Review of KIISC (정보보호학회지)

Korea Institute of Information Security and Cryptology (한국정보보호학회)
권호 표지

분산원장시스템 거버넌스 국제표준화 동향과 이슈

  • 김정덕 (중앙대학교 경영경제대학 산업보안학과 교수) ;
  • 김진욱 (중앙대학교 경영경제대학 학사과정) ;
  • 양인선 (중앙대학교 경영경제대학 학사과정)
  • Published : 2020.08.31
Download PDF
⟨ Previous Next ⟩

Abstract

블록체인을 포함하는 분산원장기술은 신뢰할 수 없는 네트워크 상에서 공동으로 거래 정보를 검증하고 기록, 보관함으로써 원장의 무결성과 신뢰성을 제공하고 있다. 이러한 분산원장기술을 이용한 제반 응용시스템이 실세계에서 적용되고 확산되기 위해서는 거버넌스 체계가 구축되어야 한다. 일반적으로 거버넌스란 특정 조직내에서의 지시와 통제활동이라고 할 수 있는데, 분산원장시스템의 경우, 다양한 조직 또는 시스템을 포함하고 있으며 거버넌스 체계도 분산 또는 탈중앙화된 형태로 존재하므로 기존의 조직 거버넌스 체계와 다른 특성과 한계를 가지고 있다. 본 연구에서는 ISO TC 307에서 진행하고 있는 분산원장시스템 거버넌스 표준화 활동을 소개하고 향후 전망과 대응방안을 검토한다.

Keywords

Ⅰ. 서론

블록체인과 분산원장기술 시스템(이하 ‘분산원장시스템’)에 대한 국제표준화 작업은 ISO TC 307에서 수행하고 있다.[1] TC 307은 2019년 5월 더블린 회의 이후 유스케이스 워킹그룹(WG 6)이 신설됨에 따라 총 6개 워킹그룹으로 구성되어 국제표준화 작업을 진행하고 있다. 이 중 WG 5가 분산원장시스템 거버넌스에 대한 국제표준화를 담당하고 있다.

WG 5는 원래 Study Group 6로 2017년에 시작되어 2018년 10월 모스크바 회의 이후 WG 5로 공식화되었다. 현재 WG 5에서는 ‘분산원장시스템 거버넌스 지침’ 프로젝트(TS 23635)에 집중해서 작업하고 있다. 본 문서는 지난 2년여 동안 7차례의 Working Draft를 개발한 끝에 2020년 8월 현재 1st CD를 개발한 상태이다.

본 논문에서는 현재 의견수렴 진행 중인 1st CD 23635(이하 거버넌스 지침)를 중심으로 분산원장시스템 거버넌스의 개념 및 필요성을 기술하고, 거버넌스 구현을 위한 원칙과 프레임워크를 서술한다. 또한 분산원장시스템 생애주기와 컨텍스트에 따른 거버넌스 활동을 기술하고 관련 주체의 역할과 거버넌스 도구 등 거버넌스 구현을 위한 제반 이슈를 기술한다. 마지막으로 본 문서의 국제표준화 노력에 대한 전망과 활동계획을 소개한다.

Ⅱ. 분산원장시스템 거버넌스 필요성 및 개념

2.1. 거버넌스 필요성

분산원장시스템을 활용하여 비즈니스를 수행하기 위해서는 분산원장시스템 목표에 따라 온체인(On-chain)과 오프체인(Off-chain) 상의 의사결정권, 책임성, 보상체계와 같은 분산원장시스템 거버넌스 요소들을 고려해야 한다[2]. 분산원장시스템 거버넌스가 부재한 상태로 비즈니스를 수행하면 시스템이 추구하는 목표와 전략을 효과적이고 효율적으로 달성할 수 없고, 조직의 이해관계자들의 기대 및 법규 등의 내 외부 요구사항들을 준수하기 어렵다.

