(취재파일) 정보 밀거래 (1) - 하드디스크에서 쏟아진 비밀은?

From The Hidden Wiki
Jump to navigationJump to search

[취재파일] 정보 밀거래 (1) - 하드디스크에서 쏟아진 비밀은?


"심각한 국부 유출입니다. 무심코 삭제하지 않은 정보가 경쟁국이나 경쟁기업에서 찾던 정보라면 이거는 정말 엄청난 일입니다."


디지털 시대 우리는 많은 정보를 저장합니다. 회사 업무용 컴퓨터는 물론 개인용 컴퓨터에는 중요한 개인정보, 은밀한 사진 등 비밀이 많습니다. 그런데 이 컴퓨터들을 교체할 때 어떻게 하십니까? 중고품 거래 업자에게 그냥 넘기시지는 않나요? 아파트를 돌아다니며 중고 PC를 수집하는 사람들에게 넘기면서 ‘받아준 것만 해도 고마운데 돈까지 주네’ 하면서 안도하지는 않으십니까? 회사에서는 어떻게 처리하고 있을까요? 담당자들이 알아서 잘 처리하고 있을까요? 취재의 발단은 민감한 정보가 담긴 컴퓨터 하드디스크가 제대로 삭제되지 않은 채 해외로까지 거래되고 있다는 이 증언에서부터였습니다.


먼저 중고 하드디스크 유통 과정을 알아보니 온라인이든 오프라인이든 대부분 용산전자상가로 모이게 되는 구조였습니다. 그래서 직접 용산상가를 돌아다니면서 중고하드디스크 속 데이터가 복원이 안 되도록 삭제된 채 거래되는지를 알아봤습니다. 그런데 대부분의 가게에서는 데이터가 복원이 안 되도록 삭제를 하려면 시간도 많이 걸리고 물건의 질도 떨어지기 때문에 그런 식으로 하지 않고 판매를 하고 있다고 답했습니다. 일부 기업 직원들의 경우 회사 PC를 불용 처리하는 과정에서 폐기돼야 할 하드디스크를 빼돌려 거래업자들에게 넘기기도 한다는 놀라운 이야기까지 들을 수 있었습니다.


어떻게 처리하도록 돼 있는지 현행 법과 지침을 살펴봤습니다. 개인들은 구청에 중고PC처리를 신청하면 구청이 돈을 받고 이를 수거해서 폐기업자들에게 넘기면서 정보가 삭제되는지 확인하는 것이었고, 기업들은 개인정보가 담긴 전자문서를 복원이 불가능하도록 완전 삭제하도록 규정했습니다. 고객 개인정보처럼 중요한 정보는 3번 이상 하드디스크를 덮어씌워서 복원이 안 되도록 삭제하는 ‘로우포맷 또는 와이핑’을 하거나 하드디스크를 자기장이 나오는 기계에 넣어서 데이터를 삭제하는 ‘디가우징’, 그리고 아예 물리적으로 파쇄하는 방식을 사용하도록 정해놓고 있습니다. 물리적 파쇄는 기계에 넣어서 잘게 부수는 것이고 디가우징은 MB정부 시절 총리실 민간인 사찰 때 알려졌던 바로 그 기계를 사용하는 것입니다.


그런데 용산으로 흘러 들어와 팔리고 있는 물건들이라면 거의 이렇게 규정대로 데이터 삭제가 이뤄지지 않았을 것이란 생각이 들었습니다. 그래서 취재팀이 무작위로 중고하드디스크를 구입했습니다. 비용 문제가 있으니 일단 22개만 구입해서 고려대학교 정보보호대학원 디지털 포렌식 센터의 이상진 교수팀에게 복원을 의뢰했습니다. 누구나 쉽게 복원을 할 수 있다는 조건에 맞추기 위해 복원프로그램은 시중에서 싸게 구입할 수 있는 프로그램을 사용했습니다. 일주일 정도 분석을 한 뒤 내용을 살펴봤더니 믿기 힘든 결과들이 쏟아졌습니다. 22개 가운데 15개의 하드디스크의 정보가 복원이 됐고 이 가운데는 7만개가 넘는 정보가 복원된 하드디스크도 있었습니다. 2~3만 개 이상 정보가 복원된 하드디스크도 적지 않았습니다.


복원된 문서의 숫자가 많다는 점도 놀라웠지만 언뜻 봐서도 꽤 중요한 정보들이 복원됐다는 점이 더 충격이었습니다. 앞면에 대외비라고 적힌 문건이 있었고, 중요한 연구용역 보고서도 들어있었습니다. 한 공장에 설치된 기계들에 관한 정보는 사진과 함께 제조회사, 연원 등이 자세히 적혀있었습니다. 제품원가와 도매가, 납품가 등 영업비밀에 해당하는 가격 정보도 담겨있었고 직원들 인사기록카드와 연락처들도 복원됐습니다. 더욱이 최우수 고객들 명단을 분류해 놓은 문건들도 쏟아졌는데 무려 1,870명의 개인정보가 담겨있었습니다. 현행 개인정보보호법은 고객의 개인정보는 암호화 시켜서 내부 직원들조차도 필요한 경우만 볼 수 있도록 하고 삭제할 때는 복원이 안 되도록 폐기하게 정해놓고 있는데 현실은 이렇게 허술하게 관리되고 있었습니다.


