블록체인 기술의 적용은 이미 디지털 자산 산업을 넘어 다양한 조직들이 블록체인의 여러 데이터 저장 및 관리 가능성을 적극적으로 탐색하고 있습니다.

​블록체인은 변경 불가능성, 투명성, 탈중앙화된 데이터 관리, 높은 가용성과 같은 특성을 가지고 있어 금융업, 공급망 관리, 의료 등 여러 산업의 관심을 끌고 있습니다. 그러나 이러한 특성은 컴플라이언스 요구사항을 충족하는 데 있어 큰 도전 과제가 되기도 합니다. 구체적인 도전 과제는 다음과 같습니다:​

• 변경 불가능성: 데이터가 블록체인 상에 기록되면 수정이나 삭제가 불가능합니다.

• 투명성: 모든 네트워크 참여자는 모든 데이터를 검토하고 진위를 검증할 수 있습니다.

• 탈중앙화 관리: 데이터는 특정 단일 실체에 의해 통제되지 않으며, 어떤 주체도 단독으로 책임지지 않습니다.

• 높은 가용성: 데이터는 여러 노드에 복제되어 저장되므로 언제든지 접근할 수 있습니다.

블록체인의 컴플라이언스는 Web3.0 산업에만 국한되지 않는다.

기업의 업무 성격과 관리하는 데이터 유형에 따라 현대 블록체인 활용 사례는 다양한 규제 기준의 제약을 받을 수 있습니다. 최근 몇 년 동안 전 세계 금융 규제 기관들은 관련 규제 프레임워크를 지속적으로 발표하고 업데이트하며, 이에 대한 언론과 대중의 관심이 높아지고 있습니다. 그러나 기업은 개인 신원 데이터, 의료 기록, 상업 문서, 디지털 증명서 등 다양한 데이터를 처리하는 데 있어 다양한 법적 요구사항을 준수해야 합니다.​

이 글에서는 블록체인 기술을 활용하여 개인 및 건강 데이터를 관리할 때 프라이버시와 데이터 보호 규제 프레임워크가 미치는 영향을 중점적으로 살펴보겠습니다.​

# 프라이버시 및 데이터 보호 규제 프레임워크에서의 핵심 과제

​

규제 분야에서 프라이버시와 개인 데이터 보호(예: GDPR, CCPA/CPRA, PIPL 등)와 건강 데이터 보호(예: HIPAA) 사이에는 많은 중복 요구 사항이 존재합니다. 이러한 중복은 관련 데이터의 민감성에서 기인하며, 데이터 보호, 안전성 및 프라이버시와 관련된 유사한 요구 사항이 제기됩니다.

​

이러한 규정은 블록체인 기술이 널리 사용되기 전에 제정된 것들로, 블록체인에 대해 명시적으로 언급하지 않았기 때문에 블록체인과 관련된 문제를 직접적으로 해결하지 못했습니다. 그럼에도 불구하고, 이러한 규정은 블록체인 기술을 활용하여 개인 또는 건강 데이터를 관리하는 기업에 여전히 적용됩니다.

​

특히 블록체인의 핵심 특성은 데이터 보호와 프라이버시 요구를 충족하는 데 몇 가지 도전 과제를 제기합니다.

아래 내용에서는 각 도전 과제를 심층적으로 탐구하고, 기업이 블록체인을 사용할 때 프라이버시 및 데이터 보호 요구를 충족하는 방법과 CertiK이 이와 관련하여 어떻게 지원할 수 있는지를 분석할 것입니다.

​

# 변경 불가능성

​

블록체인의 변경 불가능한 특성은 컴플라이언스 측면에서 여러 중요한 도전 과제를 가져옵니다. 특히, 사용자 수정 및 데이터 삭제 권한과 관련된 문제를 제한합니다.

# 투명성

​

사용자의 프라이버시를 보호하기 위한 접근 통제 요구는 블록체인 솔루션을 구현할 때 복잡한 도전을 야기합니다.

# 탈중앙화

​

블록체인의 탈중앙화 특성, 특히 거버넌스 측면에서 규제 요구 사항의 역할 및 책임 규정과 충돌할 수 있습니다.

# 가용성

블록체인 네트워크의 노드는 일반적으로 다양한 지리적 위치에 분포되어 있어 데이터 저장 및 전송의 컴플라이언스에 큰 도전을 제공합니다.

솔루션

# 혼합 저장 모델

​

혼합 저장 모델은 블록체인의 장점과 규제 요구 사항을 균형 있게 조화시키는 주요 해결책입니다. 이 모델은 데이터를 온체인 저장과 오프체인 저장으로 나누어 전략적으로 배분합니다:

​

• 민감한 데이터는 전통적인 컴플라이언스 데이터베이스에 저장됩니다.

