장항배

중앙대학교 산업보안학과 교수

.

제4차 산업혁명과 코로나19(COVID-19) 팬데믹이 디지털 전환을 가속화하고, 재택근무, 화상회의 등의 비대면 업무환경이 일상이 되면서, 사물인터넷(IoT) 장치를 포함한 전자제품의 사용이 예전보다 더욱 많아졌다. 그리고 우리의 편리해진 생활만큼, 배출되는 전자∙전기폐기물(Electronic Waste, E-Waste)의 양 역시 기하급수적으로 늘어나는 중이다. 국제전기통신연합(International Telecommunication Union, ITU)에 따르면, 2022년 전 세계에서 발생한 전자폐기물의 양은 약 6,200만 톤이며, 2030년에는 약 8,200만 톤에 이를 것으로 전망되고 있다.

.

E-waste에는 중금속과 독성 화학 물질이 포함되어 있어 제대로 처리하지 않은 상태로 방치하거나 매립하면, 주변 환경 오염 및 질병의 원인이 될 수 있다. 때문에 지금까지 E-Waste 처리 방식에 대한 논의는 주로 환경이나 보건 관점에서 이루어져 왔다. 하지만 데이터 복원 기술의 발달과 정보 유출에 대한 경각심이 점차 커지면서, 환경이나 보건 못지않게 E-Waste의 ‘정보보안’ 역시 중요하게 다뤄지고 있다. 그리고 이러한 흐름에 따라 IT 정보자산에 들어있는 데이터를 완벽하게 파기하는 ‘ITAD(IT Asset Disposition, IT 자산 처리 서비스)’가 E-Waste 처리의 주요 영역으로 부상하고 있다.

.

ITAD, 이제 정보자산 처리 필수 절차로 자리매김

정보자산에 해당하는 E-Waste는 컴퓨터, 태블릿, 스마트폰 등의 전자기기뿐 아니라, 내장된 하드디스크, SSD(Solid State Drive), USB 등의 저장장치까지를 포함된다. 이러한 정보자산에는 신용카드 정보나, 보안 키 같은 개인정보뿐 아니라, 기업 내부정보, 국가 기밀 등의 주요 정보가 저장되는 경우가 많기 때문에 폐기 시 세심한 주의가 필요하다. 기기 내 저장장치의 전자회로가 기능하지 못 하도록 완전히 파기하지 않으면 요즘에는 *디지털 포렌식(Digital Forensic)을 통해 저장된 정보를 손쉽게 되살릴 수 있어, 정보가 의도치 않게 외부에 유출될 수 있기 때문이다. 또한 *역공학(Reverse Engineering) 기술도 많이 발전해, E-Waste 처리 과정에서 제품의 전자회로 설계도 정보, 특정 부품에 관한 성분정보 등의 기술 정보가 유출되기도 한다.

*디지털 포렌식: 디지털 기기에 걸린 암호를 풀거나 삭제·훼손된 저장장치를 복구해 데이터를 수집·분석하는 기법.
*역공학: 완제품을 분석해 제품의 기본 설계와 적용 기술을 파악하고 재현하는 것.

이에 최근 기업들은 ‘정보의 완전한 파기’와 ‘안전한 재활용’을 지원하는 ITAD를 정보자산 처리의 필수 절차로 반영하기 시작했다. ITAD는 앞서 언급한 ‘데이터의 파기’ 뿐만 아니라, 이후 정보자산의 재활용, 재사용과 같은 ‘자원순환’까지 포함하는 서비스이기 때문에, 보안 위험을 최소화함과 동시에 기업의 환경적 책임 역시 충실히 이행할 수 있다는 판단이다. 실제 세계 각국에서 관련 시장이 커지고 있는데, 미국의 HOBI International, DMD Systems, OceanTech, 영국의 Gentium Tech, 아일랜드의 International Wisetek 등이 (ITAD의) 대표적인 기업으로 꼽힌다. 마이크로소프트는 아예 IT 자산을 직접 처리하겠다고 나섰는데, 2030년까지 직접 운영 중인 영역에서 발생하는 폐기물을 제로 상태(Zero Waste)로 만들겠다는 목표 하에 자체 순환센터(Microsoft Circular Center)를 설립, 사용이 끝난 서버와 하드웨어를 현장에서 분해하고 재사용하는 체계를 구축하고 있다.

국내 기업 중에서는 E-Waste 전문기업 SK tes를 자회사로 둔 SK에코플랜트가 ITAD 분야에서 특화된 역량을 갖추고 있다. SK tes는 세계 각국에 위치한 46개 시설에서 100여 개국의 기업들에게 서비스를 제공하는 세계 최대 네트워크 보유 기업으로, 특히 지난 3월 미국 버지니아주에 대규모 데이터센터 전용 ITAD 시설을 준공하는 등 관련 사업을 강화하고 있어 주목할 만하다.

.

