데이터 파기의 중요성

핵심 내용

데이터 (Data)를 보호하려면 때때로 데이터를 삭제하고 데이터가 저장된 장치를 파기해야 할 수도 있다. 직관적이지 않을 수도 있지만, 종종 필요한 조치다. 데이터 파기를 신중하게 처리해야 하는 이유와 이를 처리할 수 있는 다양한 방법에 대해 살펴보자.

기술 방어, 강력한 IT 거버넌스, 사이버 인식 인력을 갖추고 있습니다. 데이터 (Data)는 안전하게 보호, 복제, 백업된다. 훌륭하지만 한 가지 더 알아야 할 것이 있다: 데이터를 직접 파기해야 하는 이유다.

데이터 (Data)를 파기해야 하는 이유

데이터를 보호하고 데이터의 접근성과 보안을 모두 보장해야 한다는 명백한 이분법을 충족하기 위해 취하는 노력을 고려할 때, 데이터의 고의적 파기를 요구 사항이 아닌 필수 사항으로 간주하는 것은 직관에 반하는 일이다.

이렇게 해야하는 데에는 몇 가지 이유가 존재한다.

하드웨어 교체

하드웨어는 노후화되며 모든 기계와 마찬가지로 작동 수명이 한정되어 있다. 서버, 데스크톱 컴퓨터, 노트북, 네트워크 연결 스토리지 (NAS),  휴대폰 및 태블릿과 같은 모바일 장치가 중복되는 경우 반드시 폐기해야 한다.

하드웨어 고장 때문에 장치를 교체해야 할 수도 있다. 일부 기업에서는 장애가 발생할 때까지 기다리지 않고 하드웨어의 폐기를 사전에 관리하여 예기치 않은 다운타임을 방지한다. 다양한 종류의 장치에는 사용 수명이 할당되어 있으며, 해당 수명에 도달하면 교체된다.

마이크로소프트 윈도우 (Microsoft Windows)의 새 버전 출시와 같은 외부 요인에 의해서도 장치 교체가 이루어질 수 있다. 기존 하드웨어가 새 운영체제 (Operating System)를 실행할 수 있는 성능을 갖추지 못한면 교체해야 한다.

하드웨어 재사용

누군가가 퇴사하여 노트북이나 데스크톱을 후임자에게 재배치하는 경우, 새로 들어오는 직원에게 기기를 전달하기 전에 기기를 안전하게 초기화해야 한다.

법률 또는 규정 준수 등 이유

유럽 일반 개인정보 보호법과 같은 법률에 따라 조직은 개인 식별 정보 (개인 데이터)를 얼마 동안 보유할 것인지 공개적으로 명시해야 한다 (일반적으로 온라인 개인정보보호정책에 명시). 이를 데이터 보존 기간이라고 한다.

명시된 보존 기간을 초과하여 데이터를 보유하면 데이터 보호 및 개인정보 보호정책을 심각하게 위반할 수 있으며 관련 감독 기관으로부터 원치 않는 지적을 받을 수 있다. 원치 않는 비용과 평판 손상도 발생할 수 있다.

데이터 유출로 인한 위험

위협 행위자가 데이터에 접근하는 것을 막기 위해 많은 노력을 해야 한다. 오래된 하드웨어에 저장된 데이터를 고려하지 않고 폐기하는 것은 해커에게 데이터를 바로 넘기는 것과 같다.

중요한 종이 문서를 일반 쓰레기통에 버리면 안된다. 접근할 수 없고 읽을 수 없도록 파쇄해야 한다. 오래된 하드웨어의 데이터도 안전하게 삭제해야 한다.

민감한 기업 정보 유출로 인한 상업적 영향 외에도, 데이터에 개인 식별 정보가 포함되어 있다면 이는 유럽에서 데이터 유출로 간주된다.

하드 드라이브 데이터 안전하게 삭제하는 방법

하드 드라이브에서 데이터를 안전하게 삭제하거나 하드 드라이브를 읽을 수 없게 만드는 방법은 여러 가지가 있다:

  • 데이터 덮어쓰기
  • 하드 드라이브 디가우징
  • 하드 드라이브를 물리적으로 손상 또는 파기

이러한 각 기술에는 장단점이 있으며, 일부 회사에서는 한 번에 두 가지 이상의 기술을 사용하기도 한다.

데이터 덥어쓰기

운영 체제에서 파일을 삭제하면 해당 하드 드라이브의 파일 목록에서 파일 이름이 제거되고, 파일이 저장된 하드 드라이브의 공간을 재사용 가능한 공간으로 표시한다.

