블록체인(Blockchain)은 특정인의 신원을 인증하거나 금전을 이체하는 것처럼 ‘신뢰성 있는 서비스 구현’할 때 활용하기 적합한 분산화 기술이다. 분산원장을 활용하여 신뢰성을 확보하고, 블록 위 정보의 열람으로 인해 발생할 수 있는 피해를 막고자 암호화 기술을 기반으로 구현한다. 최근에는 이러한 블록체인 기술을 분산신원인증 서비스를 만드는데 이용하고 있다. 분산신원인증 서비스의 구현시 반드시 블록체인 기술이 이용되어야 하는 것은 아니지만, 신원인증 당사자가 중심이 되는 탈중앙 구조가 블록체인의 분산원장 기술구조와 유사해 유용하게 활용하는 것으로 보인다. 이용자가 블록체인 기반의 가상화폐 · 신원인증 등 서비스를 이용하기 위해서는 가입 절차를 거쳐야 한다. 그 과정에서 특정 개인을 식별하는 값들은 휘발되고 암호화된 임의의 대푯값을 부여받아 서비스를 이용한다. 또한 임의의 대푯값은 블록 위에 공개 저장되고 누구나 열람할 수 있다. 이해관계인들은 공개된 저장소에 개인을 대표하는 값이 저장됨에도, 암호화된 사정만으로 해당 정보가 재식별될 여지가 없는 안전한 정보라고 신뢰한다. 과연 블록체인 위 암호화 정보는 재식별이 불가능한 정보(익명정보)인가? 개인정보(식별가능정보 내지 가명정보)에 해당하지는 않는가? 암호화가 비식별 조치의 수단으로 이용된다는 전제에 비춰보면 식별이 곤란하거나 쉽지 않은 정보라는 점에는 이론의 여지가 없다. 다만 재식별이 불가능할 정도의 익명정보라면 해당 서비스를 제공하는 사업자는 개인정보보호법상의 보호조치를 이행할 의무가 없다. 반면 식별가능성이 있는 개인정보 내지는 가명정보라면 개인정보보호법에 따른 보호대상이 되는 만큼, 서비스 제공자는 해당 법률의 수범자로서 관련된 의무를 이행해야 한다. 본 보고서에서는 이러한 관점에서 블록체인 기반의 분산신원인증 서비스를 중심으로, ① 블록 위 암호화 정보가 무엇이고 ② 이 암호화 정보가 개인정보에 해당하는지를 검토하고자 한다. 그 결과에 따라 자격 검증 발급정보는 개인정보보호법상의 개인정보가 아니고, DID와 공개키는 가명정보는 아니지만 식별가능정보가 될 여지가 있다는 견해를 제시한다. 따라서 분산신원인증 서비스 제공자들은 DID와 공개키에 대하여 주의를 기울일 필요가 있다고 판단한다. 디지털 전환 흐름이 가속화되고 블록체인 등 신기술이 발전하는 만큼, 개인정보보호법과 하위 법령 및 관련 지침을 바탕으로 각 사안별로 구체적 타당성을 꾀하는 노력이 필요하다. 본 보고서는 연구자의 관점에서 이러한 내용을 살펴보았으며, 블록체인 기반의 서비스에 대한 개인정보보호법 적용 여부를 검토할 때 하나의 참조자료로 활용될 수 있길 기대한다.
Executive Summary
Blockchain is a decentralized technology suitable for 'implementing reliable services', such as authenticating a specific person's identity or transferring money. It is implemented based on encryption technology to secure reliability by using distributed ledger and to prevent damage that may occur due to the reading of information on blocks. Recently, such blockchain technology is being used to create a distributed identity authentication service. Although blockchain technology does not necessarily have to be used when implementing a distributed identity authentication service, it seems that the decentralized structure centered on the identity authentication party is similar to the distributed ledger technology structure of the blockchain and is usefully used. In order for users to use services such as blockchain-based virtual currency and identity authentication, they must go through a registration process. In the process, the values that identify a specific individual are volatilized and given an encrypted arbitrary representative value to use the service. In addition, arbitrary representative values are publicly stored on the block and can be viewed by anyone. Stakeholders trust that even though a value representing an individual is stored in a public storage, it is safe information that cannot be re-identified only by encrypted circumstances. Is the encrypted information on the blockchain really unrecognizable information (anonymous information)? Is it not personal information (identifiable information or pseudonymous information)? Given the premise that encryption is used as a means of de-identification, there is no question that information is difficult or difficult to identify. However, if the information is anonymous to the extent that re-identification is impossible, the service provider is not obligated to implement the protection measures under the Personal Information Protection Act. On the other hand, if identifiable personal information or pseudonymous information is subject to protection under the Personal Information Protection Act, the service provider must fulfill the relevant obligations as a beneficiary of the applicable law. From this perspective, this report intends to review ① what is encrypted information on the block and ② whether this encrypted information corresponds to personal information, focusing on the blockchain-based distributed identity authentication service. According to the results, the issue of qualification verification information is not personal information under the Personal Information Protection Act, and the DID and public key are not pseudonymous information, but suggest that there is room for identifiable information. Therefore, it is judged that distributed identity authentication service providers need to pay attention to DID and public key. As the flow of digital transformation is accelerating and new technologies such as blockchain develop, it is necessary to make an effort to find specific validity for each case based on the Personal Information Protection Act, subordinate statutes, and related guidelines. This report looked at these contents from a researcher's point of view, and it is expected that it can be used as a reference when examining whether the Personal Information Protection Act is applied to blockchain-based services.
