브라보必환경  2022.06.02

#13. E-Waste의 새로운 가치 창출, ITAD

버리는 IT 기기 속
내 정보들은 어떻게 될까?

E-Waste의 하드웨어적인 처리를 넘어,
그 속에 담긴 정보의 안전한 처리에
대한 필요성이 더욱 커지고 있다.

“문 열어! 하나, 둘, 셋…!” 닫힌 방문 밖에서 거친 발길질 소리와 격한 고함이 들려온다. 경찰이 들이닥친 것이다. 방 안의 해커는 책상 위의 하드디스크와 휴대폰을 들고 전자레인지에 넣는다. 그리고 30초 작동 버튼을 누른다. 전자레인지가 ‘땡’하는 소리와 함께 작동을 멈추는 순간 문이 열리며 경찰이 우르르 쏟아져 들어온다. 태연한 미소를 짓는 해커. 전자레인지 속의 휴대폰과 하드디스크를 본 순간 경찰들의 입에서는 안타까운 탄식이 터져나온다.

미국 범죄수사드라마 ‘CSI’의 한 장면이다. 이 장면처럼 스마트폰, PC 하드디스크를 전자레인지에 넣고 돌리면 그 속에 담긴 자료가 지워진다는 이야기는 도시전설처럼 많은 사람들에게 회자된다. 하지만 그런다고 해서 그 안에 담긴 정보들을 모두 완벽하게 지울 수 있는 것일까?

스마트폰이나 PC의 처리는 현대인에게 중요한 문제다. 외우기도 힘든 지인들의 연락처, 금융정보, 위치정보 등이 담긴 스마트폰부터, 개인 정보는 물론이고 업무에 중요한 자료들이 담겨있는 PC까지, 개인과 기업이 사용하는 IT 기기 속에는 유출되어서는 안 될 수많은 정보들로 가득하다. 이에 IT 기기를 버릴 때에는 깊은 주의를 필요로 하는데, 아무리 애써 스마트폰과 PC 속 파일들을 삭제하고 초기 상태로 포맷한다 해도 누구나 인터넷에서 쉽게 구매할 수 있는 복구 프로그램 하나면 다시 그 정보들을 되살릴 수 있다고 하니 불안할 수밖에 없는 게 사실이다. 실제로 중고 스마트폰에서 개인정보를 되살려 악용하거나, 기업 정보가 담긴 하드웨어를 팔아 문제가 되는 사례가 종종 매스컴에 오르내리니 말이다.

이처럼 생활 필수품으로 자리잡은 스마트폰, PC, 태블릿 등의 수명을 다한 IT 폐기물들은 환경 문제와 더불어 심각한 정보 유출 문제까지 발생시키는 골치 아픈 존재가 되고 있다. E-Waste(Electronic Waste, 전자∙전기폐기물)의 하드웨어적 처리 뿐만 아니라 정보를 어떻게 폐기시켜야 하는지에 대한 깊은 고민이 필요한 시점이다. 그리고 이러한 정보 보안 문제의 해결 방법으로 주목받고 있는 것이 바로 IT자산처분서비스, ITAD(IT Asset Disposition)다.

버려지는 데이터의 뒷처리를 부탁해! What is ITAD?

ITAD는 모든 종류의 IT 기기에 담긴 데이터를 안전하게 파기하는 처리 작업을 의미한다. 개인의 기준에서 보면 스마트폰, 태블릿, PC 등이, 기업 또는 국가의 기준에서 보면 구성원들이 사용하던 PC나 데이터 서버 등이 그 대상이 된다.

ITAD를 통해 정보를 삭제하는 방법은 데이터 삭제(Overwriting), 디가우징(Degaussing), 그리고 물리적 파쇄가 있다.

ITAD를 통해 정보를 삭제하는 방법은 데이터 삭제, 디가우징, 물리적 파쇄가 있다

데이터 삭제는 소프트웨어 프로그램을 통해 저장장치의 전체 데이터를 삭제 시키는 방법이다. 삭제 완료까지 다소 시간이 걸리기는 하지만, 데이터를 삭제하고 난 저장장치를 재활용할 수 있기 때문에 친환경적이라는 장점이 있다.

디가우징은 자기장을 이용하여 저장장치 내의 데이터를 물리적으로 복구 불가능하게 지우는 방법이다. 전자레인지에 하드디스크를 넣고 돌리면 데이터가 지워진다는 속설은 바로 이 디가우징 작업을 오해해서 생겨난 이야기다. 디가우징 전용 장비인 디가우저(Degausser)에 하드디스크를 넣으면 저장장치 및 데이터 기록장치인 플래터(Platter)가 손상되어 모든 데이터들이 복구 불능의 상태가 된다.

물리적 파쇄는 하드디스크 파쇄기를 사용해 저장장치의 복구가 불가능할 정도로 파쇄하여 데이터를 파괴하는 방법이다. 이는 빠른 시간 안에 완벽한 폐기가 가능하지만, 다량의 폐기물이 발생한다는 문제점 역시 가지고 있다.

