GDPR, 개인정보 그리고 Blockchain

in gdpr •  7 years ago 

GDPR

한국에서는 아직까지 많이 관심을 받고 있지는 않지만 해외에서는 굉장히 많은 집중을 받고는 있는 법안이 The General Data Protection Regulation( GDPR ) 이다. 아마 웬만한 웹서비스, 커머스 등에서 GDPR관련해서 개인정보를 관리를 어떻게 하겠다는 이메일을 받은기억이 있을 것이다. 개인정보의 대한 권한을 업체에서 다시 개인으로 돌리려는 움직임이다.

EU에서 발행한 법은 아래와 같이 회사의 위치와 상관없이 EU국가의 모든 거주자의 대한 개인 데이터에 해당되는 내용이다.

it applies to all companies processing the personal data of data subjects residing in the Union, regardless of the company’s location.

이와관련하여 blockchain을 사용하여 개인의 데이터를 "처리"하여 GDPR에 대응한다는 방법론을 많이 들었다.

Blockchain

blockchain은 만병통치약이 아니다. Scalability 없는 시스템에 블록체인을 더한다고 생기는 것도 아니며, transparency가 없는 시스템에는 더할 수도 없으며, 개인정보를 문제가 있는 시스템에 블록체인을 더해서 그 문제가 해결되는 것은 더더욱 아니다.

GDPR에서는 기업에게 개인의 정보를 최대한 보호하는 법안을 제정한 것이고, 기업들은 어떤 기술을 이용하여 최대한 다시 정보를 받을 수있는 장치를 마려고 하는 것 뿐이고, 서로를 이롭게 할 수 있는 블록체인이란 기술의 등장으로 해법을 강구하는 중이라고 볼 수있다.

GPDR Blockchain

사실 GDPR에서는 데이터의 삭제가 매우 중요한 컨셉이다.

Section 3: Rectification and Erasure
Article 16: Right to rectification
Article 17: Right to erasure ('right to be forgotten')
Article 18: Right to restriction of processing
Article 19: Notification obligation regarding rectification or erasure of personal data or restriction of processing
Article 20: Right to data portability

기업들이 데이터를 blockchain에 저장을 하였다하더라고 기본적으로 blockchain에 쓰여져있는 데이터를 지울 수가 없다. 블록체인 저장소의 성격을 CRUD(Create - Retrieve - Update - Delete )와 비교하여 CRAB( Create - Read -Append-Burn )이라고 표현한다. 하지만 Burn은 일반 저장소에서 Delete와는 그 성격이 다르다. 일반적으로 chain에 암호화한 키를 복호화가 안되게 랜덤키를 발행하거나 키를 지우는 방법이다.

정부에서 기업에게 개인정보를 파기하라고 했더니 그 것을 자신들의 금고에 넣고 키를 바다에 던진후 파기했다고 주장하는 것과 같기 때문에 논란의 여지가 있는 부분이 있다.

해결책

가장 널리 쓰일 수 있는 방법은 실제 데이터를 저장하지 않고 데이터베이스에 저장한 후 그것에 hash값을 chain에 저장하고 실제 데이터의 무결성을 입증하기 위해서 데이터를 전송받은 후 chain에 checksum을 시도하는 방식이다.

1_t19PZPVqPhabidFA51J2iQ.jpeg
Image from The Ledger(https://medium.com/wearetheledger/the-blockchain-gdpr-paradox-fc51e663d047
)

일반적으로 GDPR을 떠나서 Ethereum같은 경우 데이터를 public chain에 저장할때 필요한 가스값이 실제 데이터의 가치를 넘어가서 많이 쓰는 방식이다. 삭제가 가능한 방법을 쓰면서 Blockchain의 탈중앙화된 저장방식의 이점을 쓴다는 이야기이다. 특별한 방식은 아니고 굉장히 많이 사용되는 방식이고 대부분의 유틸리티 토큰의 설계도 이런식으로 진행이 된다. 인슈어리움도 마찬가지다.

Verdict

과연 이렇게 하면 GDPR을 지킬 수 있을까? 사실 데이터에 대한 소유 자체를 온전히 유저가 하고 있거나 그것에 대한 권리를 완전히 양도받지 않는 이상 유저의 데이터를 삭제하지 않을 방법은 없다. 예를 들어, 데이터를 저장하는 회사는 결국에는 rights to be forgotten등의 이유로 결국에 일정 시간이후에 데이터를 삭제하거나 추가 동의를 구해야 된다. 유저 입장에서는 자신의 데이터를 어떻게 보면 타사에게 맡기고 없애거나 넘겨주거나 하는 약자 택일의 딜레마에 빠진다.

하지만 앞으로는 개인의 정보등을 blockchain을 활용해 개인이 일정 비용을 지급하여 개인이 실제 분산스토리지에 저장을 할 수 있다면 조금 이야기는 달라 질 수 있다. 실제로 회사에서는 사본을 잠시 양도하여서 권리를 갖는 행위를 하고 데이터의 원본은 사용자가 항상 소유할 수 있다. 물론 원하면 언제든지 삭제도 가능하다.

이렇게 주는 사람과 받는 사람이 데이터에 대한 이해를 갖고 서비스를 기획한다면 굉장히 효율적이면서 안전한 데이터의 설계가 가능하다.

Summary

블록체인이 모든 것을 바꿀수는 없지만, 그래도 꼭 회사/기관에 의지 하여서 자신의 ID 및 데이터의 유효성을 검증하지 않아도 된다는 점에서 굉장히 매력적인 기술에는 틀림없다. 하지만 실제 법과 그 사용사례들이 늘어야 그 효과와 파급력이 입증될 것이다.

Reference

https://medium.com/wearetheledger/the-blockchain-gdpr-paradox-fc51e663d047
https://medium.com/learning-machine-blog/the-eu-general-data-protection-regulation-and-the-blockchain-1f1d20d24951

Authors get paid when people like you upvote their post.
If you enjoyed what you read here, create your account today and start earning FREE STEEM!
Sort Order:  

Congratulations @insuretech! You received a personal award!

Happy Birthday! - You are on the Steem blockchain for 1 year!

Click here to view your Board

Support SteemitBoard's project! Vote for its witness and get one more award!

Congratulations @insuretech! You received a personal award!

Happy Birthday! - You are on the Steem blockchain for 2 years!

You can view your badges on your Steem Board and compare to others on the Steem Ranking

Vote for @Steemitboard as a witness to get one more award and increased upvotes!