2.2. 분산원장시스템 유형과 거버넌스 개념

ISO TC 307에서는 분산원장시스템 거버넌스를 중앙 또는 탈중앙화 된 의사결정권 요소를 모두 포함하는 접근방식으로, 책임성이 네트워크 내에 있고, 참여자들이 합의에 도달하도록 인센티브가 제공되어야 효과적, 효율적인 분산원장시스템 구현이 가능하다고 정의하고 있다.

분산원장시스템은 트랜잭션 검증 권한과 트랜잭션 생성 및 읽기 권한, 두 가지의 접근 권한에 따라 [표 1]과 같이 세 가지 유형으로 분류된다. Public/ permissioned 시스템은 공동의 최상위 조직에 소속된 별도의 조직에 의해 노드가 운영되는 경우이다. Public/permisionless 시스템은 서로를 인식하지 못하고 공통된 이해관계가 없는 개별 주체들에 의해 운영되는 경우이다. Private/permissioned 시스템은 모든 노드가 단일 조직에서 소유하는 별도의 IT 시스템인 경우이다.

[표 1] 분산원장시스템 유형

분산원장시스템의 탈중앙화 된 의사결정 프로세스는 중앙 제어 메커니즘 없이 수많은 의사결정권자와 투표자들을 통해 이루어진다. 분산원장시스템은 불확실한 환경에서 신뢰를 보장하기 위해 중앙 제어 메커니즘이나 신뢰 당국이 필요하지 않으며 전통적인 중앙 집중식 시스템과 차별화 되어 권력 집중을 지양한다.

거버넌스 지침 문서에 의하면, 분산원장시스템 거버넌스는 세 가지의 유형에 따라 다른 거버넌스 메커니즘을 구축해야 한다. Public/permissioned 시스템에서는 거버넌스 규칙이 사전에 설정되어 있기 때문에, 거버넌스 집행 주체의 선정과 거버넌스 규칙 변경 프로세스가 주요 이슈이다. 중앙 당국이나 컨소시엄이 거버넌스 집행 주체로 결정되면, 이들은 주어진 권한을 기반으로 거버넌스를 집행하며 의견 불일치 시, 포킹(forking)을 통해 의견 조율을 한다.

Public/permissionless 시스템은 전통적인 중앙집중식 시스템과 다르게, 참여자들의 공유되고 상향식 합의를 통해 거버넌스가 수행된다. 초기에는 중앙당국이나 위원회가 시스템의 목적에 따라 거버넌스 시스템을 설계하고 구축하지만, 구현단계에서는 참여자들이 투표 메커니즘과 하드/소프트 포크와 같은 민주적인 의사결정 프로세스를 통해 온체인과 오프체인 상의 거버넌스를 수행한다. 즉, public/permissionless 시스템의 거버넌스 설계단계에서는 중앙당국에 의해 거버넌스 규칙이 설정되지만 시간이 경과함에 따라 다양한 참여자들의 상향식 의사결정을 통해 거버넌스 규칙이 변경되고 집행되어 진다.

Private/permissioned 시스템의 거버넌스는 일반적인 IT 거버넌스와 같이 전통적인 계층구조 환경의 거버넌스 체계와 유사하다. 중앙집중식 시스템이기 때문에 탈중앙화된 책임, 책임성과 의사결정이 필요하지 않다. 전통적인 시스템과 차별화되지 않았기 때문에 분산원장시스템만의 장점을 활용하기에는 부족하지만 기존 거버넌스 시스템을 조직에 적용함에 있어 수월하다는 장점을 가진다.

Ⅲ. 분산원장시스템 거버넌스 원칙

2019년 5월 더블린 회의에서 김정덕 교수에 의해 제안된 분산원장시스템 거버넌스를 위한 원칙은 몇 차례 수정 보완 작업을 거쳐 현재 9개의 원칙을 기술하고 있다. 거버넌스 원칙은 이해관계자가 거버넌스 활동을 수행하는데 있어 가이드해 줄 수 있는 규칙(guiding rule)으로서 거버넌스 목표를 달성하고, 이 원칙에 기초하여 분산원장시스템에서의 구조와 활동을 구현할 수 있는 기반을 제공한다.

