Nathan DiCamillo
2019년 11월21일 10:00
요약
- 세계적인 결제 기업 비자(Visa) 산하 비자 연구소(Visa Research)가 여러 이해당사자 간에 민감한 데이터를 처리하는 블록체인 시스템 루시디티(LucidiTEE)를 개발하고 있다고 보고서를 통해 밝혔다.
- 루시디티는 “은행과 핀테크 애플리케이션이 중개자인 데이터 수집업체(data aggregator)에 의존하지 않고 데이터를 공유할 수 있도록 하는 시스템”이다.
- 유럽은 개인정보와 고객 데이터를 보호하는 데 있어 일반개인정보보호법(GDPR)을 비롯한 공동의 법률을 따른다. 반면에 미국 은행들은 데이터 수집업체들과 별도의 협약을 맺어야 한다.
세계 최대의 카드 결제 네트워크를 갖춘 기업인 비자가 금융 거래 데이터를 처리하는 자체 블록체인 시스템을 개발해온 것으로 밝혀졌다. 비자의 블록체인 시스템은 기존에 은행들이 민트(Mint)나 크레딧 카르마(Credit Karma)와 같은 소비자 금융 애플리케이션에 고객의 거래 데이터를 보내 처리하던 방식을 완전히 바꿔놓을 수도 있는 잠재력을 지녔다.
비자 산하 비자 연구소(Visa Research)는 최근 펴낸 보고서에서 자체 블록체인 시스템 루시디티(LucidiTEE)를 소개했다. 루시디티는 민감한 개인정보를 ‘신뢰실행환경(TEE, trusted execution environment)’에서 처리한 뒤 거래에 참여한 사실을 확인받은 당사자에게만 거래 처리 결과를 공유한다. (블록체인의 이름은 명료하다는 뜻의 ‘루시디티(lucidity)’와 ‘신뢰실행환경(TEE)’을 결합한 것이다)
비자는 우선 루시디티를 고객과 금융 앱 간의 데이터를 공유하는 데 도입한다. 복수의 비자 관계자들은 루시디티의 등장이 플라이드(Plaid), 엔베스트넷(Envestnet), 요들리(Yodlee), 피니시티(Finicity) 같은 데이터 수집업체들에 위협이 될 수 있다고 말한다.
루시디티는 또 은행의 데이터를 받아 머신러닝 알고리듬을 훈련할 수도 있다. 이는 금융 사기를 예방하는 일이나 금융 데이터를 추적하는 앱이 익명의 고객 정보를 구글 같은 테크 기업에 팔아넘기는 행위를 적발하는 데 활용될 수 있다.
비자는 루시디티와 관련한 별도의 취재 요청에 답하지 않았다.
암호화 전자기록 아카이브(Cryptology Eprint Archive)에 올라온 이번 보고서의 설명을 그대로 옮기면 다음과 같다.
“루시디티는 다수의 이해 관계자가 함께 대규모 개인정보를 처리할 수 있고, 데이터 제공자들이 오프라인에서도 처리 결과를 받아볼 수 있는 최초의 시스템이다. 모든 참여자에게 데이터 처리 결과가 공정하게 공유되는 것도 루시디티의 특징이다.”
금융과 결제 분야의 공룡인 비자는 그동안 블록체인 분야에서 여러 가지 실험을 거듭해왔다. 페이스북의 암호화폐 프로젝트 리브라를 이끌 리브라연합(Libra Association)에 창립회원사로 참여하려다 지난 10월 출범 직전에 탈퇴했고, 블록체인 스타트업 체인(Chain)과 함께 개발된 블록체인 기반 B2B 결제 서비스 실험에도 나선 적이 있다. 체인의 B2B 결제 서비스는 속도가 느린 외국환거래 서비스 네트워크를 거치지 않고도 기업들이 국제 송금을 할 수 있는 서비스다.
비자 연구소의 이번 연구는 보안·암호화 기술 커뮤니티 전체에 적용할 수 있는 만큼, 경쟁사가 루시디티를 도입하거나 차용할 가능성도 없지 않다. 그러나 동시에 비자가 앞으로 루시디티를 지적 재산으로 활용해 추가 수익을 낼 수 있는 가능성도 있다.
