HDD 보안폐기, 정보 중요도에 따른 국정원 폐기지침 준수해야  



[보안뉴스 김태형] 우리나라의 모든 기업 및 기관들에서는 수많은 전산기기들이 사용되고 있고, 기기들에 내장된 기억장치(HDD)에는 수많은 기업 비밀 또는 고객 정보와 같은 소중하고 민감한 정보가 보관되어 있다.
   
현재 각종 취약점을 이용한 다양한 방법의 보안위협이 발생하고 있고, 해킹으로 이러한 정보유출이 빈번하게 발생하고 있어 정보유출을 사전에 차단하기 위한 중요정보 폐기의 중요성이 더욱 커지고 있다.

그러나 이들 전산기기들이 신규 장비로 교체되고 불용 처리되는 시점에서는 대부분 기억장치에 저장되어 있는 정보들에 대한 적절한 불용조치 없이 처분되는 일이 많다. 이로 인해 최근 중고 전산기기들을 이용한 정보유출 사례가 빈번히 발생하하고 있으며, 앞으로도 이러한 사례는 계속 증가할 것으로 보인다.  

그럼 중요 정보가 저장된 HDD를 다시 복원할 수 없도록 폐기하는 방법에는 어떤 것들이 있을까? 다음 표에서 보듯 HDD 데이터를 완전폐기하는 방식은 완전소거, 물리적 파괴, 디가우징 등 크게 세 가지로 구분된다.


▲HDD 데이터 완전폐기 방식
방식
특징
완전소거
-HDD의 전 영역을 0, 1 난수로 3회 이상 덧쓰기하는 방법 -HDD의 재사용이 가능하고 환경문제를 최소화하는 장점이 있지만 처리  시간이 길게 소요 
물리적 파괴
-천공 또는 파쇄하는 방법 -빠른 처리시간이 장점이지만 분리작업이 필요하고 HDD의 재사용이 불 가능하여 산업 폐기물이 발생
디가우징
-디가우저라는 장비로 강한 자기장에 노출시켜 디스크 표면의 자성을 소 멸시키는 방법 -빠른 처리 시간 및 HDD 원형이 보존되지만 분리작업이 필요하고, HDD 의 재사용이 불가능하며 산업폐기물 발생


이러한 가운데 HDD 보안 폐기 전문기업들을 중심으로 고객의 불용 중고 전산기기를 매입, 수거하여 재활용 또는 재사용함에 있어서 이러한 기억장치내 정보의 불용처리를 미국 국방성 및 한국 국정원의 기준에 따라 투명하고 완벽하게 처리함으로써 정보유출을 원천적으로 처리하고 있어 주목받고 있다.
여기서 기준은 미국 국방성과 한국 국정원의 정보폐기 지침을 말하는 것으로, 미국과 우리나라의 지침은 거의 대동소이한데, 기밀정보의 경우 우리나라는 2단계를 거치도록 해 미국보다 더 강화된 기준을 마련해놓고 있다.  
 
▲미국 국방성 및 한국 국정원 정보폐기 지침 
분류
美 국방성
韓 국정원
공개정보
덧쓰기 1회 수행(0,1 난수로 HDD 전 영역 기록)
덧쓰기 1회 수행(0,1 난수로 HDD 전 영역 기록)
내부 개인정보
덧쓰기 3회 수행, 디가우저로 HDD 자성 완전 소거, 물리적 파괴 세 가지 중 택일
덧쓰기 3회 수행, 디가우저로 HDD 자성 완전 소거, 물리적 파괴 세 가지 중 택일
기밀정보
덧쓰기 3회 수행, 디가우저로 HDD 자성 완전 소거, 물리적 파괴 세 가지 중 택일
-덧쓰기 3회 수행 -디가우저로 HDD 자성 완전 소거 또는 물리적 파괴 두 가지 중 택일
Top Secret
-덧쓰기 3회 수행  -디가우저로 HDD 자성 완전 소거 또는 물리적 파괴 두 가지 중 택일
-덧쓰기 3회 수행 -디가우저로 HDD 자성 완전 소거 또는 물리적 파괴 두 가지 중 택일

특히, HDD 보안 폐기 전문기업인 시큐리코는 합작파트너인 일본의 T’s Future사의 오랜 노하우와 유수의 주요 고객을 장기간 지원해온 경험을 그대로 한국에 적용하하고 있고, 세계적인 수준의 정보 불용처리 센터와 노하우를 보유하고 있어 주목된다.

HDD 보안 폐기와 관련해 시큐리코의 박주형 대표는 “그동안 국내의 HDD 폐기나 재활용의 경우 단순한 고물처리방식으로 처리업체에게 보안각서 1장만 받고 진행해왔다”며, “이러한 관행은 추후 보안사고 발생시 책임 소재를 가리기도 어렵기 때문에 처리과정 종결시까지 완벽한 기록을 남기는 것이 매우 중요하다”고 설명했다.

덧붙여 그는 “HDD 폐기를 위해서는 처리장 입고부터 종결시까지 출입통제 및 CCTV로 모니터링을 하고 사진 촬영 및 종결시 하드디스크의 시리얼 넘버까지 기록해 모든 로그를 고객에게 리포팅하는 등 완벽한 처리 프로세스를 갖춰야 한다”고 강조했다.
 
하지만 국내의 경우 대부분이 고물 수집 형태로 PC가 수집되어 HDD에 대한 보안 폐기나 데이터 삭제 없이 동남아 지역으로 수출되는 경우가 많은 것으로 알려졌다. 이로 인해 기업의 주요 기술정보나 개인정보 등의 중요 데이터가 고스란히 해외로 수출되는 경우가 많다는 것.  

그러나 미국의 경우에는 PC메이커 업체들이 자사의 IT 기기들을 회수해 리커버리 서비스를 해주고 기본적인 데이터 보안 서비스를 제공하기 때문에 단순히 폐기하기 보다는 재사용할 수 있도록 하고 있다. 이렇게 되면 자원의 낭비도 줄이고 환경도 보호할 수 있다는 것이다.  
    

최근 개인정보보호법 시행과 기업의 보안의식 증대로 정보폐기의 중요성이 더욱 강조되는 상황이다. 이로 인해 공공기관이나 기업의 보안담당자는 종이문서 파쇄를 포함해 HDD 보안폐기의 기준과 방식, 그리고 국정원 지침을 준수하는 처리 프로세스 등 정보폐기 정책을 명확히 세워놓고, 이를 실천하는 노력이 필요할 것으로 보인다.   
[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>