[표 2] 분산원장시스템 거버넌스 원칙

Ⅳ. 분산원장시스템 거버넌스 프레임워크

ISO/IEC 38500에서 기술하는 전통적인 IT 거버넌스는 단일 조직 내에서의 거버넌스 기능과 책임성을 다룬다. 하지만 분산원장시스템은 일반 IT 시스템과 달리 참여 노드들이 여러 조직이나 개인에 의해 운영되는 분산된 컴퓨팅과 탈중앙화된 시스템이다. 분산원장시스템의 확장성으로 인해 시스템에 참여하는 조직과 신뢰의 경계가 지속적으로 확대된다. 따라서 분산원장시스템 거버넌스는 ISO/IEC 38500에서 기술한 단일 조직 내에서의 거버넌스 접근방식을 초월하여 다양한 조직 및 개인을 포함해야 한다.

분산원장시스템 거버넌스는 의사결정권, 책임성과 인센티브, 위 3가지 차원으로 분류된다[17]. 첫째, 의사결정 통제에 관한 권한(Decision control rights)과 의사결정 관리에 대한 권한(Decision management rights)으로 구별할 수 있다. 전자는 의사결정의 승인 및 모니터링에 관한 것이며, 후자는 의사결정을 제안하고 결정된 사안을 실행 및 구현하는 것이다. 이러한 의사결정권의 분배는 분산원장시스템을 활용함에 있어 시스템의 탈중앙화 정도에 따라 결정되어야 하며 이해관계자들은 이러한 의사결정권 분배되는 방식에 따라 영향을 받는다. 또한 의사결정권은 온체인과 오프체인 상에서의 의사결정을 모두 고려하여 분배되어야 한다. 온체인 의사결정은 분산원장시스템 운영에 필요로 한 합의나 내부규정에 관한 것으로 시스템에 내재되어 있는 사안이라면, 오프체인 의사결정은 법규준수 및 외부 이해관계자들의 기대 충족, 비 분산원장시스템과의 상호운용성과 시스템의 유연성을 위한 사안이다.

두 번째, 책임성은 분산원장시스템 활용에서 참여자의 책임소재에 관한 차원이다. 분산원장시스템은 신뢰하는 제 3자의 개입이 없고 각자 다른 목적을 가지고 있는 참여자들에 의해 운영된다. 이러한 참여자들이 시스템 목적을 공동으로 달성하게 하기 위해서는 역할 및 책임을 명확히 해야 하고 그에 따른 책임성을 규정해야 한다. 분산원장시스템의 전략과 목적 달성을 위해 강력한 책임소재 규명은 필수적이고 이를 집행하는 체계가 필요로 하다. 자가 보상, 자가 처벌, 자가 모니터링을 피하기 위해 분산원장시스템의 통제와 관리는 분리되어야 하며 책임성은 조직의 규정 및 법적 프레임워크를 통해 제정, 명백하게 시행되어야 한다. 또한 분산원장시스템의 책임성은 온체인 상에서 시스템 규칙에 따라 규정할 수 있으며 오프체인 상에서도 외부 법규로 규정할 수있다.