루시디티는 텐더민트(Tendermint)와 하이퍼레저 패브릭(Hyperledger Fabric)의 개방형 블록체인 플랫폼에서 시범 운영을 마쳤다. 또한, 알고랜드(Algorand)나 내년에 업그레이드할 예정인 이더리움 2.0과 같은 지분증명 합의 방식을 따르는 퍼블릭 블록체인에서도 호환된다.
데이터 수집업체들과의 경쟁
보고서는 아직 최종 게재되기 전에 심사(peer review) 과정을 거치고 있다. 보고서 내용이 일부 수정될 수도 있다는 뜻이다. 그러나 현재 버전에도 중개업체들을 가능한 한 줄이고 싶어 하는 비자의 바람이 여실히 드러난다. 즉 고객 정보가 거쳐 가는 중간 업체의 수를 줄여 고객들이 개인정보를 최대한 스스로 관리하고 통제하도록 하고 싶은 금융 기관들의 소망은 비자도 다르지 않을 것이다.
핀테크 앱의 운영 방식은 금융 기관들의 바람과는 조금 다르게 설계돼 있다. 핀테크 앱은 금융 거래정보를 고객에게 받아 잘못된 부분을 걸러내고 기록하기 좋게 규격에 맞춰 정리하는 일을 은행 스스로 처리하는 대신 제3의 데이터 수집업체(data aggregator)에 맡기도록 설계돼 있다. 고객에게 직접 서비스를 제공하는 핀테크 애플리케이션과 은행이 정보를 투명하게 공유하는 것이 ‘개방형 금융(open banking)’을 이루는 중요한 토대이기 때문이다.
실제로 데이터 수집업체들은 이런 환경을 발판 삼아 금융 시스템의 핵심으로 자리매김했다. 가계부 민트(Mint), 거스름돈을 모아서 투자해주는 에이콘즈(Acorns), P2P 결제 플랫폼 벤모(Venmo)와 같은 애플리케이션의 이용자는 수백만 명에 이른다. 데이터 수집업체 가운데 가장 규모가 큰 기업은 샌프란시스코에 본사가 있는 플라이드(Plaid)다. 여러 개의 개인금융 앱뿐 아니라 암호화폐 거래소 제미니와 코인베이스에 소비자 금융 데이터를 제공하는 것도 플라이드다. 플라이드의 기업 가치는 25억 6천만 달러로 평가된다.
“데이터 수집업체들은 고객이 핀테크 앱에 로그인에 필요한 개인정보를 입력하면 이 가운데 필요한 거래 정보만 추출해 가져오는 IT 기술인 스크린 스크래핑(screen scraping)의 대안으로 생겨났다.” - 브라이언 나이트, 조지메이슨대학교 메르카투스 센터 금융시장 수석연구원
은행들은 데이터 수집업체와 고객 정보를 공유하기 꺼렸다. 그러나 소비자의 금융 거래 기록을 디지털로 남기도록 의무화한 도드프랭크법(Dodd-Frank Act)이 통과되면서 어쩔 수 없이 데이터를 공유해야 했다. 데이터 수집업체들은 자신들이야말로 소비자를 돕는 ‘유익한 중개상’이라고 항변한다. 나이트 수석연구원에 따르면, 최근 미국 재무부는 핀테크 보고서에서 데이터 수집업체를 옹호했지만, 소비자금융보호국(CFPB)은 이에 대해 별다른 언급을 하지 않았다.
유럽에서는 금융 서비스를 이용하는 고객의 개인정보가 일반개인정보보호법(GDPR, General Data Protection Regulation)에 따라 보호받는다. 하지만 이러한 포괄적인 개인정보 보호법이 없는 미국에서는 은행이 데이터 수집업체와 고객의 개인정보 처리 방식에 대해 별도로 공식·비공식 협약을 맺는 방법이 통용된다. 은행이 반드시 이런 절차를 따라 협약을 맺지는 않으며, 정보 공유 기준에 관해 은행과 데이터 수집업체의 의견이 엇갈리면 은행이 데이터 수집업체와의 관계를 끊고 고객의 금융 앱 접근을 차단하기도 하는 것으로 알려졌다.