• 블록체인에는 데이터의 참조와 검증 증명만 저장됩니다.

• 민감한 데이터의 수정은 오프라인 저장에서 이루어집니다.

• 블록체인은 변경 불가능한 감사 기록을 보유합니다.

​

혼합 저장 모델을 채택하면 민감한 데이터가 전통적이거나 오프체인 저장 솔루션에 저장되어 다음과 같은 도전 과제를 해결할 수 있습니다:

​

• 변경 불가능성: 오프체인 저장을 통해 데이터를 삭제하고 수정할 수 있으며, 데이터의 무결성을 유지합니다. 또한, 오프체인 데이터에서 보존 정책을 시행할 수 있습니다.

• 투명성: 오프체인 저장을 통해 민감한 데이터의 보안, 접근 통제 및 암호화 조치를 강화하고 관리할 수 있습니다.

• 탈중앙화: 전통적인 저장 솔루션을 통해 역할과 책임을 쉽게 분리할 수 있습니다.

• 높은 가용성: 데이터의 위치와 저장에 대한 관할권을 효과적으로 통제할 수 있습니다.

​

예를 들어, 의료 서비스 제공자는 환자 기록을 HIPAA 기준에 부합하는 전통적인 데이터베이스에 저장하면서 블록체인을 사용해 접근 로그를 추적하고 데이터의 무결성을 유지할 수 있습니다. 이 프로세스를 통해 필요할 때 기록을 수정하거나 삭제할 수 있으며, 데이터 보존 정책을 준수하고 데이터 저장 위치를 제어하면서 변경 불가능한 감사 기록을 유지할 수 있습니다. 에스토니아의 전자 건강 시스템(e-Health)은 이 모델의 적용 사례로, 환자 기록은 오프체인 데이터베이스에 저장되고 KSI 블록체인을 사용해 건강 기록의 접근 로그를 보호하고 전국 의료 네트워크의 데이터 무결성을 보장합니다.

​

# 허가된 프라이빗 체인 네트워크

​

프라이빗 체인 네트워크는 조직에게 네트워크 참여, 권한 및 데이터 거버넌스에 대한 통제를 제공하면서, 분산 시스템의 장점을 유지합니다:

​

• 인증 및 허가를 통해 네트워크 구성원의 자격을 관리합니다.

• 역할 기반 권한을 통해 데이터 접근 및 노드 운영 권한을 정의합니다.

• 구성 가능한 합의 메커니즘과 거버넌스 규칙을 제공합니다.

• 노드의 지리적 위치를 통제합니다.

​

이 네트워크 솔루션은 다음과 같은 문제를 해결합니다:

​

• 투명성: 데이터 접근을 세밀하게 제어하여 보안성과 프라이버시 요구를 충족합니다. 암호화 기술을 적용하여 이를 더욱 강화할 수 있습니다.

• 탈중앙화: 데이터 제어자와 처리자의 책임을 명확하게 분배할 수 있습니다.

• 높은 가용성: 데이터의 위치와 분포를 효과적으로 통제할 수 있습니다.

​

허가된 프라이빗 체인 네트워크의 전형적인 예로, 건강 관련 데이터에 대한 세밀한 접근 제어를 통해 환자 프라이버시를 보장하고 안전한 의료 협업을 지원합니다:

​

• 의료 서비스 제공자는 환자 기록에 대한 접근 권한을 유지합니다.

• 각 참여자는 자신에게 부여된 권한에 따른 의료 기록의 일부만 접근할 수 있습니다.

• 임상 협력자는 자신의 역할에 따라 특정 권한 수준을 가집니다.

• 환자는 전체 병력 기록을 노출하지 않고도 기록을 공유할 수 있습니다.

​

예를 들어, Medicalchain은 Hyperledger Fabric의 허가된 구조를 활용하여 다양한 접근 수준을 구현해 환자가 자신의 기록을 누구에게, 어떤 정보와 언제 볼 수 있는지를 제어할 수 있도록 합니다. 또한, 리즈 교육 병원 신탁(Leeds Teaching Hospital Trust)과 엘리자베스 여왕 병원(Queen Elizabeth Hospital)과 같은 의료 기관은 규제 요구를 충족하면서 안전하게 환자 데이터를 교환할 수 있습니다.

​

# 영지식 증명(ZKP)

​

영지식 증명은 기본 데이터를 노출하지 않고 정보를 검증할 수 있는 방법으로, 규제 요구를 충족하면서도 프라이버시를 유지하는 강력한 해결책을 제공합니다. 블록체인에는 민감한 데이터가 저장되지 않고, 데이터의 진위성을 검증하는 증명만 저장됩니다. 주요 특징은 다음과 같습니다:

​

• 데이터 유효성을 증명하는 수학적 증명 생성.