결국 하드 드라이브의 해당 영역은 다른 파일로 덮어쓰게 된다. 드라이브의 해당 영역을 덮어쓰지 않았다면 삭제된 파일에서 데이터를 검색하는 것은 간단하다. 삭제된 파일은 원래 있던 하드 드라이브에 바로 남아 있기 때문이다. 오래된 하드 드라이브나 컴퓨터를 폐기하기 전에 모든 파일을 삭제하는 것만으로는 삭제된 데이터에 대한 무단 액세스를 방지하기에 충분하지 않다. 의도적으로 덮어써야 한다.

전문 소프트웨어 패키지를 사용하면 하드 드라이브의 가능한 모든 데이터 포인트에 데이터 값을 기록하여 이전에 저장된 모든 내용을 지울 수 있다. 그러나 덮어쓰기는 특히 고용량 하드 드라이브를 지우거나 작업해야 할 드라이브가 많은 경우 속도가 느리다.

덮어쓰기 소프트웨어는 솔리드 스테이트 드라이브 (SSD)를 안전하게 지우는 완벽한 방법은 아니다. SSD를 완전히 지우려면 제조업체의 웹사이트를 확인하여 브랜드별 유틸리티를 구해야 한다.

실제 드라이브의 데이터를 덮어쓰거나 SSD를 완전히 지워도 드라이브 자체는 손상되지 않다. 다시 사용할 수 있다. 다른 직원에게 넘기거나 자선 단체에 기부하기 위해 컴퓨터를 정리하는 경우 이 방법을 사용하는 것이 좋다.

디가우징

기존의 물리적 하드 드라이브는 회전하는 플래터에 자기 패턴으로 데이터를 저장한다. 디가우징은 강력한 자기장을 사용하여 이러한 패턴을 방해함으로써 하드 드라이브 전체를 효과적으로 스크램블링한다.

디가우징은 선택적이지 않기 때문에 플래터 자체만 디가우징할 수 없으며, 전체 하드 드라이브 메커니즘을 망가뜨린다. 즉, 서보 모터에서 펌웨어 데이터를 지워 드라이브를 작동할 수 없게 만드는 경우가 많다. 이렇게 하면 해당 드라이브에서 데이터를 읽을 가능성이 더욱 줄어든다.

하지만 드라이브를 지운 후 재사용할 계획이라면 디가우징을 하지 않는 것이 좋다. 디가우징 후에도 드라이브가 여전히 작동하더라도 드라이브의 수명에 대한 의문이 남게 되며, 보증이 무효화된다.

디가우징 기계는 고가이다. 더욱 저렴한 디가우징 완드를 사용할 수 있지만, 확실한 파괴를 위해서는 강력한 데스크톱 장치를 사용해야 한다. 그리고 SSD는 데이터를 저장하는 데 자성을 사용하지 않기 때문에 디가우징은 SSD에서 작동하지 않는다.

드라이브 물리적 파괴

이 방법은 제대로 수행하면 효과가 보장된다. 하드 드라이브를 파괴하면 하드 드라이브에서 데이터를 검색할 모든 기회가 제거된다.

기계식 하드 드라이브를 완전히 파괴하려면 중앙에서 가까운 곳에서 바깥쪽으로 엇갈린 거리로 일련의 구멍을 뚫을 수 있다. 큰 망치와 10cm(4인치) 크기의 못을 사용하여 좀 더 원시적인 방법으로도 이 작업을 수행할 수 있다. 드라이브를 나무 블록 위에 올려놓고 못 두어 개를 플래터에 박아 산산조각 내면 된다.

놀랍게도 하드 드라이브를 떨어뜨려서 파쇄할 수 있는 파쇄기도 있다. 비용이 많이 들고 소음이 크며 건물이 흔들리지만 실제로 존재한다. 주의해야 할 점은 파쇄 바퀴의 피치 (pitch)다. 파쇄 바퀴는 보통 약 1인치(2.5cm) 정도 떨어져 있다. SSD 내부의 일부 칩은 이보다 작으므로 파편에서 재생 칩을 꺼내 기증 장치에 이식한 후 다시 부활시킬 수 있다.

드라이브 파기의 경우, 금속 재생 공장과 계약을 체결하여 무료로 드라이브를 녹여 금속을 재활용하는 조직에 대해서도 들어본 적이 있다. 데이터 파기 문제를 해결할 뿐만 아니라 조직의 지속 가능성 프로그램과 친환경 목표에도 도움이 되었다.

