국내 분산신원증명(DID) 전문가들이 모인 자리에서 개인정보 보호법과 DID 저촉 여부를 면밀히 살펴야 한다는 목소리가 제기됐다. DID 서비스의 형태에 따라 개인정보 보호법 적용에 따른 제한을 받을 수 있다는 설명이다.
2021년 12월 13일 ‘2021 블록체인 진흥주간’이 개최됐다. 과학기술정보통신부가 주최한 이번 행사는 ‘블록체인, 디지털 미래를 생각한다’라는 주제로 온라인을 통해 진행됐다.
행사의 순서로 ‘DID 활성화를 위한 정책, 표준화, 법제도 개선방향’을 주제로 하는 토론이 진행됐다. ▲염흥열 DID 기술 및 표준화 포럼 의장 ▲하태균 한국인터넷진흥원(KISA) 팀장 ▲박근덕 서울외대 교수 ▲이정화 LG CNS 단장 ▲전승재 법무법인 바른 변호사가 패널로 참여했다.
박근덕 교수는 DID 활성화를 위한 가장 중요한 요소로 ‘이용자 보호’를 꼽았다. 박 교수는 “현재 DID 서비스는 신분증이나 증명서를 발행하고 관리하는 것이 대부분”이라며 “이것들은 개인에 대한 책임이 수반된다”고 설명했다.
이어 박 교수는 DID 시스템의 문제점으로 ▲신원 도용 ▲증명서 복제 및 위변조 ▲증명서 제출 시 정보 유출 ▲증명서 저장 시 정보 유출 ▲위탁자 권한 남용 등 5가지 보안 위협을 제시했다.
박 교수는 증명서나 개인키가 대부분 개인 단말기에 저장된다는 점을 DID의 취약점으로 짚었다. 정 교수는 “스마트폰이나 랩탑 등의 개인 단말기는 보안에 매우 취약하다”며 “이러한 위협을 어떻게 관리하는가는 DID가 보완해가야 할 부분”이라고 설명했다.
이어 “개인키나 증명서를 대신 관리해주는 수탁사의 경우 위탁자가 권한을 남용할 수 있다”며 “증명서의 발행과 검증 대행 과정에서의 권한 남용은 DID 시스템에 대한 위협 중 하나”라고 덧붙였다.
박 교수는 DID 서비스 표준화의 필요성 또한 강조했다. 그는 “한국의 DID 시스템을 다른 국가에서도 사용할 수 있는지, 연동했을 때의 새로운 보안 위협은 없는지도 살펴봐야 한다”며 “상호운용성과 보안성 측면에서 표준화가 이뤄져야 한다”고 주장했다.
전승재 법무법인 바른 변호사는 DID 서비스의 종류에 따라 개인정보 보호법 적용 여부가 달라질 수 있다고 설명했다.
전 변호사는 “블록에 개인정보를 기록하는 행위는 제한될 수 있다고 보는 것이 개인정보 보호법상 주류적인 해석”이라고 말했다. 그는 “블록체인에 증명서의 정보를 올리면 원치 않은 열람으로부터 보호할 수 없으며, 새로운 노드가 들어올 경우 개인정보의 제3자 제공에 해당할 소지도 있다”고 설명했다. 이어 “블록에 한번 기록된 내용을 지울 수 없다는 특성 때문에 개인정보 삭제권을 보장할 수도 없다”고 덧붙였다.
전 변호사는 개인정보의 범위가 명확하지 않은 점도 문제로 지적했다. 전 변호사는 “공개키(Public Key) 같이 특정 개인에게 할당된 고유한 값은 법률상 개인정보에 해당할 여지가 있다”고 설명했다.
특정 값이 고유하다는 것은 해당 데이터가 어떤 이용자의 것인지 대응시킨 연결 정보(matching table)가 존재할 수 있음을 의미한다. 전 변호사는 “법률상 개인정보는 다른 정보와 쉽게 결합해 개인을 알아볼 수 있는 정보”라고 말했다.
이어 “개인별 고유 값과 연결 정보를 결합하면 개인을 알아볼 수 있다”며 “공개키는 개인정보에 해당할 여지가 있다”고 설명했다.
전 변호사는 DID 서비스의 구현 방식으로 세 가지를 설명했다. 첫째는 이용자가 모든 사이트에서 공통된 공개키를 사용하고 이를 블록에 저장하는 방식이다.
△전승재 변호사가 메타버스에서 발제를 진행하고 있다. kisa_streaming 화면 갈무리
전 변호사는 “해당 방식은 기존 공인인증서처럼 활용할 수 있으나, 공개키가 개인정보에 해당할 소지가 큰 만큼 활용이 어렵다”고 설명했다. 공개키와 이용자를 연계하는 연결 정보를 모든 사이트가 공통으로 사용하기 때문에, 해당 정보가 노출될 경우 개인을 누구인지 쉽게 특정할 수 있다는 설명이다.
가장 많이 사용되는 것은 이용자가 사이트마다 다른 공개키를 사용하는 방식이다. 이때 공개키들은 모두 블록체인에 올라가지만, 각 공개키와 이에 대응하는 연결정보는 특정 인증기관(CA)이 비밀로 유지하고 보유한다. 각 사이트마다 별개의 연결정보가 존재하기 때문에 개인정보 노출 위험성이 상대적으로 적다는 설명이다
전 변호사는 “다만 이 경우에도 연결정보를 가지고 있는 CA에게는 공개키가 개인정보에 해당한다”며 “해당 CA 이외 다른 블록체인 참여자들이 연결정보를 열람하지 못하도록 막는 것 또한 관건”이라고 설명했다.
세 번째는 ‘영지식증명(zero-knowledge proof)’을 이용하는 방식이다. 이용자가 사이트별 다른 공개키를 사용하되 연결 정보는 이용자 단말기에 저장하고, 외부에는 자신이 해당 공개키의 주인이라는 정보만 공유하는 방법이다.
전 변호사는 “개인정보가 될 만한 고유 값이 블록에 기록되지 않고 이용자 단말기에만 머무르게 된다"며 “개인정보 보호법상 가장 안전한 방법”이라고 설명했다.