세 번째, 인센티브는 분산원장시스템의 다양한 참여자 및 이해관계자의 행동을 유도하는 핵심적인 역할을 한다. 참여자의 바람직한 행동과 인센티브의 연계는 참여자들이 자신의 행동을 자유롭게 결정할 수 있게 하며 시스템의 목적과 자신들의 행동을 일치하도록 하게 한다. 시스템 참여자들에 대한 인센티브가 잘못 연계되면 궁극적으로 참여자 또는 이해관계자들은 장기적인 관점에서 시스템을 해치는 행동을 할 수 있으며 시스템의 지속 가능한 운영을 위태롭게 할 수 있다. 시스템의 인센티브는 의사결정권자 간의 합의 달성, 분쟁 해결 및 시스템의 지속적인 관리, 설계 및 운영에 대한 결정을 유도한다. 인센티브는 금전적 인센티브와 비금전적 인센티브로 구별할 수 있다. 전자는 참여자의 행동을 금전적인 보상과 연계하는 것이며, 후자는 권한상승, 명예 등과 같은 비금전적인 보상을 참여자의 행동과 연계하는 것이다.

Ⅴ. 분산원장시스템 거버넌스 구현 이슈

분산원장시스템 거버넌스 구현을 위해서는 다음과 같은 이슈들을 고려해야 한다: 1) 분산원장시스템 생애주기와 컨텍스트별 거버넌스 활동, 2) 거버넌스 구현을 위한 주체들의 역할, 3) 거버넌스 구현 도구, 4) 상호 운용성을 위한 거버넌스 이슈

5.1. 생애 주기와 컨텍스트별 거버넌스 활동

분산원장시스템의 생애 주기는 구축, 운영, 종료의 세 가지 핵심 단계로 이루어지는데, 분산원장시스템의 거버넌스는 모든 생애 주기 동안 책임성, 결정 권한과 인센티브를 제공해야 한다.

구축 단계에서의 거버넌스 활동에는 거버넌스의 형태, 법 및 규제와의 상호 운용 메커니즘, 분산원장 시스템 구성 형태, 분쟁 해결, 운영을 관리하기 위한 절차 및 정책, 분산원장 시스템의 종료 등이 있다. 이때 만들어진 주요한 정책들은 이후 순차적으로 형성되는 시스템들의 거버넌스 구조를 결정한다. 따라서 구축 단계에서의 거버넌스 정책은 분산원장 시스템을 어떻게 운영하고, 시스템 변경 시 어떤 식으로 합의되고 적용되는지에 대한 원칙을 포함해야 한다.

운영 단계에서의 거버넌스는 분산원장 시스템 참여자에 대한 권한 등록, 분산원장시스템 참여에 관련된 계약 규정 등 운영 단계의 여러 주요 기능들을 감독한다.

종료 단계에서의 거버넌스는 분산원장시스템 종료시의 상호 작용이 관련없는 오프체인 거버넌스 요인에 의해 결정될 수 있기 때문에, 거버넌스는 분산원장시스템 종료 시 외부 환경과의 상호 작용을 명시적으로 지원해야 한다.

ISO TC 307에서는 분산원장시스템의 4가지 컨텍스트(데이터, 프로토콜, 애플리케이션, 조직 등)를 규정하고 있으며, 각 컨텍스트별 거버넌스 활동을 분산원장시스템의 생애 주기에 따라 제시하고 있다.

데이터 컨텍스트로는 분산원장시스템의 구축 단계에서 데이터의 생성, 관리, 파기 방법과 종류를 포함하는 데이터 거버넌스를 정의한다. 또한 이는 기존의 다른 시스템들과 상호작용하면서 데이터 거버넌스를 결정하게 된다. 이후 거버넌스는 운영 단계에서 데이터가 어떻게 관리될 것인지에 대해 예측해야 하고, 종료 단계에서는 데이터의 보관이나 파기 등의 폐기를 예측하고 지도해야 한다.

프로토콜 컨텍스트로는 구축 단계에서 프로토콜 거버넌스를 정의하는데, 여기에는 분산원장시스템의 생애주기에 걸쳐 트랜잭션을 어떻게 정의하고 관리할지에 대한 내용이 포함된다. 또한 이때 거버넌스는 프로토콜과 다른 시스템과의 상호 운용성도 결정하게 된다. 이후 운영 단계에서 프로토콜의 작동 방식과 변동에 대한 규칙을 정의해야 하며, 종료 단계에서는 종료가 결정되고, 시행되며, 검증되는 방식에서 프로토콜이 기능하는 방식에 대해 예측하고, 안내해야 한다.