루시디티가 고객 거래정보 분야에서 성공적으로 뿌리를 내리려면 업계 안에서 모든 이해당사자가 준수하는 공동의 정보 분류 기준을 도입할 필요가 있다. 나이트 수석연구원은 은행들이 새로운 흐름에 참여하든 참여하지 않든 데이터 수집업체와 협약을 맺고 새 시스템을 받아들이는 데 비용이 얼마나 들지는 꼼꼼히 따져봐야 한다고 말했다.
“블록체인을 도입하면 중개자의 필요성이 떨어진다. 여기서 중요한 사실은 중개자가 중개 수수료를 청구하는 등 비용이기도 하지만, 동시에 거래 과정에 실제로 가치를 더하는 효용도 있다는 점이다.” - 브라이언 나이트, 조지메이슨대학교
‘좀더 세분화된 통제’
솔트레이크시티에 본사를 둔 데이터 수집업체 피니시티(Finicity)는 비자의 보고서를 검토한 후, 비자가 제안한 루시디티 시스템이 현재 데이터 수집업체들이 제공하는 수준의 서비스를 제공하지 못할 것 같다고 밝혔다.
피니시티의 공동창립자 닉 토마스는 이메일을 통해 “우리가 제공하는 서비스를 정보교환이라고 표현하면 간단해 보이지만, 여러 가지 활용 사례와 데이터 인텔리전스(DI), 데이터 변동성, 보안, 개인정보보호, 규제 등을 모두 고려하면 굉장히 복잡한 서비스”라고 말했다.
하지만 닉 토마스는 이렇게 복잡한 서비스지만, 신원 인증체계 구축에 집중하고 있는 소버린 재단(Sovrin Foundation)의 설립 관리자(founding steward)인 피니시티도 블록체인을 활용해 개인정보를 더 강력히 보호하는 방안을 모색하고 있다고 말했다.
“소비자가 자신의 금융 데이터를 좀 더 세분되고 안전하게 통제할 수 있는 권한을 행사할 수 있게 하는 것이 중요하다. 또한, 이 과정에서 소비자들이 더 많은 정보에 접근성을 갖고 좀 더 똑똑한 결정을 하도록 돕는 것이다.” –닉 토마스, 피니시티 공동창립자
루시디티는 스마트계약과 비슷하지만, 블록체인 전체에 적용할 수 있는 검증된 개인정보 보호정책에 따라 운영될 것이다. 이를 통해 이용자는 오프라인에서도 자신의 개인정보가 자신이 승인하지 않은 방식으로 공유되거나 처리되지 않도록 관리할 수 있다.
비자의 보고서에는 ‘악의적인 환경’에 대한 가정도 있었다. 하지만 루시디티는 데이터 처리 결과에 접근할 수 있는 모든 당사자에게 결과를 보내는 프로토콜을 사용해 악의적인 환경에 대처한다. 블록체인이 에스크로 계좌와 같은 역할을 하게 되는 것이다. 암호화된 데이터를 가계부 앱에 공유함으로써 이용자의 소비 내역을 차트로 볼 수 있는 민트(Mint)와도 비슷하다.
루시디티의 블록체인은 민감한 데이터를 처리하는 암호화된 환경을 의미하는 ‘신뢰실행환경(TEE)’에서는 특정 데이터만 처리할 수 있다. 이런 방법은 TEE를 제공하는 기업의 데이터 조작을 방지하고, 루시디티를 이용하는 당사자가 모두 TEE를 확보할 필요가 없도록 해준다.
신뢰실행환경에서 거래가 처리되면 입력·출력값과 처리된 데이터의 암호 메시지인 다이제스트(digest)를 비롯해 어떤 함수를 이용해 거래를 처리했는지 등의 정보가 모두 원장(ledger)에 저장된다.
번역: 뉴스페퍼민트
· This story originally appeared on CoinDesk, the global leader in blockchain news and publisher of the Bitcoin Price Index. view BPI.
· Translated by NewsPeppermint.
· Translated by NewsPeppermint.
제보, 보도자료는 contact@coindeskkorea.com