클라드와 서비스형 소프트웨어

클라우드 스토리지의 사용량이 급증하면서 걱정해야 하는 것은 로컬 하드 드라이브만이 아니다. 이제 데이터는 다른 사람의 하드 드라이브에 저장된다. 데이터센터는 하드 드라이브의 상태를 모니터링하고 문제가 발생하면 가장 먼저 하드 드라이브를 교체한다. 데이터 센터는 오래된 드라이브와 데이터를 어떻게 폐기할까? 그리고 다른 클라우드 제공업체로 옮길 경우 데이터는 어떻게 삭제될까?

서비스형 소프트웨어 (SaaS) 제공업체에 대해서도 동일한 고려 사항을 고려해야 한다. 기존 데이터 센터는 일반적으로 계약이 종료되면 데이터를 안전하게 파기하고 이를 서면으로 확인하도록 계약상 의무화되어 있다. 하지만 SaaS 제공업체에서는 이러한 유형의 엄격함이 훨씬 드물다.

해당 업체와 계약하기 전에 데이터 파기가 계약 또는 합의의 일부인지 확인해야 한다. 이를 서면으로 받고 안전한 데이터 파기에 대한 진술서 또는 인증서가 합의된 결과물인지 확인해야 한다.

하드 드라이브뿐만 아니다

데이터를 저장할 수 있는 모든 것은 폐기하거나 재사용하기 전에 반드시 파기하거나 삭제해야 한다. 즉:

  • CDs
  • DVDs
  • 백업 테이프
  • 외장 하드 드라이브
  • USB 플래시 드라이브

휴대폰은 신중한 데이터 삭제가 필요한 또 다른 중요한 범주다. 이 조치를 우회할 수 있는 데이터 복구 도구가 있기 때문에 간단한 공장 초기화만으로는 충분하지 않은 경우가 많다.

보다 안전하게 데이터를 삭제하려면 모바일 장치용으로 설계된 전문 소프트웨어를 사용하거나 휴대폰 제조업체의 지침을 참조하면 된다.

복합기와 같은 장치도 문서를 복사, 인쇄 또는 스캔하기 위해 공급되는 과정에서 엄청난 양의 정보를 보유할 수 있다.

신뢰할 수 있는 파트너 찾기

재활용 업체는 고객으로부터 수거한 컴퓨터 및 기타 데이터 처리 장비에 대해 안전한 데이터 파기 인증서를 제공하는 때도 있다. 좋은 회사는 프로세스에서 엔드투엔드 (end-to-end) 엄격함을 보여줄 것이다.

  • 장비는 수거할 때 바코드가 부착되어 있다.
  • 수거한 장비의 수거 목록에는 바코드와 해당 스티커를 받은 장비의 태그 또는 일련번호가 기재되어 있어야 한다.
  • 운전자가 당일 수거 경로에서 벗어나거나 이탈하지 않았는지 확인할 수 있도록 밴에 추적기를 장착한다.
  • 수거 후 서류에는 바코드 스티커를 기기의 일련번호와 기기 내 하드 드라이브의 일련번호에 연결하여 각 기기에 대한 안전한 데이터 파기 증명서가 포함된다.
  • 여기에는 품질 관리, 환경 관리, 정보 보안 관리, 기밀 자료의 안전한 파기 등의 주제를 다루는 준수하는 표준과 보유한 인증이 나열되어 있어야 한다.

전자기기 재활용을 통해 수익을 창출할 수 있는 업체라면 직접 비용 없이 이러한 서비스를 제공하는 업체를 쉽게 찾을 수 있다.

요람에서 무덤까지

데이터 보호는 데이터가 장치에 처음 기록되거나 장치에서 생성되는 순간부터 시작되며, 해당 장치가 활성 서비스에서 폐기되고 데이터가 장치에서 삭제되었음이 확실하게 보장될 때까지 지속한다.

결론

데이터에는 우리 삶의 중요한 열쇠가 담겨 있으며, 데이터의 파기는 목적에 맞게 데이터를 보호하는 것만큼이나 신중하게 다루어야 한다.

다행히도 데이터를 안전하게 보호하고 파기하는 방법은 여러 가지가 있다. 현관문 열쇠를 화분 밑에 두는 것만큼이나 위험한 ‘모든 것을 휴지통으로 옮기는 것’에 의존해선 안 된다.

Marshall Gunnell

본 작가는 도쿄에 거주하는 노련한 기술 작가이자 게임 애호가입니다. 그는 VGKAMI, Business Insider, How-To Geek, PCWorld, Zapier 등에서 수백 편의 기사를 작성한 전문 작가로, 그의 글은 7천만 명 이상의 독자들이 읽었습니다.