애플리케이션 컨텍스트로는 역시 동일하게 구축 단계에서 분산형 애플리케이션의 구현 방법, 접근 권한, 책임 등을 포함하는 애플리케이션 거버넌스를 정의하고, 운영 단계에서는 분산원장 시스템의 애플리케이션이 어떻게 상호작용하는지 그리고 지속적인 변화와 유지보수를 지원하기 위해 필요한 규칙들을 적용해야 한다. 이후 종료 단계에서는 애플리케이션이 어떻게 폐기, 파기 또는 이전될지를 안내해야 한다.

조직 컨텍스트로는 거버넌스가 생애 주기별 각 단계에서 분산원장시스템이 기존의 조직 거버넌스와 상호운용되는 방법을 정의한다. 이때 구축 단계에서는 분산원장 시스템의 거버넌스 메커니즘 및 구조와 기존 조직 거버넌스와의 관련성이 포함되며, 그 관계가 존재하지 않는다면 이를 분명히 제시해야 한다. 운영 단계에서는 유관한 기관의 시스템이 분산원장 시스템에서의 결정권한, 책임, 인센티브를 행사하는 방법이 포함되며, 종료 단계에서는 시스템이 종료될 때 기존 시스템과 분산원장 시스템의 결정 권한, 책임, 인센티브가 상호 운용되는 방식이 포함된다. 컨텍스트별 거버넌스 의사결정 프로세스는 [그림 1]과 같다.

[그림 1] 컨텍스트별 거버넌스 의사결정 프로세스

5.2. 거버넌스 구현을 위한 주체들의 역할

분산원장시스템 거버넌스를 위해 6가지 주체별(거버너, 감사원, 관리자, 개발자, 제공자, 사용자 등) 들이 수행해야 하는 역할을 책임성, 의사결정 권한, 인센티브 측면으로 구분하여 제시하고 있다. 예시로, 거버넌스 핵심 주체인 거버너(Governor)는 분산원장 시스템의 장기적인 비즈니스 모델 의 달성과 그 지속성을 유지하는 역할이다. 이를 위해 각 주체들의 책임과 의무에 대한 정책을 설정하고, 의사결정 투표 메커니즘을 설정한다. 또한 스폰서와 자금 조달을 위한 프로세스를 마련하고 개발자 등을 위한 보상 및 인센티브 계획을 설계 및 승인한다.

5.3. 거버넌스 구현 도구

분산원장시스템의 거버넌스 도구는 온체인과 오프체인 거버넌스 도구로 구성된다. 온체인 거버넌스 도구는 일반적으로 투표 메커니즘을 의미하는데, 의사 결정은 프로토콜 기반 직접 투표를 통해 이루어진다. 투표 커뮤니티는 일반적으로 분산원장 시스템 제공자, 개발자, 사용자로 구성되어 있다. 하지만 온체인 거버넌스에는 의사 결정에 대한 합의가 이루어지지 않는 경우가 발생할 수 있는데, 그 경우 포크를 통해 상황을 조정하게 된다.

오프체인 거버넌스 도구는 분산원장시스템의 외부 메커니즘을 의미한다. 기존의 법률이나 규제 프레임워크, 표준, 부문별 행동 강령 등을 준수해야하기 때문에, 모든 분산원장 시스템은 오프체인 거버넌스 제도의 영향을 받는다 오프체인 거버넌스 도구의 목적은 온체인에서 수행되는 트랜잭션의 의도를 유지하는 것으로, 온체인 원장과 오프체인 정보의 무결성을 유지하기 위해 불변성과 트랜잭션의 유효성 검증 등을 제공한다. 오프체인 거버넌스는 ISO 38500, ISO/IEC 27014, ISO 37001에 명시된 원칙을 활용하며, 오프체인 거버넌스에서는 투표 외에도 여러 다양한 메커니즘을 통해 이해 관계자들의 합의를 이끌어낼 수 있다.

