□ 기사 주요내용

○ 질병관리청 예방접종증명서 앱(쿠브)는 스크린샷을 통한 QR코드 복제본 생성이 가능하다는 등 보안 문제 재지적

○ 암호화폐 없는 질병관리청 블록체인에 (일명) ‘스테이블 코인’을 지원하기에 향후에 언제든 코인이 발행 가능함

  - 업계 관계자, “당장 코인 없이 기술을 기부한다고 해서, 언제라도 코인을 발행해 암호화폐 사업을 펼칠 수도 있다”고 발언

○ 블록체인 전문가, “쿠브 앱은 증명서 진위여부를 확인할 수는 있지만 발행자가 누구인지, 증명서를 제출한 사람이 누구인지를 검증할 수 없다”고 발언

○ 한 전문가, “단말기에서 단말기로 백신 정보를 담은 VC가 넘어가야 하는데, 지금 쿠브 앱에 적용된 기술을 보면 VC의 정보가 넘어가지 않는다”고 발언

  - ‘해외기관 인증용 단말기에 직접 제공된 정보는 수초 후 휘발 (삭제)되도록 설계’했다는 질병청 의견대로 하기 힘들다고 첨언

□ 반박 내용

○ 질병관리청은 전자예방접종증명서의 구축 및 발급 업무를 직접 수행하고 있으며,

  - 사업자 선정 및 국가예산을 통한 계약 절차가 아닌, 특허권리의 양해 활용을 위해 협약을 진행하였습니다.

  - 또한, 전자예방접종증명서 운영에 활용된 DID 기술이 공개된 점과 전자예방접종증명서 앱에 지적된 보안 문제에 대해서는 지난 4월 21일 보도반박자료를 통해 문제가 없다고 설명드린 바 있습니다.

○ 또한 질병관리청 블록체인에 ‘스테이블 코인’이 지원된다는 사실에 대해, 질병관리청 블록체인은 가상자산 운용을 위한 수수료 토큰(일명 Native Cryptocurrency)과는 무관하며, 가상자산을 발행할 계획도 없습니다.

   * 스테이블 코인(Stable Coin) : 기존의 화폐 또는 실물자산과 연동시켜 가격 안정성을 보장하는 가상화폐

  - 당초, 질병관리청이 직접 운영하는 블록체인은 타 국가와 통용 가능토록 구현하고 있으며, 이를 위해서는 가상자산을 통한 수수료가 발생되지 않아야 합니다.

○ 전자 예방접종증명서의 발행자와 증명서 제출자를 검증할 수 없다고 한 전문가의 지적은 사실과 다릅니다.

  - 질병관리청에 적용된 DID 기술에는, 전자 예방접종증명서의 발행자가 대한민국 질병관리청장인지의 여부를 확인할 수 있도록 구현되어 있으며,

  - 증명서 제출단계에서, 질병관리청에서 발급한 인증서 원본(VC)에 제출자의 DID를 추가한 증명서 정보를 검증자에게 제공하므로, 제출자를 검증할 수 있도록 구현되어 있습니다.

  - 이는, 질병관리청 블록체인에 개발된 특수한 상황이 아닌, W3C의 표준으로 정해진 사항으로, “단말기에서 단말기로 백신 정보를 담은 VC가 넘어가야 한다”는 한 전문가의 의견은 오히려 증명서 제출자를 검증할 수 없는 오류를 범하게 됩니다.

○ 아울러, “개별 사용자의 공개 키를 블록체인에 저장하지 않으면 사용자의 신원을 특정할 수 없다”는 내용에 대해,

  - 질병관리청 전자예방접종증명서에서, 개별 사용자의 공개 키는 블록체인에 저장하지 않고도 증명서 발급자의 신원(DID)를 식별할 수 있도록 구현했습니다.

  - 앞서 설명드린 바와 같이 사용자의 공개 키는 증명서 발급자의 스마트폰에만 기록되어 있다가, 제출자 검증 시 검증자에게 제출토록 하고 있습니다.

  - 또한, 공개 키를 블록체인에 저장하는 경우, 발급자의 신원이 공개되므로 보안성 및 개인정보 주체의 자기결정권* 측면에서 큰 문제가 발생하게 됩니다.

   * 블록체인에 기록된 정보는 수정 및 삭제가 사실상 불가능하므로, 개인정보 보호법 제4조(정보주체의 권리) 제4호의 권리 보장할 수 없는 문제

○ 기사 중 전자 예방접종증명서에 구현된 기술적 오류에 대한 지적은 사실과 다르며, 당초 질병관리청의 보도반박자료와 상반된 내용이 기사화되어 있습니다. 보도에 신중을 기하여 주시기 바랍니다.