정보 보안의 시대, ITAD는 기업 생존의 문제

국가와 기업에게 있어 정보보안은 생존과도 직결되고 있다. 조직 차원에서 개인 IT 기기에 실(seal)을 붙이고 휴대 금지 등의 관리 조항을 만드는 등 마치 전쟁에 임하는 각오로 정보 보안에 나서고 있지만, 현재 가동 중인 IT 기기를 통한 정보 유출 뿐만 아니라 폐기된 IT 기기, 즉 E-Waste로 인한 크고 작은 정보 유출 사건은 계속해서 발생하고 있다.

E-Waste로 인한 크고 작은 정보 유출 사건이 계속되고 있다.

일례로 2020년 군사 기밀이 담긴 독일군의 구형 노트북이 전자상거래업체 이베이에서 109달러에 판매되는 사건이 발생하기도 했다. 이 노트북에서 발견된 기밀자료 중에는 특정 시스템이 적군의 손으로 넘어가는 것을 막기 위해 시스템 전체를 무력화하는 절차가 담긴 중요 매뉴얼도 포함되어 있었다. 한 조사에 따르면 2019년 기준 전자상거래 사이트에서 판매되고 있는 중고 IT기기 전체의 42%에 여전히 데이터가 남아있고, 이들 데이터 중 15%가 개인 식별 정보(PII, Personally Identifiable Information) 또는 기업 데이터라고 한다.(Blanco, 2020) 셀 수도 없이 많은 IT기기들이 국가와 기업, 그리고 개인의 정보를 담은 채 세계 이곳저곳을 옮겨다니고 있다는 것이다.

이렇게 정보 유출로 인한 사고가 계속되고 있지만, 정부 부처나 기업이 자체적으로 ITAD 작업을 위한 시스템을 구축하는 것은 쉬운 일이 아니다. 전 세계 기업의 절반 가까이가 공식적인 IT자산처분 프로그램을 가지고 있지 않으며, 그중 37%가 ITAD 프로그램 설치 비용 등의 부담을 느끼고 있는 것으로 조사됐다. (TechTarget/Iron Mountain, 2021) ITAD에 대한 필요성은 절실하지만 비용과 규모의 문제로 인하여 선뜻 관련 프로세스를 구축하지 못하고 있는 것이 현실이다.

한편, 미국의 사이버 보안 전담 부처인 CISA(The Cybersecurity and Infrastructure Security Agency)가 발표한 방어지침을 보면, ITAD를 정보 보안의 위협요인으로 분류하고 있는 것을 볼 수 있다. 이는 그만큼 정보 보안에 완벽을 기하기 위해 시작한 ITAD가 역설적으로 정보 유출의 통로가 되는 사건 역시 다수 발생하고 있기 때문이다. 실제로 미국 애플사(社)는 20020년 자사의 아이폰, 아이패드, 애플워치 등의 폐단말기 처리를 맡긴 캐나다 E-Waste업체 GEEP가 10만 여대의 단말기를 폐기치 않고 불법 전매한 것을 적발하고 이에 대한 소송을 진행하고 있다. 또한, 세계적인 투자분석회사 모건스탠리는 외부의 E-Waste 처리 업체에 구형 서버 처리를 맡겼다가 고객 정보가 대량으로 유출되는 사고를 겪기도 했다.

ITAD가 선택이 아닌 필수적 과정으로 자리잡고 있는 현 상황에서 완벽한 기술뿐 아니라정보 유출과 폐기물 유출을 원천 봉쇄할 수 있는 체계적인 시스템을 갖춘, 신뢰할 수 있는 ITAD 전문 기업의 필요성이 더욱 커지는 이유다.

IT자산의 처분 NO, 환경을 위한 재배치 YES!

지난 2월 SK에코플랜트가 지분 100%를 인수하며 가족으로 맞은 E-Waste 전문 기업 테스(TES)社는 전자기기 및 배터리 재활용 사업과 함께 ITAD를 주력 사업으로 전개하고 있다.

TES의 IT 자산 처리 과정을 소개하는 영상 (출처 : TES 공식 유튜브 채널)

테스는 2016년 유럽의 ITAD 전문 기업 Datasserv를 시작으로 다수의 ITAD 전문 업체들을 인수하며 ITAD 관련 역량을 지속적으로 발전시켜왔다. 이러한 까닭으로, 지난 2021년 IT 시장 분석 기업 Gartner는 전 세계를 대상으로 포괄적인 ITAD 서비스를 제공할 수 있는 TOP 3 기업 중 하나로 테스를 선정하기도 했다.

테스가 추구하는 ITAD 사업의 기본 가치는 단순한 IT자산의 처분(Disposal)이 아닌 자원 재배치(Disposition)를 달성하는 것에 있다. ITAD 사업이야말로 3R, 즉 Reduce(감소), Reuse(재사용), Recycle(재활용)의 대표적인 사업이라는 것이다. 실제로 테스의 ITAD 과정에는 정보 파기 후 IT자산의 재활용 및 재사용을 통해 친환경적으로 처리하는 과정이 포함된다. IT자산의 폐기량을 최소화하고 다시 새롭게 사용되도록 하는 것이 테스가 생각하는 ITAD의 최종 목표다.