표준문서에서는 분산원장시스템 거버넌스 도구의 구현을 위해 필요한 사항으로 적응성, 위험 관리, 프라이버시를 고려하고 있다. 우선 분산원장 시스템은 변화에 대해 합의하고 시행할 수 있어야 한다. 이때, ISO 9001 또는 ISO 20000과 같은 프로세스를 채택하여 변화를 관리해야 한다. Permissioned/Public 분산원장 시스템의 경우 거래 유효성을 검증하는 네트워크 내 거버너가 변화 거버넌스를 처리해야 하고, Permissioned/Private 분산원장 시스템의 경우 이해관계자들의 필요에 의해 언제든 변경될 수 있기 때문에 전용 합의 메커니즘을 필요로 하지 않는다. Permissionless/Private 분산원장 시스템에서는 온체인 거버넌스 메커니즘이 구현되어야한다.

분산원장시스템의 위험평가는 ISO 31000과 ISO/IEC 27005의 위험관리 프로세스를 따른다. 그러나 분산원장 시스템은 탈중앙화 시스템이기 때문에 다양한 이해관계자를 고려해야 한다. 특히 Permissionless 시스템의 경우 공식 거버넌스 메커니즘이 없기 때문에, 시스템의 생애 주기 전체에 걸쳐 이해 관계자들의 인센티브가 적절하게 유지되도록 보장하는 메커니즘을 도입하는 것이 필수적이다. Permissioned 시스템의 경우 이해관계자들을 식별할 수 있기 때문에 전통적인 거버넌스 메커니즘을 통해 인센티브를 통합할 수 있으며, 위험 평가 수행이 가능하다.

분산원장시스템의 프라이버시 보호를 위해서는 ISO/IEC 29100과 같은 프라이버시 원칙에 초점을 맞출 필요가 있다. 또한 분산원장 시스템의 개발 단계에서는 ISO/IEC 29134:2017과 ISO/TR 23244 등의 프라이버시 관련 표준을 참조하여 개발할 필요가 있다.

5.4. 상호 운용성을 위한 거버넌스 이슈

표준문서에서는 서로 다른 유형의 분산원장 시스템의 상호운용성을 위한 거버넌스를 제공하고 있다. 분산 시스템과 비 분산 시스템 간의 상호운용을 위한 정책은 분산원장시스템의 개발 단계에서 만들어지고, 시행되어야 한다. 이때 상호 운용성을 위한 정책은 데이터, 프로토콜, 애플리케이션, 기관이라는 네 가지 컨텍스트에 따라 활성화되어야 하며, 거버넌스의 복잡함을 줄이기 위해 [표 3]와 같이 3가지 범주로 나누어 식별하고 있다.

[표 3] 분산원장 시스템의 형태별 상호 운용 모드

Mode 1인 경우, 거버넌스 주체를 용이하게 구분하기가 어려운 상황이므로 가장 복잡한 거버넌스 형태를 보이는 반면, Mode 3인 경우 거버넌스 주체가 식별 가능하고 상호운용성 협정이 논의될 수 있고 집행될 수 있는 가장 단순한 거버넌스 형태를 보인다.

Ⅵ. 분산원장시스템 거버넌스 국제표준화 이슈

분산원장시스템 거버넌스 국제표준화 작업은 2020년 8월 현재 1st CD 상태로서 문서의 구조 및 내용은 어느 정도 갖추어 졌다고 판단되며 TC 수준에서 의견 수렴 중에 있다. 특히 2019년 11월 인도 회의에서 문서의 구조와 내용이 초기 작업으로서의 완성도를 높였고 그 이후 clause 별로 태스크 포스 그룹을 정해서 내용을 보강하는 작업을 진행하였다. 6차례 진행된 Zoom 회의를 통해 지난 6월 예정이었던 니코시아 회의를 대신한 5차례의 줌 회의를 통해 초안 내용에 대한 검토를 수행하여 1st CD 개발을 완성하였다. 한국대표인 김정덕 교수는 거버넌스 원칙(clause 4)의 태스크 포스 리더로서 지속적으로 거버넌스 원칙의 수정 보완 작업을 진행했으며, 그 외 문서작업에 참여하고 코멘트를 하였다.

