안녕하세요 헤바입니다.

로스규이는 8월 여름방학 중인데요. 최근에는 매주 발행이 쫓기는 느낌이 있었는데, 여름방학 동안 텐츠 발행 계획도 세우는 등, 더 장기적으로 더 유익한 레터를 발행하기 위해 노력 중이에요. (향후 로스규이 개편과 함께 더 알차게 다시 돌아오겠습니다.)

오늘 레터는 특별편으로 기존에 로스규이가 별로 다루지 않았던 Web3.0과 DAO 이야기를 준비했어요. 블록체인과 규제에 대해 궁금하셨을 로식가님들을 위해 특별한 분을 초대했는데요. (자세한 정보는 레터 맨 마지막에) 레서판다 주짓수 왕, 람세스가 이야기를 들려줄 예정입니다.

Web3.0? DAO? 많이 들었지만 알쏭달쏭한 개념에 대한 이야기와 Web3.0 서비스와 프라이버시 규제 사이의 긴장관계를 람세스와 이야기해보겠습니다. 

람세스🦝 : WEB 3.0은 블록체인 기반으로 탈중앙화, 데이터 소유를 개인화하는 3세대 인터넷 r기술입니다. 기술의 기반이 되는 블록체인 기술의 가장 큰 특징은 암호학적 방법을 사용하여 신원과 거래를 검증함으로써 두 당사자가 서로 신뢰하지 않고 상호 작용할 수 있는 ‘신뢰가 요구되지 않는 시스템(Trustless System)을 구축하여 은행이나 정부와 같은 제3자의 중개 없이 거래할 수 있습니다.

람세스🦝 : DAO는 탈중앙화 조직입니다. 블록체인 기술을 바탕으로 하여 별도의 중앙관리자 없이, 공통 목적을 가진 개인들이 모여 프로토콜에 따라 의사결정을 수행하는 유동적 온라인 공동체로 볼 수 있습니다.

정리해보면, Web3.0에서는 DAO 조직들이 블록체인을 기반으로 하여 스마트 계약을 이용하여 자율적으로 서비스를 제공하는 분산형 어플리케이션 (dAPP)을 제공합니다.

🍖 이용자 입장에서는 Web2.0 과 Web 3.0이 어떤 점에서 다른 지 궁금한데요.  

우선 Web2.0에 대해 설명해주시겠어요? 

람세스🦝 : 웹을 통한 상호작용이 늘어나고 생활 인프라를 구축하는 서비스가 디지털화 되면서 한 사람에 대한 핵심적인 정보들이 모두 웹을 통해 오고 가게 되었습니다. 현재 우리가 사용하고 있는 서비스는 웹 2.0을 기반으로 하고 있습니다. 정보를 손쉽게 저장하고 이동시키고, 사용하게 하는 웹의 개방성은 우리의 생활을 편리하게 해주었습니다.

그러나 웹 상의 서비스가 고도화되고 일부 기업들이 서비스 제공을 주도하게 되며 개인정보가 일부 기업들에게 집중되고 개인정보 유출이 발생했을 시 위험성이 커지게 되었습니다.

Web 2.0 시대의 프라이버시 원칙 : 정보처리자의 통지와 동의

온라인 상에서 서비스를 이용하려고 하면 꼭 묻는 것이 ‘개인정보 수집, 제공 동의’입니다. 이로써 우리에게 선택권을 주는 것 같지만 조금 따져보면 실상은 꼭 그렇지만은 않죠. 많은 경우에 꼭 사용하고 싶은 서비스가 있는 경우에는 개인정보 제공에 대하여 동의할 수밖에 없습니다. 실제로 영향력이 큰 서비스일수록 내 개인정보를 제공하는 것이 꺼려지더라도 그 서비스를 사용할 수밖에 없습니다.

일단 동의하고 나면, 그 정보를 어떻게 쓰는지는 대부분 기업의 자유에 맡겨져 있습니다. 동의를 받고 수집한 개인정보를 거대한 플랫폼 기업들이 축적하여 사용하고 있고, 이로부터 발생하는 이익은 오롯이 그러한 플랫폼 기업들에 귀속됩니다. 개인은 이로부터 소외될 뿐 아니 기업의 실수 또는 외부의 악의적 행위로 그러한 정보가 유출이라도 되면 아주 많은 사람이 자신의 소중한 프라이버시를 침해당하게 됩니다.

결국 서비스 제공자가 따로 있고, 이러한 중개자를 통해서 정보를 오가게 하는 지금의 웹 구조에서는 현재와 같은 개인정보보호의 체계가 최선일 수는 있지만 진정한 의미에서 개인정보에 대한 통제권을 정보주체에게 부여할 수는 없다는 것을 알 수 있습니다.

🍖 자, 이제 본론으로 넘어갈게요. Web 3.0은 Web 2.0과 어떻게 다르죠?

