CBDC, 지갑주소·개인정보처리자·CBDC의 기밀성 등 개인정보 이슈 ‘부각’
CBDC, 기술적으로는 기밀성에만 치중...처리성능·안전성 확보 조치 등 보안 강화 선행돼야
[보안뉴스 김경애 기자] 중앙은행이 발행하는 디지털 화폐인 CBDC의 관심이 전 세계적으로 뜨거워지고 있는 반면, 풀어야 할 과제도 첩첩산중이다. 기술적 보호 조치는 물론, 법제도적으로도 고려해야 할 사항이 적지 않다.
▲2024년 제2회 개인정보 기술포럼 세미나 패널토의 모습[사진=보안뉴스]
CBDC는 현금을 대체하는 전자화폐로 활용될 수 있고, 분산원장을 통해 은행 예금을 대체할 수 있다. 하지만 분산원장에는 개인정보보호 이슈와 정보주체의 권리보장 이슈가 존재한다. 기술적으로는 안전성 확보 조치, 개인정보보호 이슈, 디지털화폐 거래시 처리속도 등이 해결해야 할 과제다. 뿐만 아니라 CBDC 개인정보 해당 여부, 개인정보처리자 이슈, 분산원장 이슈, 정보주체의 권리, 개인정보 국외이전 등 법제도적 기반 마련도 필요하다.
CBDC 지갑주소, 개인정보인가?
첫째, CBDC 지갑주소를 두고 개인정보에 해당하는지 여부에 대한 논란이 있다. 블록체인 내에서 개인은 직접 개인식별이 가능한 정보(e.g, 이름, 전화번호 등)로 표시되는 대신, 개인을 나타내는 임의의 식별자인 지갑주소로 표시된다. 하지만 해석에 따라 개인정보 해당 여부가 갈릴 수 있다.
개인정보보호법 해석 사례집에 따르면 가상지갑 주소는 암호화 기술로 생성·관리돼 그 자체만으로 특정 개인을 식별하는 것이 어려울 수 있는 반면, 다른 정보와 결합해 개인을 알아볼 수 있다면 개인정보에 해당될 수 있다. 즉 CBDC 지갑이 개인정보에 해당하는지 여부를 두고 논란의 여지가 있다는 것이다.
이와 관련 김앤장 김도엽 변호사는 ‘2024년 제2회 개인정보 기술포럼 세미나’에서 “CBDC 지갑주소가 개인정보에 해당되는지 여부에 대한 이슈가 존재하고, 송금인이 전신송금의 방법으로 송금하는 경우 수취 금융회사에 정보 제공의 부담이 있다”며 “정보제공, 보유기간 등 관련 법적·기술적 리스크 검토가 필요하다”고 제기했다.
둘째, 개인정보처리자 이슈다. 이에 대해 김도엽 변호사는 △데이터 항목, 수범자에 따른 적용 법규 △중앙은행과 참가기관이 개인정보처리자에 해당하는지 여부 △중앙은행과 참가기관과의 개인정보 이전이 있는 경우 해당 이전의 성격 △수범자의 의무 검토 등에 대해서도 고려해야 한다고 강조했다.
셋째, CBDC의 기밀성 이슈다. 분산원장의 무결성, 투명성, 책임성은 디지털 경제에 중요한 핵심요소다. 개인정보와 프라이버시 보호 측면에서 통제와 관리가 필요하다. 즉 투명성과 개인정보보호 간 기밀성의 조화가 필요하다는 얘기다.
김도엽 변호사는 “정보변환 기술, 영지식 증명 등 다양한 PET 기술 활용과 내부통제 등 기술적·정책적 방안을 통해 관련 법령에 부합하는 방안으로 시스템을 구축하는 방안을 고려해야 한다”고 말했다.
넷째, CBDC와 정보주체의 권리 이슈다. 개인정보보호법 등에 따른 삭제권 행사의 예외 요건에 해당하는지, 정보주체가 누구에게 삭제권을 행사해야 하는지, 분산원장의 속성상 삭제의 방법이 무엇인지 등이 풀어야할 과제다.
다섯째, 개인정보 국외이전 이슈다. 이에 대해 김 변호사는 이전하는 정보의 항목, 목적, 국가 등 데이터 플로우(Data Flow)를 확인하고, 국외이전의 각 처리 근거에 해당하는지 여부에 대해 확인해야 한다고 제시했다.
마지막으로 CBDC와 보유기간 이슈와 관련해 김 변호사는 분산원장 상의 정보는 원칙적으로는 복원 불가능한 방법으로 영구 삭제해야 하고, 재생할 수 없도록 다양한 기술을 통해 매체를 파기해야 한다고 말했다.