현재 WG 5에서 활발하게 참여하는 전문가는 약 20명 정도로 대부분 유럽 출신이며 아시아권에서는 한국, 일본, 싱가폴 등이 주도적으로 참여하고 있다. 분산원장시스템의 효과적, 효율적 운영을 위해서는 거버넌스 체계가 제대로 실현되어야 함에도 불구하고 아직 관련 기술 및 시스템 개발이 진행 중인 단계인 관계로 많은 전문가들이 참가하지 못하고 있는 실정이다. 한국에서의 분산원장시스템 기술 및 표준개발의 선도적 역할을 위해서도 좀 더 많은 전문가들의 관심과 참여가 필요하다.

References

  1. 오경희, "분산원장기술(블록체인) 국제 표준화 현황", 정보보호학회지, 28(4), pp. 41-47. August 2018.
  2. ISO/TC 307 CD1 23635, "Blockchain and distributed ledger technologies - Guidelines for Governance". July 2020.
  3. K. Reddy, S. Locke, "The efficacy of principlebased corporate governance practices and firm financial performance: An empirical investigation". International Journal of Managerial Finance, 6(3), pp. 190-219. June 2010. https://doi.org/10.1108/17439131011056224
  4. Banff Executive Leadership Inc, "Improving governance performance rules-based vs. principles-based approaches". February 2004.
  5. ISO/IEC WD4 37000, "Guidance for the governance of organizations". December 2018.
  6. ISO/IEC 38500, "Corporate governance of information technology". February 2015.
  7. ISO/IEC WD3 27014, "Information technology - Security techniques - Governance of information security". October 2018.
  8. R. Beck, C. Bloch, J. King, "Governance in the blockchain economy: A framework and research agenda". Journal of the Association for Information Systems, 19(10), pp. 1020-1034. October 2018.
  9. M. Verduyn, "Bitcoin and beyond: cryptocurrencies, blockchains, and global governance". Routledge. 2018.
  10. J. Mattila, T. Seppala, "Distributed governance in multi-sided platforms, Translational Systems Sciences, vol 11. Springer, pp. 183-205. 2018. https://doi.org/10.1007/978-981-10-8956-5_10
  11. D. Yermack, "Corporate governance and blockchains". Oxford. January 2017.
  12. V. Shermin, "Disrupting governance with blockchains and smart contracts". John Wiley & Sons. September 2017.
  13. S. Mills, B. McDowall, "Responsibility without power? The governance of mutual distributed ledgers". Cardo Foundation. July 2017.
  14. F. Piazza, "Bitcoin and the blockchain as possible corporate governance tools: Strengths and weaknesses". Journal of Law & International Affairs, 5(2), pp. 262-301. 2017.
  15. P. Tasca, T. Thanabalasingham, "Ontology of blockchain technologies. Principles of identification and classification". SSRN Electronic Journal. May 2017.
  16. ISO/TC 307 TR 23245, "Blockchain and distributed ledger technologies - Security risks, threats and vulnerabilities". January 2019.
  17. P. Weill, "Don't just lead, govern: How top-performing firms govern IT. MIS Quarterly Executive, 3(1), pp. 1-17. March 2004.
  18. ISO/IEC 29100, "Privacy Framework', October 2012.
  19. ISO/TC 307 TR 23244, Blockchain and distributed ledger technologies_Overview of privacy and PII protection, May, 2019.