IT 자산 교체 프로젝트는 흔히 새 장비가 도착하고 시스템이 가동되는 순간 끝났다고 생각합니다. 예산이 집행되고, 마이그레이션이 완료되고, 직원들이 새 환경에서 일을 시작하면 프로젝트는 마무리된 것처럼 보입니다. 그러나 정보보호 관점에서 보면, 진짜 마무리는 그때부터 시작됩니다.

퇴역 장비 안에는 여전히 고객 정보, 임직원 데이터, 영업 기밀, 인증서, 계정 정보 등 민감한 데이터가 그대로 남아 있습니다. 이 장비가 조직의 통제를 벗어나는 순간, 그 안의 데이터도 함께 빠져나갑니다. 폐기 업체에 넘겨진 서버, 반납된 리스 장비, 중고로 매각된 노트북. 이것들이 적절한 소거 없이 처리된다면 데이터는 여전히 복원 가능한 상태로 남아 있습니다.

NIST SP 800-88r2는 이 점을 분명히 합니다. 매체 소거(Media Sanitization)는 폐기 단계에서 갑자기 처리하는 후속 작업이 아니라, 시스템 생애주기 전반에 걸쳐 계획하고 관리해야 하는 필수 활동입니다. 교체 프로젝트는 기존 장비가 조직 통제를 벗어나기 전에, 정보 민감도와 자산의 향후 처리 경로에 맞는 방식으로 데이터를 소거·파기하고 그 결과를 기록으로 남길 때 비로소 마무리됩니다.

1장. 단순 삭제와 데이터 폐기는 전혀 다릅니다

1. 삭제했다고 사라진 것이 아닙니다

많은 담당자들이 파일을 삭제하거나 휴지통을 비우거나 드라이브를 포맷하면 데이터가 사라졌다고 생각합니다. 그러나 이것은 데이터가 저장된 위치를 가리키는 '목차'만 지우는 것입니다. 실제 데이터는 여전히 디스크 어딘가에 그대로 남아 있으며, 전문 복구 소프트웨어를 사용하면 상당 부분을 복원할 수 있습니다.

ICO는 퀵 포맷을 수행하거나 기기를 공장 초기화해도 데이터가 삭제되지 않을 수 있으며, 데이터 복구 전문가가 이를 복원할 수 있다고 설명합니다. '보이지 않는다'와 '복구가 불가능하다'는 전혀 다른 의미입니다. 데이터 폐기는 자산의 민감도, 재사용 여부, 매체 종류에 따라 적절한 소거 방법을 선택하고 그 결과를 확인하는 관리 활동입니다.

2. NIST SP 800-88r2가 정의하는 3단계 소거 방식

2025년 9월 26일 발표된 NIST SP 800-88r2는 매체 소거를 세 가지 방식으로 구분합니다.

Clear(클리어): 논리적 기법을 사용해 모든 사용자 주소 지정 가능한 저장 위치를 덮어쓰는 방식입니다. 데이터 복구 소프트웨어 도구를 사용한 공격으로부터 데이터를 보호하지만, 실험실 공격으로부터 보호하는 데는 충분하지 않을 수 있습니다. 재사용이 목적인 장비에 주로 적용됩니다.

Purge(퍼지): 실험실 공격에 대해서도 복구가 불가능하도록 처리하는 방식입니다. 블록 소거, 암호화 키 폐기(Cryptographic Erase), 디가우징 등이 포함됩니다. 암호화 키 폐기는 속도와 효율 면에서 뛰어나지만 암호화 구현의 품질과 특정 전제 조건을 충족해야 합니다. 민감한 데이터가 담긴 장비에 적합합니다.

Destroy(파괴): 매체 자체를 물리적으로 파괴하는 방식입니다. 파쇄, 소각, 용해, 디스인테그레이션, 천공 등이 포함됩니다. 가장 높은 수준의 보안을 제공하지만 장비 재사용이 불가능합니다.

3. 삭제 대상 범위를 과소평가하지 마세요

데이터 삭제 시 라이브 시스템의 데이터만 처리했다고 끝이 아닙니다. ICO는 전자기록 삭제 시 아카이브, 휴지통, 백업까지 고려해야 한다고 안내합니다. 백업 서버, 테이프, NAS, 클라우드 백업, 개발 환경의 복사본까지 삭제 대상 범위에 포함되어야 합니다. 범위에서 빠진 백업 하나가 이후 데이터 유출의 원인이 될 수 있습니다.