이에 따라 CBDC 관련 개인정보보호 이슈에 대해 원칙(Standard) 기반의 접근이 필요하다고 제시했다.
CBDC 기밀성에 집중, 성능·안전성 확보 조치 풀어야할 과제
허가형 분산원장의 개인정보 보호조치 이슈에 대해 숭실대학교 최대선 교수는 “CBDC는 원장에 대한 조회 권한이 참여 노드 모두에게 있어 안전성 확보조치 이슈를 비롯해 목적 외 사용 배제가 어려운 최소 수집 원칙과 함께 기본적으로 제3자에게 제공되기 때문에 제3자 제공 금지가 어렵다”며 “또한 블록체인에 저장된 정보의 수정과 파기가 어려워 파기 이슈가 있고, 정보유출 대응의 경우 분산된 장부 중에서 누가 어디서 유출했는지 파악하기 어렵다”고 설명했다.
정보 주체의 권리보장 이슈와 관련해서는 △정보 주체가 자기 지갑 주소(계좌번호)를 알고 있어야 하는 열람권 △온체인 상의 정보는 수정·삭제가 불가능한 정정·삭제 권리 △개별 노드가 데이터 처리 중지를 요청해도 전체 네트워크의 51%의 동의를 받지 않는 한 불가능한 처리정지 요청 △기본적으로 모두에게 전송되는 데이터 이동권 △이미 블록체인에 기록된 데이터의 처리를 막기가 어려운 동의 철회 권리 △스마트계약(프로그램) 장부가 모두에게 공개되는 것처럼 프로그램도 공개되므로 별도의 설명 요구가 필요없는 자동화된 의사결정 설명요구 이슈가 있다.
이에 대해 최대선 교수는 “이처럼 분산원장 기반의 CBDC는 개인정보보호 조치와 정보주체 권리보장에 있어 여러 가지 이슈가 있다”며 “영지식 증명, 링서명, 암호화 등 거래 기밀성을 위한 개인정보보호 기술인 PET 기술을 이용해 거래 기밀성 등을 충족할 수 있다”고 제시했다.
그러면서 최대선 교수는 “동형암호와 오프체인 분리를 통해 데이터의 부분적 익명화와 선택적 공개를 할 수 있다”며 “민감한 개인정보를 블록체인 밖에 저장하고, 블록체인에는 데이터를 참조하는 증명서나 해시 값만 기록하는 방법을 통해 데이터의 선택적 공개가 가능하다”고 설명했다. 또한 오프체인에 저장된 정보는 정보주체의 데이터 정정, 삭제, 이동, 처리 정지 요구에 대응이 가능하다고 덧붙였다.
정보주체의 권리보장의 경우 스마트계약을 잘 활용하면 프라이버시 정책을 집행할 수 있고, 인터체인 프로토콜을 데이터 이동에 활용하면 데이터 이동과 상호운용성을 보장할 수 있어 분산원장에 긍정적으로 작용할 수 있다고 제시했다.
하지만 PET 기술은 기밀성에 집중돼 있다. 기밀성과 같은 일부 요구사항 충족은 가능하지만 안전성 확보조치, 성능 이슈, 최소 수집 원칙 등 모든 이슈를 커버할 수 없는 한계가 있다. 즉, 보완될 수 있는 기술개발과 연구가 필요한 상황이다.
이에 대해 최 교수는 “오프체인 활용 확대(분산원장 최소화), 분산원장에 대한 법령 해석, PET 기술의 한계 극복을 위한 R&D가 필요하다”고 강조했다.
이와 함께 중앙대 장항배 교수가 좌장을 맡은 패널토의에서 다양한 의견이 제기됐다. 한국은행 유희준 팀장은 “기관용 CBDC 기술을 연구 중인데, 미래 화폐 시스템을 위해 투명성, 무결성, 안전성, 안정성 확보를 위한 고민이 있다”며 “다양한 기술이 적용될 수 있는 만큼 여러 전문가를 통해 암호화 기술 등 추가할 부분을 꾸준히 확인하고 있다”고 밝혔다.
그러면서 유희준 팀장은 “분산원장에서 좋았던 기술은 지급결제 인프라를 개선해 금융리스크를 보완하고, 금융 비즈니스와 보안의 적절성을 찾는 관점에서 어떻게 보안을 강화할지 고민해야 한다”고 말했다.
또한, 개인정보보호위원회 고낙준 과장은 “개인정보보호위원회에서 개인정보보호를 위해 PET 기술을 개발하고 있는데 거래에 대한 신뢰성, 안전성 등이 확보돼 구현된다면 비즈니스를 원활하게 하는 윤활유가 될 것”이라며 “이러한 신기술 개발을 위해서는 무엇보다 R&D 예산이 증액돼야 한다”고 강조했다.