Web 3.0에서 강화되는 개인정보 통제권

Web 3.0의 가장 큰 장점은 정보주체에게 자신의 데이터에 대한 온전한 통제권을 부여할 수 있다는 점이 있습니다. 데이터를 정보주체가 지정한 장소에 탈중앙화하여 저장하도록 하고, 특정 기업이 정보주체의 데이터를 사용하기 위해서는 정보주체의 개별적 허가를 받아야하며, 기업이 정보주체의 데이터 사용에 대한 적절한 보상을 제공하도록 설계하는 것이 가능해집니다.

정보주체는 Web 3에서는 dAPP 서비스를 이용하거나 DAO 프로젝트에 참여할 수 있습니다. 이 때 매개가 되는 것은 정보주체의 계정 또는 지갑입니다. 이러한 계정 또는 지갑은 원론적으로는 익명화 또는 가명화되어 있으므로 보다 개인의 프라이버시 보호에 적합합니다.

그리고 dAPP 서비스를 이용하거나 DAO 프로젝트에 참여하는 과정에서 발생하는 개인정보와 데이터에 대하여 계정 또는 지갑이 직접 통제할 수 있도록 하고, 제3자의 접근의 허용 등에 대하여 보상이 이루어지도록  프로토콜을 설계하여 데이터 주권을 정보주체에게 돌려줄 수 있습니다.

🍖 Web 3.0이 Web 2.0이 가지고 있는 개인정보 문제를 해결할 수 있어보이는데요.
하지만, 웹 3.0 이 오히려 현행 개인정보 규제 준수는 어렵다구요? 

람세스🦝 : 네. 웹 3.0은 의도된 바와 같이 설계된다면 웹 2.0에서 해결하지 못하였던 개인정보보호와 프라이버시 문제를 해결할 수 있을 것으로 기대됩니다. 하지만 기존의 규제 체제하에서 웹3.0이 개인정보보호의 원칙을 잘 준수하고 있는지, 개별 법령들의 요구사항을 잘 충족하고 있는지를 확인하는 것은 다소 곤란할 때가 있습니다. 아래 3가지 쟁점이 있습니다. 

1️⃣ Web 3.0 규제에서는 정보처리자의 통지와 동의가 중심이 될 수 있는가?

현행 개인정보보호 법령들은 그것이 GDPR이 되었든 우리의 개인정보보호법이 되었던 캘리포니아의 CCPA가 되었든 대부분 정보주체에게 정확한 ‘공지’를 하고 유효한 ‘동의’를 받았는지를 중심에 두고 있습니다. 그렇지만 웹3.0에서는 동의를 받는 것보다는 프로토콜에 따라 개인의 데이터가 저장되고 그에 대하여 접근 허가되고 그로 인한 보상이 지급되는 전체 단계의 설계가 인입 단계의 동의보다도 중요합니다. 따라서 하나의 일률적인 기준인 ‘동의’의 여부로서 법령 준수를 판단하는 것이 적합하지 않습니다.

2️⃣ 누구를 규제할 것인가?

또 탈중앙화된 조직과 서비스 제공의 형태 특성상 명확하게 정보처리자를 규정하기가 어렵고, 따라서 규제적용의 대상을 누구로 보아야 할지 판단하기가 곤란한 점이 있습니다. 진정한 의미의 DAO에서는 모두가 참여하여 의사결정을 하지만 운영의 실제에 있어서는 보다 영향력 있는 개인 혹은 집단이 있을 수 있음. 이에 대한 (법적) 책임의 부과가 어려워집니다.

3️⃣ 누가 규제할 것인가?

웹 3.0 서비스의 경우 진정한 의미에서 글로벌 서비스로서 기획될 수 있지만 이로써 오히려 책임의 주체가 어디에 위치해 있는가에 따라 적용되는 규율이 달라지는 이슈가 발생할 수 있으며, 여러 국가로부터 동시적으로 법적 책임을 추궁당할 리스크가 발생합니다.

향후 과제는

따라서 WEB 3.0 환경에 적합한 개인정보보호를 위한 컴플라이언스 새로운 기준을 정립하여야 합니다. 단순히 ‘동의’ 확보 여부 위주의 기존 규제를 넘어서 개인정보보호 및 정보주체의 권리 확보를 위하여 프로토콜 설계 시 반영하거나 준수하여야 할 표준을 제시하는 것이 필요하고, dAPP 또는 DAO 이면의 서비스 제공자 식별이 어려운 점을 고려하여, 이슈가 발생했을 경우에 대한 의사결정 또는 프로토콜 설계 노드(계정/지갑)의 책임을 부과할 필요도 있습니다.

그리고, 프로토콜 상에 문제 발생 시 책임 부담에 대한 부분이 프로토콜 내에 반영될 수 있도록 가이드 제시도 필요합니다. 또한 크로스보더로 제공되는 WEB3.0 서비스의 성격을 고려하여 법적 관할권 적용 기준을 위한 국제통용의 기준 및 원칙의 정립까지, 새로운 세계를 맞이하는 정책이 필요합니다. (자세한 내용은 아래 포럼에서 이야기 나눠볼 예정입니다.)