2장. 의사결정 기준은 '장비 종류'가 아닌 '데이터와 향후 경로'입니다

1. 모든 자산에 동일한 기준을 적용하는 것은 비효율적입니다

실무에서는 모든 자산에 동일한 강도의 파기 절차를 일괄 적용하기보다, 해당 자산이 어떤 정보를 다뤘는지와 앞으로 어떻게 처리될지를 먼저 정리하는 것이 현실적입니다. NIST SP 800-88r2는 조직이 데이터 분류 체계와 최소 허용 소거 방법, 자산의 폐기·재사용 요건, 역할과 책임, 문서화 요건을 정책으로 정하도록 권고합니다.

2. 처리 전 확인해야 할 핵심 질문 3가지

첫째, 어떤 정보가 담겨 있었는가? 개인정보, 재무 자료, 영업 기밀, 계정 정보, 인증서 등 민감한 정보가 포함됐는지 확인합니다. 데이터 민감도가 높을수록 더 강력한 소거 방식이 필요합니다.

둘째, 장비를 어떻게 처리할 것인가? 내부 재사용, 외부 반출·매각, 반납, 완전 폐기 중 어떤 경로인지 결정합니다. 재사용이 목적이라면 소프트웨어 소거가 적합하고, 완전 폐기가 목적이라면 물리적 파기까지 고려해야 합니다.

셋째, 저장매체를 유지할 것인가, 파기할 것인가? 장비는 재사용하더라도 저장매체만 별도로 교체하거나 파기하는 방법도 있습니다. 특히 고민감도 데이터를 다뤘던 장비라면 매체 교체 후 물리적 파기를 고려해야 합니다.

3. 백업·아카이브 사본은 맹점이 됩니다

라이브 시스템만 정리했다고 데이터가 완전히 처리됐다고 단정하기 어렵습니다. 백업 서버, 테이프 보관함, 개발 환경의 복사본, 클라우드 스냅샷에 여전히 데이터가 남아 있을 수 있습니다. 소거 대상 범위를 확정할 때 라이브 시스템뿐 아니라 백업·아카이브 사본이 포함되는지 반드시 확인해야 합니다.

3장. 매체 유형별로 접근법이 달라집니다

1. HDD와 SSD는 같은 방식으로 처리할 수 없습니다

HDD(하드디스크)와 SSD(반도체 저장장치)는 데이터를 저장하는 원리가 근본적으로 다릅니다. NIST SP 800-88r2는 플래시 기반 저장장치가 Spare Cell과 Wear Leveling 특성 때문에 일반적인 덮어쓰기만으로는 이전 데이터가 저장됐던 모든 영역을 사용자가 직접 주소 지정해 지우기 어렵다고 설명합니다. SSD에는 ATA Secure Erase 명령, 암호화 키 폐기(Crypto Erase), 또는 물리적 파쇄가 적합합니다.

특히 주의해야 할 것은 디가우징입니다. 플래시 메모리는 자기장의 영향을 받지 않기 때문에 SSD에 디가우저를 적용하는 것은 아무런 효과가 없습니다. 매체 분류부터 잘못되면 파기를 완료했다고 착각하게 만드는 가장 위험한 실수 중 하나입니다.

2. 자주 놓치는 매체들

백업 테이프: 대용량 데이터가 집적되어 있어 파기 시 각별한 주의가 필요합니다. 자기 기록 방식이므로 디가우징 후 소각 조합이 효과적입니다.

이동식 매체(USB·메모리카드): 플래시 메모리 기반이므로 디가우징은 효과 없습니다. 물리적 파쇄 또는 천공이 적합합니다.

광학 매체(CD·DVD·블루레이): 표면 일부만 손상된 경우 데이터 복원이 가능합니다. 완전한 파쇄 또는 절단이 필요합니다.

스마트폰·태블릿: 공장 초기화만으로는 부족합니다. 암호화 후 공장 초기화, 필요시 물리적 파쇄까지 병행해야 합니다.

3. 서버·PC 외 놓치기 쉬운 장비

NIST SP 800-88r2는 정보 저장 매체 범주에 네트워킹 장비와 오피스 장비도 포함합니다. 프린터·복합기는 인쇄·복사·스캔·팩스 이력을 내부 HDD에 저장하며, 장비를 반납하거나 교체할 때 이 내부 저장장치를 별도로 처리하지 않으면 수년치 문서 이력이 그대로 유출될 수 있습니다. 교체 프로젝트 범위를 서버와 PC에만 한정하지 말고, 데이터 저장 기능이 있는 모든 주변 장비까지 넓혀야 합니다.

4. 가상화·클라우드 환경의 별도 고려사항

가상화 환경이나 클라우드처럼 물리 매체가 추상화된 경우는 별도 접근이 필요합니다. NIST SP 800-88r2는 가상·논리 스토리지에서는 데이터 소유자가 물리 매체에 직접 접근하지 못하므로, 암호학적 삭제(Cryptographic Erasure)가 사실상 유일한 Purge 옵션일 수 있다고 설명합니다. 논리 자원만 삭제했다고 전체 데이터 흔적이 모두 정리됐다고 단정하지 말고, 백업·보관 사본과 키 관리 범위까지 함께 확인해야 합니다.