[김경애 기자(boan3@boannews.com)]
CBDC, 기술적으로는 기밀성에만 치중...처리성능·안전성 확보 조치 등 보안 강화 선행돼야
[보안뉴스 김경애 기자] 중앙은행이 발행하는 디지털 화폐인 CBDC의 관심이 전 세계적으로 뜨거워지고 있는 반면, 풀어야 할 과제도 첩첩산중이다. 기술적 보호 조치는 물론, 법제도적으로도 고려해야 할 사항이 적지 않다.
▲2024년 제2회 개인정보 기술포럼 세미나 패널토의 모습[사진=보안뉴스]
CBDC는 현금을 대체하는 전자화폐로 활용될 수 있고, 분산원장을 통해 은행 예금을 대체할 수 있다. 하지만 분산원장에는 개인정보보호 이슈와 정보주체의 권리보장 이슈가 존재한다. 기술적으로는 안전성 확보 조치, 개인정보보호 이슈, 디지털화폐 거래시 처리속도 등이 해결해야 할 과제다. 뿐만 아니라 CBDC 개인정보 해당 여부, 개인정보처리자 이슈, 분산원장 이슈, 정보주체의 권리, 개인정보 국외이전 등 법제도적 기반 마련도 필요하다.
CBDC 지갑주소, 개인정보인가?
첫째, CBDC 지갑주소를 두고 개인정보에 해당하는지 여부에 대한 논란이 있다. 블록체인 내에서 개인은 직접 개인식별이 가능한 정보(e.g, 이름, 전화번호 등)로 표시되는 대신, 개인을 나타내는 임의의 식별자인 지갑주소로 표시된다. 하지만 해석에 따라 개인정보 해당 여부가 갈릴 수 있다.
개인정보보호법 해석 사례집에 따르면 가상지갑 주소는 암호화 기술로 생성·관리돼 그 자체만으로 특정 개인을 식별하는 것이 어려울 수 있는 반면, 다른 정보와 결합해 개인을 알아볼 수 있다면 개인정보에 해당될 수 있다. 즉 CBDC 지갑이 개인정보에 해당하는지 여부를 두고 논란의 여지가 있다는 것이다.
이와 관련 김앤장 김도엽 변호사는 ‘2024년 제2회 개인정보 기술포럼 세미나’에서 “CBDC 지갑주소가 개인정보에 해당되는지 여부에 대한 이슈가 존재하고, 송금인이 전신송금의 방법으로 송금하는 경우 수취 금융회사에 정보 제공의 부담이 있다”며 “정보제공, 보유기간 등 관련 법적·기술적 리스크 검토가 필요하다”고 제기했다.
둘째, 개인정보처리자 이슈다. 이에 대해 김도엽 변호사는 △데이터 항목, 수범자에 따른 적용 법규 △중앙은행과 참가기관이 개인정보처리자에 해당하는지 여부 △중앙은행과 참가기관과의 개인정보 이전이 있는 경우 해당 이전의 성격 △수범자의 의무 검토 등에 대해서도 고려해야 한다고 강조했다.
셋째, CBDC의 기밀성 이슈다. 분산원장의 무결성, 투명성, 책임성은 디지털 경제에 중요한 핵심요소다. 개인정보와 프라이버시 보호 측면에서 통제와 관리가 필요하다. 즉 투명성과 개인정보보호 간 기밀성의 조화가 필요하다는 얘기다.
김도엽 변호사는 “정보변환 기술, 영지식 증명 등 다양한 PET 기술 활용과 내부통제 등 기술적·정책적 방안을 통해 관련 법령에 부합하는 방안으로 시스템을 구축하는 방안을 고려해야 한다”고 말했다.
넷째, CBDC와 정보주체의 권리 이슈다. 개인정보보호법 등에 따른 삭제권 행사의 예외 요건에 해당하는지, 정보주체가 누구에게 삭제권을 행사해야 하는지, 분산원장의 속성상 삭제의 방법이 무엇인지 등이 풀어야할 과제다.
다섯째, 개인정보 국외이전 이슈다. 이에 대해 김 변호사는 이전하는 정보의 항목, 목적, 국가 등 데이터 플로우(Data Flow)를 확인하고, 국외이전의 각 처리 근거에 해당하는지 여부에 대해 확인해야 한다고 제시했다.
마지막으로 CBDC와 보유기간 이슈와 관련해 김 변호사는 분산원장 상의 정보는 원칙적으로는 복원 불가능한 방법으로 영구 삭제해야 하고, 재생할 수 없도록 다양한 기술을 통해 매체를 파기해야 한다고 말했다.
이에 따라 CBDC 관련 개인정보보호 이슈에 대해 원칙(Standard) 기반의 접근이 필요하다고 제시했다.
