"CBDC 개발 관건은 개인정보보호 강화 기술"

24일 오후 서울 중구 한국은행에서 열린 '2024년 제2회 개인정보 기술포럼 세미나'. 유상대 한국은행 부총재, 최장혁 개인정보위 부위원장, 염흥열 기술포럼 의장(왼쪽부터)./사진=한국은행

글로벌 중앙은행들이 새로운 화폐 시스템인 중앙은행 디지털화폐(CBDC) 개발에 열을 올리고 있다. 한국은행도 구체적인 도입 여부나 운영 방식을 확정하지는 않았지만 개발 전반에 대한 연구에 박차를 가하고 있다.

디지털 환경 속에서 구현되는 화폐 시스템에서 가장 중요한 부분은 무엇일까. 전문가들은 입을 모아 '개인정보보호'가 가장 중요하다고 외쳤다. 그렇다면 한국은행과 학계, 업계가 추진하고 있는 개인정보 보호 연구는 어떤 모습일까.

■ "PET, 오프체인 등 거래 기밀성 도모할 수 있는 기술 확보 필요"

24일 한국은행과 개인정보보호위원회가 공동 개최한 '2024년 제2회 개인정보 기술포럼 세미나'는 'CBDC 관련 개인정보보호 강화 기술 활용 방향'이라는 주제로 전문가들의 의견이 오갔다.

유상대 한국은행 부총재는 축사에서 "현시점에서 CBDC 도입 여부와 시기를 구체적으로 말하기는 어렵다"면서도 "CBDC가 개인정보보호와 관련해 이용자들로부터 높은 신뢰를 얻을 수 있게 영지식증명, 동형암호 등 다양한 기술에 대한 연구를 심도있게 수행 중"이라고 밝혔다.

현재 한국은행이 추진하고 있는 CBDC 시스템 상 개인정보보호 방안은 어떤 방향을 지니고 있을까. '한국은행의 CBDC 관련 개인정보보호 연구 방향 및 현황'이라는 주제로 첫 번째 발제자로 나선 이지은 한국은행 과장은 "국제결제은행(BIS)과 각국 중앙은행은 CBDC 시스템 상의 거래 익명성(기밀성)을 구현하고자 다양한 기술 활용 실험과 법제화에 나서고 있다"며 "한국은행은 CBDC 시스템 설계 단계부터 개인정보를 최우선(Privacy by Design)으로 고려하고 있다"고 말했다.

그간 한국은행은 범용과 기관용 CBDC 시스템 상의 개인정보보호 강화 기술 개발에 적극 나서고 있다. 이 과장은 "가정된 범용 CBDC 시스템에서 이용자에게 본인이 생성한 정보에 대한 관리 권한을 강화하고, 해당 거래와 관련된 이해관계자에게만 분산원장에서 필요한 최소 정보에 대해서만 접근 권한을 부여하는 방식으로 연구에 나서고 있다"고 설명했다.

그간 △영지식 증명기술을 활용한 익명 송금 구현 실험(2021년 12월 ~ 2022년 6월) △동형암호 기술을 활용한 이용자 정보제어권 부여(2024년 4월 ~ 2024년 9월) △영지식 증명기술을 활용한 무기명 거래의 AML/CFT 방안(2024년 4월 ~ 2024년 9월) △자·타행 송금시 거래기밀성 구현 실험(2023년 10월) 등이 진행됐다.

이어 이 과장은 연구 계획에 대해 "개인정보보호 강화 기술(PET) 적용 실험을 통해 최적의 조합을 탐색하는 연구를 수행할 계획"이라며 "지급·수납·송금과 전자지갑 발행, 거래내역 저장 등 CBDC 유통에 있어서 개인정보보호 중심 CBDC 시스템 설계가 진행될 것"이라고 제시했다.

'개인정보보호 관점의 CBDC 관련 법적·기술적 이슈'라는 주제로 두 번째 발표에 나선 김도엽 김앤장 법률사무소 변호사도 "분산원장 상의 정보는 전자적 파일 형태인 만큼 보호법에 따라 원칙적으로는 복원이 불가능한 방법으로 영구 삭제해야 한다"며 "PET 기술 등을 적용한 안전한 데이터 활용을 보장하고 이를 뒷받침하는 정책적 접근을 고려해야 한다"고 언급했다.

■ "영지식 증명·동형암호·링서명 등 대안 필요"

PET 기술만으로는 개인정보보호가 완벽하지 않다는 지적도 나왔다. 세 번째 발표에 나선 최대선 숭실대학교 교수는 'CBDC의 개인정보보호 강화 기술 활용 방안'이라는 주제에서 "PET 기술이 거래 기밀성을 완벽하게 충족하지는 못한다"며 "오프체인 활용이나 분산원장 법력 해석 등 다양한 개선 방안이 필요하다"고 강조했다.

여러 사용자의 서명을 섞는 링 서명(Ring Signature)이나 비밀 정보를 공개하지 않고 정보를 알고 있음을 증명하는 영지식증명(Zero-Knowledge Proof), 복호화 없이 암호화된 상태에서 연산에 나서는 동형암호, 블록체인 외부에 일어나는 거래를 기록하는 오프체인 등 개인정보보호에 활용할 다양한 장치가 있다고 말했다.

네 번째 발표에서 신준범 크립토랩 최고기술책임자(CTO)는 '동형암호 기술을 활용한 이용자 정보 제어권 부여 방안'을 통해 동형암호 기술을 활용해 이용자가 자신의 거래내역 정보를 주도적으로 안전하게 제어할 수 있는 방법을 제시했다. 신 CTO는 "CBDC에 동형암호가 적용될 경우 거래에 참여하지 않는 기관도 해당 거래내역 정보를 보는 것을 차단하는 등 거래내역을 보호할 수 있다"며 "또한 분산원장 성능 저하를 줄이는 등 실시간 거래 처리에도 용이하다"고 전했다.

마지막 발제로 오현옥 지크립토 대표는 영지식증명을 활용한 무기명 거래의 AML/CFT(자금세탁 및 테러자금 방지) 기술 설계 방안을 발표했다. 영지식증명은 비밀정보를 공개하지 않고 그 정보의 존재를 증명할 수 있는 기술로 데이터에 대한 프라이버시를 유지하면서도 데이터에 대한 정당성을 공개적으로 검증할 수 있는 핵심 기술이다.

오 대표는 "CBDC의 목표 중 하나인 국제 송금 편의성 도모에서 송신자의 개인정보 관리를 어떻게 할 것인지를 생각하면서 영지식증명 활용 기술을 설계하고 있다"며 "zk-SNARK라는 기술을 활용해 프라이버시를 보장하고 무결성 검증을 할 수 있다"고 말했다.

지크립토의 zk-SNARK은 영지식증명을 활용해 사용자의 개인정보 유출을 최소화하는 한편 사용자의 정당성을 증명하는 기술이다. 지크립토는 자금세탁이나 테러자금을 방지하기 위해 AML/CFT 기술 설계에 zk-SNARK를 적용하고 있다. 즉, 즉, 테러자금이나 불법 자금세탁이 아니라는 것을 증명하는 '화이트리스트'를 두고, 이에 속한 대상이 꼭 개인정보를 공개하지 않아도 일정 정보를 증명하기만 하면 일정 금액 이내로 송금을 허용하도록 하는 기술이다.

오 대표는 " CBDC 시스템에서 무기명 거래 진행시 송·수신자가 직접 본인의 신용도 증명을 생성하는 개인정보 AML/CFT 기법을 통해 이용자의 개인정보를 보호할 수 있을 것"이라고 했다.


임태성 머니투데이방송 MTN 기자