4장. 외부 업체 활용 시 확인해야 할 것들

1. 가격과 일정만 보면 안 됩니다

외부 전문업체를 활용하는 경우, 가격이나 일정 대응력만이 아니라 자산 인수부터 최종 처리까지의 추적 가능성과 증빙 체계를 확인해야 합니다. ICO는 파기 대기 장비를 안전하게 보관하고 위치 로그를 유지하며, 제3자 계약에는 보안 조치·책임성·감사권을 포함하고, 파기 증명서가 실제로 보낸 자산과 일치하는지 점검하라고 안내합니다.

업체 선정 시 확인해야 할 핵심 항목은 국가 인증 또는 허가 보유 여부, 파기 작업의 현장 입회 가능 여부, 파기 확인서 발급 여부 및 포함 항목, CCTV 등 녹화를 통한 작업 증빙 가능 여부입니다.

2. 파기 확인서에 반드시 포함되어야 할 항목

NIST SP 800-88r2의 소거 인증서(Certificate of Sanitization) 예시에는 다음 항목이 포함됩니다. 매체 종류, 제조사 및 모델명, 일련번호, 용량, 소거 방법, 사용 도구 및 버전, 검증 상태, 소거 담당자 정보, 처리 일시, 최종 처분 목적지가 이에 해당합니다. 파기 확인서에 이 항목들이 갖춰져 있어야 내부 감사나 규제기관 조사에서 실질적인 증빙 자료로 인정받을 수 있습니다.

3. 파기 전 자산 보관 관리도 중요합니다

파기 작업이 완료되기 전까지 퇴역 장비가 어디에, 어떻게 보관되는지도 관리 대상입니다. 창고나 복도에 방치된 구형 서버, 누구나 접근할 수 있는 공간에 쌓인 폐기 대기 장비들은 파기 전에 이미 유출 위험에 노출됩니다. 파기 대기 장비는 접근이 제한된 공간에 보관하고, 보관 위치와 이동 이력을 문서로 남겨야 합니다.

5장. 프로젝트 산출물로 내재화해야 운영됩니다

1. 데이터 폐기를 교체 프로젝트의 필수 산출물로 설정하세요

가장 실무적인 접근은 데이터 폐기를 교체 프로젝트의 후속 정리가 아니라 필수 산출물로 정의하는 것입니다. NIST SP 800-88r2는 소거 필요성과 방법을 폐기 단계에 가서 정하는 것이 아니라, 시스템 생애주기 초기에 식별·문서화·배치해야 한다고 설명합니다.

프로젝트 계획서에는 신규 장비 도입 일정뿐 아니라 퇴역 장비 회수 일정, 보관 위치, 소거 또는 파기 방식, 확인자, 증빙 제출 시점까지 포함해야 합니다.

2. 담당자를 위한 폐기 체크리스트

처리 전 확인사항 으로는 장비 목록과 데이터 민감도를 공개·내부·기밀로 분류했는지, 매체 종류를 HDD·SSD·자기테이프·광매체·이동식 매체로 정확히 식별했는지, 재사용·반출·완전 폐기 중 목적이 명확히 정해졌는지, SSD에 디가우징 등 부적합한 방식이 적용되지 않도록 확인했는지, 백업·아카이브 사본이 파기 범위에 포함됐는지를 점검해야 합니다.

처리 후 확인사항 으로는 작업 결과를 사진·영상·삭제 리포트·파기 확인서로 증빙했는지, 파기 확인서에 매체 종류·일련번호·소거 방법·담당자·처리 일시가 기재됐는지, 최종 확인자와 증빙 자료 보관 기간이 정해졌는지, 개인정보 보호법 등 관련 법령상 요구 수준을 충족하는지를 점검해야 합니다.

교체 프로젝트는 데이터가 소거됐을 때 비로소 끝납니다

신규 장비 도입은 투자이지만, 퇴역 장비의 데이터 폐기는 통제와 책임의 문제입니다. 새 시스템이 가동된다고 해서 이전 데이터의 위험이 사라지는 것이 아닙니다.

교체 프로젝트는 기존 장비가 조직 통제를 벗어나기 전에, 정보 민감도와 자산의 향후 처리 경로에 맞는 방식으로 데이터를 소거·파기하고 그 결과를 기록으로 남길 때 비로소 마무리됩니다. 이것이 NIST, ICO 등 국제 주요 기관이 공통적으로 강조하는 원칙이며, 개인정보 보호법이 요구하는 파기 의무의 핵심이기도 합니다.

정보의 시작부터 끝까지 책임지는 보안 파트너,

알테크코리아가 함께합니다.