개인정보위, 블록체인 실태점검 추진…프라이버시 기준 세운다

블록체인 기술을 기반으로 한 금융·공공 서비스가 확산되면서 개인정보 보호 원칙을 어디까지, 어떻게 적용해야 할지를 둘러싼 논의가 거세지고 있다. 개인정보보호위원회가 블록체인 응용서비스 전반에 대해 사전 실태점검에 나서며 국내에서도 프라이버시 기준 정립 작업이 속도를 내는 분위기다. 업계에서는 이번 조치가 향후 블록체인 서비스 설계와 사업화의 가이드라인이 되는 동시에, 글로벌 규제 논의와 보조를 맞추는 분기점이 될 수 있다고 보고 있다.

개인정보보호위원회는 20일 블록 체인 응용서비스 분야 전반에 대한 사전 실태점검을 추진하고, 그 결과를 바탕으로 개인정보보호 관점의 가이드를 내년 상반기까지 마련해 제공하겠다고 밝혔다. 규제 집행 이전에 업계 현황과 쟁점을 면밀히 파악해, 기술 발전과 개인정보 보호를 함께 고려한 기준을 제시하겠다는 취지다.

점검 대상은 블록체인 생태계의 핵심 축을 이루는 서비스로 구성된다. 구체적으로 가상자산 발행과 송금 서비스, 코인과 법정화폐·스테이블코인 간 교환을 제공하는 가상자산 거래소, 분산신원인증으로 불리는 DID 서비스, 각종 공공서비스에 적용되는 공공 블록체인 인프라 등이 포함될 예정이다. 개인정보위는 이들 영역을 중심으로 실제 서비스 구조와 데이터 처리 방식을 분석해 대표적인 법·기술 쟁점을 추려낸다는 계획이다.

기술적 점검의 핵심은 온체인과 오프체인의 분리 설계다. 온체인은 블록체인에 직접 기록되는 거래 내역이나 인증 정보 등을 의미하고, 오프체인은 별도의 서버나 데이터베이스에 보관되는 부가 정보를 가리킨다. 개인정보위는 이용자의 신원이나 행동이 블록 기록정보와 결합될 경우 재식별 위험이 커질 수 있다고 보고, 어떤 정보까지 온체인에 올릴지, 어떤 정보는 오프체인으로 분리해야 하는지에 대한 현행 설계 관행을 집중 점검할 방침이다.

블록체인 특유의 불변성도 핵심 쟁점이다. 한 번 기록된 데이터가 사실상 삭제나 수정이 어렵다는 특성이 이용자의 열람·정정·삭제요구권과 충돌할 수 있어서다. 위원회는 블록 기록정보로 인해 개인이 식별될 위험성을 평가하는 한편, 해시 처리나 가명처리, 키 분리 등 기술적 조치를 통해 정보주체 권리를 어떻게 구현할 수 있을지 사례별로 살펴볼 계획이다.

책임 주체의 정의도 주요 과제로 떠오른다. 퍼블릭 블록체인이나 컨소시엄 체인에서는 다수의 노드 참여자가 분산된 형태로 데이터를 검증·저장한다. 개인정보위는 블록체인 참여기관 간 역할과 책임을 어떻게 구분할지, 누구를 개인정보 처리자로 보고 법적 책임을 부과할 수 있을지를 점검 항목에 포함했다. 이는 유럽을 중심으로 제기돼 온 블록체인과 개인정보 보호 규정 간 충돌 논의와 맞닿아 있는 부분으로, 국내 적용 기준이 마련될 경우 유사 서비스에 광범위한 영향을 줄 수 있다.

국외이전 적법처리도 별도 조사 대상이다. 글로벌 거래소나 해외 노드가 연계된 블록체인 서비스에서는 이용자 정보가 국경을 넘어 저장·처리될 수 있다. 개인정보위는 실제 데이터 흐름을 파악해 어떤 정보가 어떤 경로로 해외에 이전되는지, 관련 동의 절차나 보호조치가 적법하게 이행되고 있는지를 확인하고 분야별 특화 쟁점을 정리한다는 구상이다.

위원회는 사전 실태점검 이후 내년 상반기까지 프라이버시 친화적 블록체인 설계와 운영 지침을 담은 가이드를 마련해 공개할 계획이다. 가이드에는 온체인·오프체인 분리 원칙, 최소 수집과 가명처리 기준, 정보주체 권리 보장 방식, 국외이전 절차 등이 포함될 것으로 예상된다. 표준화된 정보주체 권리 보장 방안을 제시해 기업과 기관이 준수 가능한 설계 지침을 갖도록 하겠다는 목표다.

블록체인 업계에서는 이번 움직임이 규제 강화로만 귀결되기보다는, 법적 불확실성을 줄여 투자와 서비스 개발에 예측 가능성을 높이는 계기가 될 수 있다는 시각도 있다. 다만 기술 구조상 개인정보 삭제와 수정이 어려운 영역에서는 제도와 기술 간 간극을 줄이기 위한 추가 논의가 필요하다는 지적도 나온다. 산업계는 개인정보위 가이드가 실제 서비스 모델에 어느 수준까지 적용될지, 후속 법제화 논의로 이어질지에 주목하고 있다.