• 기본 데이터를 노출하지 않고 주장 검증.

• 정보의 선택적 공개 구현.

• 검증 과정에서 데이터 기밀성 유지.

​

민감한 데이터가 데이터 보호 및 프라이버시 요구에 따라 적절히 체인 하에 저장된다고 가정할 때, 다음과 같은 도전 과제를 해결할 수 있습니다:

​

• 변경 불가능성: 데이터의 수정 및 삭제, 보존 정책은 오프체인에서 처리되며, 동시에 온체인에서 데이터 진위성을 검증할 수 있는 가능성을 유지합니다.

• 투명성: 온체인에서 데이터를 검증하는 동시에, 오프체인에서 민감한 데이터의 기밀성을 보호합니다.

• 탈중앙화: 오프체인 저장 솔루션을 통해 민감한 데이터의 역할과 책임을 명확히 분배합니다.

• 높은 가용성: 데이터의 위치와 분포는 오프체인 데이터 저장에 의존하며, 검증 기능은 온체인에서 구현됩니다.

​

금융 기관은 영지식 증명 기반의 KYC 프로세스를 통해 다음과 같은 기능을 실현할 수 있습니다:

​

• 고객이 원본 개인 데이터를 노출하지 않고도 신원 요구 사항을 증명할 수 있습니다.

• 은행은 민감한 정보를 저장하지 않고도 컴플라이언스를 검증할 수 있습니다.

• 신원 검증 결과는 온체인에 저장되면서 프라이버시를 보호합니다.

• 여러 기관이 고객 상태를 검증할 수 있으며, 중복 검사를 하지 않아도 됩니다.

​

예를 들어, Privado ID(구 Polygon ID)는 조직이 W3C 표준에 부합하는 검증 가능한 증명을 발급할 수 있도록 하며, 사용자는 검증자에게 특정 주장을 증명할 수 있습니다(예: KYC 상태) 하면서도 기본 개인 데이터를 노출하지 않습니다. 이 과정은 블록체인 기반 검증과 영지식 증명 기술을 결합하여 컴플라이언스와 프라이버시 안전을 동시에 고려합니다.

결론

블록체인 기술과 컴플라이언스의 교차점은 상당한 도전 과제를 제기하지만, 새로운 해결책이 이러한 격차를 해소할 수 있는 실질적인 방법을 제공합니다. 아래 표는 주요 도전 과제와 해당 해결책을 매칭하여 정리한 것입니다. 이 표에 제시된 해결책은 체인 하에 저장된 민감한 데이터가 데이터 보호 및 프라이버시 요구에 따라 관리된다고 가정합니다.

# 주요 요점

​

• 현재 민감한 데이터를 온체인에서 호스팅 하면서 모든 컴플라이언스 문제를 완전히 해결할 수 있는 단일 해결책은 존재하지 않습니다. 블록체인 기술의 원래 특성과 이상을 유지하기 위해서는 다양한 방법을 결합하고 구체적인 비즈니스 및 운영 요구를 고려하는 것이 최선의 선택일 수 있습니다.

​

• 개발 과정 초기에 컴플라이언스를 포함시키는 것이 중요하며, 사후 보완보다 더 효과적입니다. 이는 적합한 블록체인 유형(예: 퍼블릭/프라이빗, 허가/비허가 등) 및 추가 해결책을 결정하는 데 도움을 줍니다.

​

• 관련 규정이 지속적으로 제정되고 기술 해결책이 발전하고 있으므로, 최신 규제 정책의 진행 상황을 지속적으로 확인하는 것이 특히 중요합니다.

​

블록체인 기술과 규제 프레임워크가 점점 더 성숙해짐에 따라, 신중하게 해결책을 조합할 수 있는 조직이 더 큰 이점을 가질 것입니다. 이는 규제를 준수하면서 블록체인의 장점을 최대한 활용할 수 있게 합니다.

​

CertiK은 블록체인을 채택하는 기업의 각 발전 단계에서 해결책 지원을 제공합니다. 특히 개인 및 민감한 데이터를 관리할 필요가 있는 기업을 위해 다음과 같은 서비스를 제공합니다:

​

• 인프라 및 데이터 설계 또는 기존 환경을 분석하여 적합한 규제 프레임워크를 식별합니다.

• 인프라 및 데이터 설계 또는 기존 환경을 평가하여 정보 통신 기술(ICT) 및 규제 리스크를 식별합니다.

• ICT 및 규제 리스크에 대한 대응 방안을 제안합니다.

• 규제를 준수하면서 블록체인 기술을 최대한 활용할 수 있는 적합한 해결책을 결정합니다.