사실 우리가 빠른 포맷으로 컴퓨터의 데이터를 지워도 이건 지워지는 것이 아닙니다. 책으로 비유하면 목차만 지웠을 뿐 안의 내용은 그대로 남아있는 것입니다. 그래서 앞서 설명한 규정에 따라 데이터를 완전 삭제할 수 있도록 해야 하는데 어떻게 된 일인지 궁금했습니다. 문건 작성 기업들로 추정되는 곳을 찾아가 경위를 살펴봐야 했습니다. 해당 기업들은 처음에는 진짜 자신들의 문서들인지 살펴보는데 주력하더니 속속 중요한 문서들이 등장하자 꽤 놀라는 반응을 보였습니다. 공통된 점은 모두 폐기업자들에게 회사 컴퓨터 하드디스크를 폐기처리 하도록 용역을 줬는데 어떻게 이런 일이 생겼는지 모르겠다는 것이었습니다.


자료를 찾아보니 비슷한 일이 2년 전 시중 은행에서도 벌어졌습니다. 은행의 현금인출기 안에도 컴퓨터와 똑같은 하드디스크가 설치돼 있고 우리가 거래를 할 때마다 통장번호, 주민번호, 카드번호 등과 거래 내역이 여기에 저장되는데 현금인출기 폐기업자가 이 하드디스크를 용산의 중고품 거래 업자에게 팔아 넘겼습니다. 경찰조사에서 추정된 것만 2천만건의 개인금융정보가 유출된 것으로 파악됐습니다. 이 업체에서만 하드디스크 450개가 거래됐는데 경찰이 수거한 것은 불과 5개였으니까 이런 중요한 비밀이 담긴 물건이 어디서 어떻게 유통됐는지 알 수 없는 상황이었습니다. 대형 유출사고가 있었는데도 불구하고 우리의 하드디스크 처리 방식은 여전히 구멍 뚫린 상황이었습니다.


왜 이런 일이 반복되고 있을까? 결국 돈의 문제였습니다. 우리 기업들은 중고 PC를 처리할 때 자산매각의 개념으로 접근하기 때문에 입찰을 통해 비싼 가격을 부르는 쪽에 물건을 넘깁니다. 물건을 산 쪽에서는 돈을 주고 샀는데 고철 값만 받으면 수지가 맞지 않으니 중고 하드디스크를 한 개에 1~2만원을 받고 파는 겁니다. 데이터를 완전 삭제하면 할수록 제품의 질은 떨어지게 되니까 몇 개만 삭제하는 시늉을 내고 나머지는 안 보이는 곳에서 빼돌려 처리한다고 업계 관계자는 털어놓았습니다. 물론 일부 업체들은 제대로 처리하는 곳도 있지만 취재진이 확인한 실태를 보면 그렇지 않은 곳이 더 많아 보였습니다. 이런 중고 하드디스크만 사들여 중국이나 동남아, 아프리카로 수출하는 업자들을 직접 접촉해 봤더니 예상보다 시장 규모가 상당했습니다. 컴퓨터 수리해서 팔던 업체들이 장사가 안 되다 보니까 하드디스크 수출로 돌아서고 있었고 이들로부터 물건을 수집해 수출하는 업자들도 있었습니다. 그러나 해외에서 누가 이들로부터 물건을 사들이는 지 이걸 사서 여기에 담긴 정보들을 어떻게 처리하는 지를 파악하는 사람은 많지 않았습니다. 정보가 해외로 빠져나가서 어떻게 우리에게 피해를 주고 있는 지, 그 실태조차 정확히 모른다는 뜻입니다.


방송 이후 유출됐던 기업들이 잇따라 하드디스크 처리지침을 바꿨습니다. 폐기업자에게 맡겼던 업무를 자신들이 직접하고 컴퓨터를 불용처리하기 전에 안의 내용을 완전 삭제할 수 있는 소프트웨어를 만들어서 보급하도록 조치를 취한 곳도 있습니다. 하지만 개별 기업차원의 대응 못지 않게 수출하는 중고하드디스크의 내용을 점검할 수 있는 체계가 필요하다는 생각입니다. 우리가 물건을 수출할 때 그 안에 어떤 것이 있는 지 검증하듯이 수출하는 하드디스크 속에 복원될 정보라도 있는지 확인할 수 있는 시스템 마련이 필요합니다. 소는 이미 여러 번 잃었고 이제는 외양간이라도 제대로 고칠 때라는 생각이 듭니다.


정명원 기자


최종편집:2013.08.07


https://w3.sbs.co.kr/news/newsEndPage.do?news_id=N1001921904