CBDC 기밀성에 집중, 성능·안전성 확보 조치 풀어야할 과제
허가형 분산원장의 개인정보 보호조치 이슈에 대해 숭실대학교 최대선 교수는 “CBDC는 원장에 대한 조회 권한이 참여 노드 모두에게 있어 안전성 확보조치 이슈를 비롯해 목적 외 사용 배제가 어려운 최소 수집 원칙과 함께 기본적으로 제3자에게 제공되기 때문에 제3자 제공 금지가 어렵다”며 “또한 블록체인에 저장된 정보의 수정과 파기가 어려워 파기 이슈가 있고, 정보유출 대응의 경우 분산된 장부 중에서 누가 어디서 유출했는지 파악하기 어렵다”고 설명했다.
정보 주체의 권리보장 이슈와 관련해서는 △정보 주체가 자기 지갑 주소(계좌번호)를 알고 있어야 하는 열람권 △온체인 상의 정보는 수정·삭제가 불가능한 정정·삭제 권리 △개별 노드가 데이터 처리 중지를 요청해도 전체 네트워크의 51%의 동의를 받지 않는 한 불가능한 처리정지 요청 △기본적으로 모두에게 전송되는 데이터 이동권 △이미 블록체인에 기록된 데이터의 처리를 막기가 어려운 동의 철회 권리 △스마트계약(프로그램) 장부가 모두에게 공개되는 것처럼 프로그램도 공개되므로 별도의 설명 요구가 필요없는 자동화된 의사결정 설명요구 이슈가 있다.
이에 대해 최대선 교수는 “이처럼 분산원장 기반의 CBDC는 개인정보보호 조치와 정보주체 권리보장에 있어 여러 가지 이슈가 있다”며 “영지식 증명, 링서명, 암호화 등 거래 기밀성을 위한 개인정보보호 기술인 PET 기술을 이용해 거래 기밀성 등을 충족할 수 있다”고 제시했다.
그러면서 최대선 교수는 “동형암호와 오프체인 분리를 통해 데이터의 부분적 익명화와 선택적 공개를 할 수 있다”며 “민감한 개인정보를 블록체인 밖에 저장하고, 블록체인에는 데이터를 참조하는 증명서나 해시 값만 기록하는 방법을 통해 데이터의 선택적 공개가 가능하다”고 설명했다. 또한 오프체인에 저장된 정보는 정보주체의 데이터 정정, 삭제, 이동, 처리 정지 요구에 대응이 가능하다고 덧붙였다.
정보주체의 권리보장의 경우 스마트계약을 잘 활용하면 프라이버시 정책을 집행할 수 있고, 인터체인 프로토콜을 데이터 이동에 활용하면 데이터 이동과 상호운용성을 보장할 수 있어 분산원장에 긍정적으로 작용할 수 있다고 제시했다.
하지만 PET 기술은 기밀성에 집중돼 있다. 기밀성과 같은 일부 요구사항 충족은 가능하지만 안전성 확보조치, 성능 이슈, 최소 수집 원칙 등 모든 이슈를 커버할 수 없는 한계가 있다. 즉, 보완될 수 있는 기술개발과 연구가 필요한 상황이다.
이에 대해 최 교수는 “오프체인 활용 확대(분산원장 최소화), 분산원장에 대한 법령 해석, PET 기술의 한계 극복을 위한 R&D가 필요하다”고 강조했다.
이와 함께 중앙대 장항배 교수가 좌장을 맡은 패널토의에서 다양한 의견이 제기됐다. 한국은행 유희준 팀장은 “기관용 CBDC 기술을 연구 중인데, 미래 화폐 시스템을 위해 투명성, 무결성, 안전성, 안정성 확보를 위한 고민이 있다”며 “다양한 기술이 적용될 수 있는 만큼 여러 전문가를 통해 암호화 기술 등 추가할 부분을 꾸준히 확인하고 있다”고 밝혔다.
그러면서 유희준 팀장은 “분산원장에서 좋았던 기술은 지급결제 인프라를 개선해 금융리스크를 보완하고, 금융 비즈니스와 보안의 적절성을 찾는 관점에서 어떻게 보안을 강화할지 고민해야 한다”고 말했다.
또한, 개인정보보호위원회 고낙준 과장은 “개인정보보호위원회에서 개인정보보호를 위해 PET 기술을 개발하고 있는데 거래에 대한 신뢰성, 안전성 등이 확보돼 구현된다면 비즈니스를 원활하게 하는 윤활유가 될 것”이라며 “이러한 신기술 개발을 위해서는 무엇보다 R&D 예산이 증액돼야 한다”고 강조했다.
[김경애 기자(boan3@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