TES사의 ITAD 과정 소개

테스의 ITAD 과정은 다음과 같다. 우선 완벽한 삭제 과정을 통해 폐기 대상 IT자산에서 정보를 모두 제거한다. 이렇게 비워낸 IT자산은 수리 및 재정비 과정을 거쳐 일부는 다시 판매가 가능한 중고 스마트폰, 노트북 PC 등 리퍼비시(Refurbished) IT 기기로 변신한다. 그렇지 못한 다른 일부는 분해 및 파쇄 과정을 거쳐 CPU, RAM, 그래픽 카드 등을 추출하거나 리튬, 고철, 비철, 플라스틱 등 희소금속 및 유효 소재를 추출하여 재사용하게 함으로써 3R의 선순환 구조를 완성하고 있다.

ITAD의 중요성, 날로 높아지는 가치와 의미

ITAD의 사회적∙환경적 역할이 갈수록 확대되는 가운데 IT자산처분 시장 규모는 2021년 145억 달러에서 2026년 212억 달러로 연평균 7.9%의 높은 성장률을 보일 것으로 예상되고 있다. (MarketsandMarkets, 2021) 이러한 시장 규모의 확대는 E-Waste의 친환경적 처리에 대한 필요성 뿐만 아니라 안전한 정보 처리 방법에 대한 각국의 정책 강화에 기반하고 있다.

대표적으로 유럽연합(EU)의 국가들은 *WEEE(Waste Electrical and Electronic Equipment Directive)에 따라 항목별로 60-80% 가량의 E-Waste를 회수하여 목표치를 달성해야 한다. 예를 들어 소형 IT 및 정보통신 기기의 경우 75%의 회수율과 55%의 재활용률을 목표로 하고 있다. 또한, EU 내에서 판매되는 전기∙전자제품도 이 지침과 같은 비율을 준수하는 기업의 제품만이 판매 가능한데, 단순 회수 및 재활용 의무 뿐만 아니라 제품 내 정보∙데이터의 안전한 처리에 대한 생산자의 책임 역시 강하게 요구되고 있다.

WEEE(Waste Electrical and Electronic Equipment Directive):

E-Waste에 대한 유럽의 공동 지침. 2003년 2월 이후 유럽 연합법으로 제정되어 있다.

이에 국가 정책에 기반하여 비즈니스 플랜을 수립하는 산업계 또한 ITAD의 중요성을 인식하고 다양한 방안을 강구하는 중이다. 특히 4차산업∙IT 등 데이터 중심의 기업은 IT자산 관리를 위해 생산 단계부터 폐기에 이르기까지 안전성을 갖춘 체계를 구축해야 하는 과제에 직면했다.

일례로 미국 마이크로소프트사(社)는 2020년 자체적으로 ITAD 프로세스를 개발한 바 있다. 해당 프로세스에 따라 마이크로소프트는 데이터센터에서 장비를 해체, 제거할 때 하드웨어를 꺼내어 즉시 ITAD 전문 기관으로 운송하고 있으며, 자사의 ITAD 작업 및 E-Waste 자원 재사용을 담당하는 순환센터(Microsoft Circular Center)를 구축하기도 했다. 반면, 구글은 하이퍼스케일 데이터센터(Hyperscale Data Center), 즉 대형 데이터 센터에 ITAD 작업을 완료한 자사의 리퍼브 장비 비율을 높여 운영하고 있기도 하다.

TES의 ITAD 작업 현장. 폐기 대상 서버 컴퓨터의 정보 삭제를 수행하고 있다.

이처럼 오늘날 올바른 E-Waste 처리에 대한 필요성은 단순히 그 물리적인 양을 줄이고, 다시 재사용 하는 것으로만 접근해서는 안 된다. 그 E-Waste 속 누군가에겐 매우 중요하고 지켜져야 할 정보들이 안전하게 사라지는 것이 달성되어야 비로소 온전한 E-Waste의 처리라고 할 수 있을 것이다. 2022년 테스(TES)社 인수를 통해 글로벌 스탠다드에 걸맞는 ITAD 역량을 확보한 SK에코플랜트가 앞으로 E-Waste 시장과 ITAD 분야를 어떻게 이끌어 나갈지 그 미래가 기대되고 있다.

테스(TES) 인수 관련 콘텐츠 연재 안내

뉴스룸에서는 앞으로 3편에 걸쳐 SK에코플랜트의 테스(TES)社 인수와 E-Waste 산업에 대해 자세히 살펴볼 수 있는 콘텐츠를 연재할 계획이다.

1편. 글로벌 E-Waste 선도 기업 테스(TES) 인수
2편. 희소금속 자원 전쟁의 해답, E-Waste
3편. E-Waste의 새로운 가치 창출, ITAD