올해 화두는 개인정보! 블록체인도 예외 아니다

5월 25일 시행되는 GDPR, 국내 기업·정부 당면 과제는?
블록체인에 저장되는 개인정보, 파기 의무 어떻게 지키나

[보안뉴스 오다인 기자] 정보보호최고책임자(CISO) 4월 포럼이 17일 오전 서울 중구 더 플라자 호텔에서 열렸다. CISO 포럼은 보안 분야 정보 공유 및 협력을 강화하기 위해 한국CISO협회(회장 임종인)가 매월 개최하고 있다. 이날 포럼에는 기업 CISO를 비롯해 정부부처·기관 정보보호 담당자 50여명이 참석했다.

▲CISO 4월 포럼이 17일 오전 서울 중구 더 플라자 호텔에서 열리고 있다[사진=보안뉴스]

4월 포럼은 2018년 최대 화두인 ‘GDPR(유럽 일반 개인정보보호법)’과 ‘블록체인·암호화폐’를 주제로 진행됐다. 정현철 한국인터넷진흥원(KISA) 개인정보보호본부 본부장은 ‘CISO가 알아야 할 GDPR 가이드 주요 내용’이라는 주제로 발제했다. 이어 이정민 김·장 법률사무소 변호사가 ‘블록체인과 암호화폐 관련 법률 이슈’에 대해 설명했다.

이재일 KISA 사이버침해대응본부장은 이날 인사말에서 “GDPR 시행을 앞두고 적정성 평가 등 이슈가 많다”면서 “좋은 주제로 모인 만큼 알찬 정보들이 많이 공유되길 바란다”고 말했다.

▲(왼쪽부터)이재일 KISA 본부장, 정현철 KISA 본부장, 이정민 김·장 법률사무소 변호사[사진=보안뉴스]

정현철 KISA 본부장은 1995년 이래의 ‘유럽 정보보호 지침(Data Protection Directive)’과 올해 시행되는 GDPR을 비교하면서 “지침은 직접적인 법 효력이 없지만 GDPR은 5월 25일 시행 즉시 유럽연합(EU) 28개국에 법 효력이 생기는 상황”이라고 말했다. 정보주체의 권리 측면에선 △삭제권(잊힐 권리) △처리 제한권 △개인정보 이동권이 GDPR에 신설됐다고 밝혔다.

그는 “GDPR의 경우 지리적 적용 범위가 전 세계로 확대될 수 있다”면서 1) EU 지역 내 사업장을 운영하면서 개인정보 처리를 수반하는 경우 2) EU 지역 외 사업장을 운영하면서 EU 시민에게 재화·서비스를 제공하는 경우 및 EU 시민의 EU 내 행동을 모니터링 하는 경우 GDPR의 적용 범위에 포함된다고 짚었다.

정 본부장은 현재 우리나라의 당면 과제를 기업과 정부 측면에서 각각 제시했다. 세부내용은 아래와 같다.

[기업] DPO 지정, GDPR 준수를 위한 적절한 기술 도입 및 투자 시급
- DPO 지정 및 조직역량 평가
- GDPR에 대비한 프로세스 마련
- 개인정보 처리에 GDPR 적용 가능성 정리
- GDPR의 새로운 통제 요구사항 평가
- 기술 도입을 통한 30일 내 삭제권 조치 등 데이터 식별 및 파악 위한 역량 제고

[정부] GDPR 준비를 위한 정책 연구, 민간 기업 지원방안 마련
- EU 집행위 및 회원국의 GDPR 시행 준비 상황 조사
- 가이드라인, 입법 등(빅데이터, 인공지능 등 신규 이슈 대응 프레임워크 마련)
- GDPR 관련 대응 자료 홍보 등 민간부분 지원
- EU 적정성 결정을 이끌어내 기업의 자유로운 활동 지원

특히, 정 본부장은 “GDPR이 기업에 개인정보 처리활동 기록을 유지할 것을 명시하고 있다”면서 “이 같은 기록 의무가 굉장히 중요하다”고 강조했다. “문제 발생 시 GDPR 원칙을 지켰다는 사실을 기록으로써 증명해야 하기 때문”이다. GDPR은 피고용인이 250명 이상인 기업 또는 피고용인이 250명 이하더라도 정보주체 권리·자유에 위험을 초래하는 경우 등에는 GDPR 준수 입증을 위해 개인정보 처리활동 기록을 유지할 의무를 신설했다.

두 번째 발제를 진행한 이정민 김·장 법률사무소 변호사는 국내 금융권 블록체인 활용사례로 금융투자협회(이하 금투협)이 2017년 11월 시작한 블록체인 공동인증 서비스를 소개했다. 김·장 법률사무소는 이 사업에 자문으로 참여했다. 금투협은 이용자 편의성 강화를 위해 단 한 번의 인증으로 11개 증권사 금융거래가 가능토록 하는 서비스를 개발했다.

이 변호사는 블록체인 기반 인증 서비스와 관련한 법률 이슈로 △위탁 관련 이슈 △개인정보 이슈 △금융기관 망분리 이슈 등이 있다고 밝혔다. 이 중에서도 그는 “금융기관이 블록체인을 이용할 경우 특정 정보가 어느 고객의 정보인지 식별 가능해야 하고, 타 금융기관에서도 해당 정보가 어느 고객의 정보인지 알기 위해서 공통된 식별자를 가져야 한다”고 말했다. 또한 “블록체인 노드 간 개인정보 공유를 위해선 개인정보 제3자 제공 동의가 필요하고, 블록체인 노드 참여사가 추가될 경우를 대비해 포괄적인 동의가 가능한지 검토해야 한다”고 말했다.

블록체인에 저장된 개인정보는 개인정보 규제가 적용되므로 파기 의무도 동일하게 적용된다. 이에 대해 이 변호사는 “암호화 후 키 폐기 등을 통한 파기 방법이 기술적으로 고안되고 있다”면서 “개인정보 관련법상 파기 의무를 준수한 것으로 해석할 수 있는지 검토가 필요하다”고 설명했다.
[오다인 기자(boan2@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)