일반 기업·기관에서 현실적으로 가능한 파기방법은?
복구·재생할 수 없는 파기방법에 대한 구체적 기준 마련돼야
[보안뉴스 민세아] 지난 11월 29일부터 개정 정보통신망법(이하 정통망법)이 시행되면서 개인정보를 복구·재생할 수 없도록 파기하라는 규정이 신설됐다. 이에 복구·재생할 수 없는 파기방법에 관심이 쏠리고 있다. 파기했으면 끝이지 ‘복구·재생할 수 없는 파기방법’은 도대체 무엇이냐는 얘기다.
데이터를 복구·재생할 수 없게 파기해야 할 대상을 하드디스크(HDD)라고 정의해 보자. 하드디스크에 기록된 데이터는 파일을 삭제하고 윈도우의 휴지통을 비우고, FDISK.exe와 포맷프로그램을 실행해 디스크를 완전하게 포맷하더라도 복구가 가능하다.
말하자면 웬만한 삭제·포맷 방법으로는 데이터를 제대로 파기하는 게 힘들다는 것. 그렇다면 정통망법에 규정된 복구·재생 불가능한 파기방법은 현실적으로 불가능한 것일까?
美 국방성(DoD, US Department of Defense of Defense)에서는 하드디스크를 완전히 삭제하기 위한 메커니즘을 발표한 바 있다. 먼저 임의의 문자로 데이터를 덮어쓴 후, 첫 번째 문자의 보수로 덮어쓰고 다시 임의의 문자로 데이터를 덮어쓴다. 이 과정을 7번 반복한다. 이는 美 국방성 기준이며, 미국 국가안보연구소(NSI)에서는 36번 포맷을 원칙으로 하고 있다.
대표적 디스크 파기 방식 : 로우 레벨 포맷 · 디가우징 · 물리적 파쇄방식
일반적으로 ‘포맷’하면 떠올리는 일반 포맷과 빠른 포맷 방식 외에도 ‘로우 레벨 포맷(Low-level Formatting)’이라는 것이 있다. 로우 레벨 포맷은 해당 디스크 상의 모든 섹터의 내용을 완전히 지우고 공장 출고 상태처럼 완전히 초기화하는 것이다.
그러나 재사용 가능한 공장 출고 상태로 되돌린다 하더라도 로우 레벨 포맷은 500GB 용량의 하드디스크를 포맷하는데 10시간 이상이 소요될 뿐만 아니라 하드디스크 수명에도 안 좋은 영향을 미친다. 또한 데이터의 완전 삭제 여부를 눈으로 확인할 수 없기 때문에 중요한 데이터가 있었던 디스크가 확실히 파기됐는지 100% 신뢰할 수 없는 문제가 남는다. 게다가 수학적으로는 데이터 복구 가능성이 여전히 열려 있다.
디가우징(Degaussing) 방식은 디가우저(Degausser)를 이용해 디스크를 파기하는 방식이다. 디가우저는 강력한 자기장을 이용해 하드디스크 등의 저장장치에 기록된 데이터를 파괴하는 장비다.
하드디스크는 자장을 파악해 데이터를 읽어내기 때문에 하드디스크의 자기력보다 더 강력한 자기력을 사용해 하드디스크의 데이터를 복원할 수 없도록 완전히 삭제시키는 것이다. 장비의 비용과 소음문제로 인해 작업장소가 한정돼 있으며, 이 역시 마찬가지로 데이터의 완전삭제 증명이 불가능하다.
이와 관련 고려대학교 정보보호대학원 이경호 교수는 “하드디스크를 디가우징하면 그 하드디스크는 다시 사용할 수 없게 되기 떄문에 복구·재생 불가능한 방법을 위해 무조건 디가우징 방식을 사용하는 것은 낭비가 될 수 있다”며, “디가우징 같은 방식보다는 美 국방성에서 제시한 기준처럼 빠르게 파기해서 다시 쓸 수 있도록 하는 것이 환경을 위해서도 좋고 보다 경제적일 것”이라고 말했다.
물리적 파쇄 방식은 디스크의 원형을 알아볼 수 없도록 초강력 파쇄기로 훼손하는 방식이다. 아주 미세한 입자로까지 분쇄가 가능하기 때문에 복구 불가능하며, SSD하드디스크까지도 파기가 가능하다.
그런데 데이터를 삭제할 때 해당 데이터가 파기됐다는 사실을 어떻게 입증할 것인가? 파기된 디스크에 중요한 데이터가 포함돼 있던 디스크라는 사실을 어떻게 보장할까?
美 국방성의 경우 감사관이 파기 사실을 직접 확인한다. 로우 레벨 포맷 후 일정기간 디스크를 보관하고, 이후 디스크를 디가우징 방식으로 다시 포맷한다. 그렇게 파기한 것을 또 1년 정도 보관하다가 해당 디스크를 통째로 가지고 가서 물리적으로 분쇄한다. 하나의 파기방식으로도 데이터 파기가 가능하지만 고도의 보안성이 요구되는 기관의 경우는 위의 파기방식을 순차적으로 적용시키는 감사절차가 존재한다.
이처럼 데이터를 삭제·파기하는 데 있어 단순히 일반 포맷, 빠른 포맷으로는 완벽한 파기가 불가능하다. 이와 관련 방송통신위원회에서는 개인정보의 수집목적이 달성될 경우 지체없이 파기해야 하고, 사후 데이터를 복구·재생하면 그때 가서 죄를 묻겠다는 입장이다. 엄격하게 책임을 묻겠다곤 하지만 이 역시 사전대응이 아닌 사후대책에 불과하다.
이에 정통망법에 규정하고 있는 ‘복구·재생 불가능한 파기 방법’에 대해 종이문서를 비롯해 각 매체별 구체적인 파기기준에 대한 안내가 필요하다. 이와 함께 기술적으로 복구가 불가능하려면 어느 정도 수준까지 파기해야 하는지에 대한 세부기준이 마련되어야 한다.
[민세아 기자(boan5@boannews.com)]
<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>
.png)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
