 이는 결합이 용이하다고 보지 않는다.
아직 한국에서는 블록체인 상에서 위조될 수 없는 서명 역할을 하는 '개인키'나 송신자와 수신자의 신원 확인 역할을 하는 '공개키', 블록체인 상의 정보, 비트코인 주소 등은 개인정보인지 아닌지 명확히 분류되지 않았다.
김 변호사는 "개인키는 공개 가능성이 희박한 정보라고 볼 수 있으며, 또 블록체인상에 기록되는 모든 정보는 해시 암호화돼 올라온 정보이기 때문에 합리적 결합이 용이하지 않을 수 있다"고 설명했다.
이어 "비트코인 거래내역을 비롯해 어떤 정보가 개인정보에 해당할지 문제가 되고 있다"며 "논의가 진행 중"이라고 덧붙였다.
김 변호사는 유럽의 개인정보보호법(GDPR)에 근거해서도 개인정보를 설명했다.
그는 "GDPR에서는 개인정보를 크게 가명정보와 익명정보로 구분해 분류하고 있다"며 "GDPR은 가명정보의 범위를 상당히 높게 보고 있으며, 비트코인 주소나 공개키, 개인키는 모두 GDPR 상 가명정보에 해당한다는 게 지배적인 의견"이라고 말했다.
관련기사
- AI, 블록체인, 빅데이터와 개인정보 이슈 논의 세미나 22일 열려2019.05.22
- GDPR 발효 1년...국회서 발 묶인 한국2019.05.22
- 방통위, 인터넷ID 불법거래 집중단속 칼뺐다2019.05.22
- “형식적인 개인정보 수집·활용 동의...효과 따져야”2019.05.22
가명정보는 추가 정보가 있다면 식별 가능한 정보를 말하고, 익명정보는 추가정보가 있어도 식별이 어려운 정보를 말한다.
또 김 변호사는 "공개키의 경우 IP주소나 암호화폐 거래소와 연동될 시 얼마든지 개인정보에 해당될 수 있으며, 블록체인 노드들은 해시화된 정보를 제공받기 때문에 개인정보 처리자에 해당할 수 있다"고 덧붙였다.
