GDPR 때문에 블록체인이 개인정보보호에 겪고 있는 문제.. 해결이 가능할까요?

Question

유럽연합 일반개인정보보호법(GDPR)으로 인해 블록체인에 저장되는 개인정보가 문제가 되는 것 같습니다. 아마 비가역성 (위변조 및 삭제불가능)특징때문에 문제가 발생되는 것 같은데요.

블록체인이 비트코인과 같은 암호화폐 거래를 넘어 헬스케어, 보험 등 다양한 거래가 가능한 플랫폼으로 발전되면서 거래정보는 물론 질병여부나 DNA와 같은 유전정보 등 민감한 개인정보가 포함되는데 개인정보의 삭제권을 인정하는 GDPR의 법규때문에 문제가 되는 것 같습니다.

블록체인에서 이러한 문제에 대해 해결할 수 있는 방안이 있는지 궁금하면 질문 드립니다.

Answer 1

안녕하세요?

GDPR의 문제와 블록체인의 비가역성은 상충되는 것처럼 보입니다. 하지만 블록체인 업계에서 제시한 일반적인 방향은 1.개인정보 자체를 블록체인에 기록하지 않는다. 2.off chain 형식의 외부DB에 개인정보를 기록하고 이를 연결하는 키를 이용한다 입니다.예를들어보자면,

1. 어떤 광고회사가 A라는 DB에 저장된 나의 주소를 알고 싶을때

2. 나의 주소를 조회하기 위해 블록 체인 계층에 요청을 보냅니다.

3. 블록 체인은 광고회사가 A라는 DB를 읽는 데 필요한 권한이 있는지 확인합니다.

4. 광고회사가 권한을 가지고 있으면 요청된 데이터의 해시를 가져옵니다. 이때 해쉬는 데이터의 엑세스 키 역활을 합니다.

5. 광고회사는 전달받은 해쉬키 이용해 블록 체인을 다시 거치지 않고 내주소가 A DB에서 직접 데이터를 가져옵니다.

6. A에서 백엔드에서 데이터를 수신하면 광고회사는 검색된 데이터의 해시를 계산하고 블록 체인에서 제공 한 해시와 비교하여이 데이터가 변조되지 않았는지 확인할 수 있습니다. 일치하면 데이터가 변경되지 않았습니다.

7. 여기에서 블록 체인은 "액세스 제어"매체(미들웨어)의 역할을합니다.

8. 내가 나의 정보를 삭제하고 싶을때는 A라는 DB에서 삭제만 하면 되므로 블록체인에는 아무런 데이터가 남지않게 됩니다.

이 대안은 블록 체인에 데이터를 가져 와서 저장하는 구성상의 복잡성을 증가시키는 단점이 있습니다. 결국

1. 개인정보는 블록체인에 저장해서 안되고 개인정보를 구성하는 해시값을 저장하여 원본과의 진위 역활을 하는 기능만 하게되거나

2. 개인정보와 개인이 생성한 각종 데이터(의료,건강등등)를 분리시켜 개인데이터만 블록체인에 저장하고 개인정보DB는 해시키로 매칭시켜 연결하는 off-chain쪽으로 발전되거나

3. 개인정보를 관리하는 부분은 블록체인이 아닌 현재의 시스템을 계속 사용한다

이렇게 3가지 방안이 있는 것으로 파악됩니다.

감사합니다.