국내 보안관리 규정 보완 필요… ‘완전한 파기’ 보증하는 ITAD 중요

저장매체의 데이터 삭제에 관한 국제 가이드라인인 *NIST 800-88에 따르면, 사용 완료된 정보자산은 ‘초기화(Clear)’, ‘완전삭제(Purge)’, ‘파괴(Destroy)’ 등의 단계를 거쳐 안전하게 처리되어야 한다. 그 첫 단계인 ‘초기화’ 과정은 저장공간을 민감하지 않은 정보로 덮어씌우는 방법으로, 저장된 정보가 완전히 삭제되지 않을 수도 있다. 이에 보다 민감한 정보가 저장된 경우 ‘완전삭제’ 과정을 거쳐야 하며, 여기에는 반복 덮어쓰기, *암호화 삭제, *디가우징(Degaussing) 등의 방법이 활용된다. 반복 덮어쓰기와 암호화 삭제 방법은 데이터에 접근하지 못 하도록 정보를 ‘논리적으로’ 삭제하는 방식으로, 삭제된 민감 정보를 다시 불러올 수 없지만 저장매체의 저장기능을 다시 사용할 수는 있다. 반면 디가우징의 경우 해당 저장매체의 기능이 전자기적으로 상실돼 재사용 자체가 불가능하다. 마지막 ‘파괴’는 분해, 분쇄, 용해, 소각 등의 방법을 통해 물리·화학적으로 저장매체의 기능을 완전히 상실케 하는 방법이다.

*NIST 800-88: 미국 표준기술연구소(National Institute of Standards and Technology, NIST)가 데이터를 안전하고 영구적으로 삭제하는 데 필요한 절차와 세부 지침을 담아 지난 2006년 발표한 국제 가이드라인.
*암호화 삭제: 데이터를 암호화하고 암호화를 해제할 수 있는 키(Key)를 제거하는 삭제 방식.
*디가우징: 강력한 자기장으로 저장매체의 자기 정렬을 무작위로 재배열하는완전히 지우는 기술.

한편, 반도체, 디스플레이, 배터리 등을 포함한 국내 E-Waste 보안관리 규정은 아직 미비한 것이 현실이다. ‘*산업기술보호지침’에서 국가핵심기술 및 산업기술을 보유한 기업과 기관에게 정보 보호구역의 설정, 휴대품 검사, 전문인력 이직 관리 및 비밀 유지 계약 체결, 관리 책임자 및 보안 전담 인력의 제정 등의 보호조치를 요구하고 있지만, 이것을 E-Waste 보안 처리 관련 규정의 명시로 보긴 어렵다. 세부적으로 살펴보면 ‘국가 핵심기술의 백업 매체 폐기 시 기준을 수립하고 이에 따른 절차를 준수할 것’을 요구하고 있긴 하나, 이 역시도 구체적 처리 기준과 방법을 제시하지는 못 하고 있다. 또한 관리 대상을 백업 매체에 한정하고 있다는 한계도 존재한다.

*산업기술보호지침: ‘산업기술의 유출방지 및 보호에 관한 법률’과 그 시행령에 따라 국가핵심기술 등 산업기술의 유출을 방지하고 보호하기 위해 필요한 사항을 규정한 행정규칙.

‘*방위산업기술보호지침’에서도 E-Waste 보안 처리와 관련된 일부 조항을 확인할 수는 있다. ‘정보통신망에 접속해 사용한 정보통신기기와 저장매체의 외부 반출은 원칙적으로 금지하고, 부득이한 경우 완전 포맷(Format)을 통해 저장된 정보를 삭제한 후 반출’하도록 하는 내용이다. 이처럼 E-Waste의 정보 유출을 방지하는 포맷이라는 기술적 대책을 규정하고는 있지만, 그 방법이 한 가지로 제한적이고 폐기 상황이 아닌 반출 상황을 전제로 해 이 역시 E-Waste 보안 처리 관련 조항으로 보기는 어렵다.

*방위산업기술보호지침: ‘방위산업기술보호법’과 그 시행령에 따라 대상기관의 방위산업기술보호에 필요한 방법과 절차 등과 실태조사에 필요한 사항을 규정한 행정규칙.

기존에는 정보보안의 범위가 정보자산의 유통 과정에서 접근을 막는 수준에 머물렀다면 이제는 보안 활동의 범위를 폐기 이후까지 넓혀야 하는 상황이 됐다. 이에 정보자산 데이터에 대한 ‘완전한 파기’를 보증하는 ITAD의 필요성은 앞으로 더욱 강조될 것으로 보인다. 물론 ITAD를 진행·적용하는 과정에서 관련 규정과 제도 역시 점차 체계화 될 것이다. 이러한 기반들을 바탕으로 ITAD를 포함한 E-Waste 처리 산업이 지속 성장할 수 있는 동력을 확보할 수 있길 기대해 본다.