디스크 파쇄, 구멍이 뚫리지 않은 부분 복원...정보유출사례 발생
종이문서 파쇄, 육안으로 봤을 때 종이에 입력된 글자·숫자식별 가능

최근 카드사 정보유출 사건과 대한의사협회 등의 개인정보 유출 등 연이은 사고로 전국은 개인정보보호에 비상이 걸렸다.

그러나 개인정보 유출은 해킹과 내부인력 뿐만 아니라 일반 생활 속에서도 홍수처럼 쏟아지고 있다.

특히 중고거래 시장을 통해 스마트폰, 노트북, 태블릿PC 내 저장된 개인정보가 유출되기도 하고, 이력서, 회원명단 및 연락처 등 각종 신상정보가 담긴 종이문서를 통해서도 유출되는 등 사방에서 구멍이 생기고 있다.

이와 관련 한국개인정보보호협의회 박용만 운영위원은 “온·오프라인 중고시장 거래를 통해 스마트폰, 태블릿PC, 노트북 등 각종 디바이스가 거래되고 있는데, 이를 통해 개인정보가 무수히 유출되고 있다”며 “이는 포맷처리를 해도 복구가 가능한 점을 악용해 개인정보를 탈취하고, 거래하기 때문”이라고 밝혔다.

보다 못한 정부에서도 개인정보보호법 강화조치 등으로 진화에 나섰지만 현실에서는 공염불에 그치고 있다. 현재 개인정보보호법에서는 개인정보가 들어있는 디스크나 전자문서 파기 시 개인정보가 복구되거나 재생되지 않도록 해야 한다고 명시하고 있다.

이를테면 전자파일의 경우 영구 삭제해야 하며, 기록물, 인쇄물, 서면 등은 파쇄하거나 소각해야 한다. 이를 위반할 경우 3천만원 이하의 과태료가 부과된다. 정통망법에서도 개인정보 파기 시 복구·재생되지 않도록 하고 있다.

현재 이러한 법령을 적용한 하드디스크 파기 방법을 살펴보면 전문 처리업체를 통해 용광로에 소각(용해)하는 방법, 강한 자기장을 통과시켜 정보를 날리는 방법(디가우저), 다시 재사용되지 못하도록 물리적으로 구멍을 뚫어 폐기하는 방법(펀칭기법), 그리고 강력한 파쇄기를 통해 하드디스크 자체를 완전히 부숴서 파쇄하는 방법 등이 있다.

그렇다면 이러한 방법들은 얼마나 안전할까? 이와 관련 박 운영위원은 “용광로에 용해시키는 방법이 가장 안전하겠지만 현실적으로는 수거 후 용광로에 넣어 용해하기까지 오랜 시간이 걸린다”며 “대기하는 과정에서 방치되고 있어 정보가 유출될 위험성이 크다”고 지적했다.

두 번째로 디가우저 방식은 처리시간이 오래 걸리고, 고가장비라 대중화되기에는 아직까지 어려움이 있다는 것.

세 번째로 구멍을 뚫는 펀칭방식은 보통 디스크에 2~3개 구멍을 내는데, 구멍이 뚫리지 않은 부분을 복원해 정보가 유출되는 사례가 빈번히 발생하고 있다.

그렇다면 종이문서의 경우는 어떨까? 종이문서의 경우 폐휴지 업체로 넘겨지거나 이면지 등으로 재활용되고 있어 문제는 더욱 심각하다. 물론 개인정보가 입력된 문서의 경우 파쇄기나 세단기를 통해 문서를 분쇄하면 된다. 그러나 이 또한 안전하지 않다는 것이 전문가들의 지적이다.

이에 본지가 직접 파쇄된 종이의 치수를 측정해 봤다. A업체 파쇄기에서 분쇄한 종이는 약 가로 3cm 세로 0.2mm~0.3mm였고, B업체 파쇄기의 경우 약 가로 4cm 세로 0.5mm였다. 이는 육안으로 봤을 때 종이에 입력된 글자와 숫자식별이 가능한 크기였다. 이는 인쇄된 한글문서의 글자포인트로 11~13p다. 이 뿐만이 아니다. B업체 파쇄기는 길이가 4cm로 이름, 휴대폰 번호, 회사명, 회사 홈페이지 주소를 그대로 노출하고 있는 것으로 드러났다.

이와 관련 박 운영위원은 “국내 일부 파쇄기나 세단기의 경우 분쇄된 입자 크기가 개인식별이 가능해 유출되거나 복구될 위험성이 크다”며 “파쇄기 업체별로 분쇄된 종이의 크기가 제각각이며 크기 기준도 명확하지 않다. 심지어 파쇄된 종이문서나 전자파일만 가져와 복구하는 곳도 생길 수 있다”고 밝혔다. 그럼에도 불구하고 많은 사람들이 무의식중에 많은 개인정보를 저장하거나 제대로 처리하지 않고 있다는 것이다.

외국의 경우는 육안으로 확인이 불가능한 수준으로 분쇄될 만큼 입자가 작다. 미국의 국가안보국(NSA)와 중앙정보국(CIA)의 보안등급을 비교해보면 보안레벨 3은 4.5x30mm, 보안레벨 4는 1.9x1.5mm, 보안레벨 5는 0.78x11mm, 최고등급인 레벨 6의 경우 1X5mm으로 A4용지 기준 약 12,000조각으로 분쇄하고 있다.

하드디스크도 마찬가지로 잘게 부수는 방식으로 처리하고 있다. 이와 관련 박 운영위원은 “하드디스크의 정보유출을 완벽하게 막기 위한 미국폐기협회(NAID) 지침에 따르면 문서세단기로 종이를 파쇄하듯 강력한 파쇄기로 하드디스크를 잘게 부수는 방법이 현재로서는 가장 효과적이라고 권장하고 있다”고 밝혔다.

물론 우리나라 국정원에서도 미국의 NSA와 유사한 규정이 있다. 하지만 개인정보보호법에서는 파기방법이나 절차한 명확한 규정이 없다.

현재 국내 파쇄기나 세단기 시장을 살펴보면 신속한 파쇄와 가격 경쟁에만 치중돼 있다는 우려의 시각이 적지 않다. 잇따른 정보유출 사고로 개인정보보호 인식이 높아지는 상황에서도 아직 개인정보 파기의 중요성에 대한 관련 업계, 정부, 그리고 국민들의 인식은 아직 미흡하다. 정보유출 기법 또한 날로 고도화되고 있는 상황에서 정작 개인정보보호의 기본은 지켜지지 않는 셈이다.

“정보 파기의 경우 지금처럼 파쇄업체에 맡겨놓을 문제가 아니라 복원 불가능할 정도로 파쇄할 수 있도록 기술력이 좀더 향상돼야 하고, 개인정보가 기록된 문서파쇄에 있어서도 좀더 체계화된 제도 마련이 필요한 때”라는 보안전문가들의 공통된 의견이 기본을 망각한 국내 개인정보보호체계의 허술함을 대변하고 있다.

[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>