중고 PC 개인정보 유출 현황 조사 및 대책 연구
한국정보보호진흥원 초록

1. 제목
중고 PC를 통한 개인정조 유출 현황 조사 및 대책 연구

2. 연구개발의 목적 및 중요성
지식정보사회에서는 모든 산업 활동과 사람들의 생활에서, 정보 그 자체가 주요한 원천이 된다. 그러나 정보 유통에서의 취약성으로 인하여 정보에 대한 무단 유출 및 파괴, 변조와 같은 불법적 행위가 빈번히 자행되고 있다. 인가 받지 않은 불법 사용자로 인한 개인 신상 비밀의 누설 및 유출, 불건전 정보의 유통 등과 같은 정보화의 역기능이 매우 심각한 수준이다. 한국정보보호진흥원에 따르면 2006년 신고·접수된 개인정보 침해사례는 2만3333건에 달했다.
새로운 기술 발전과 조직 및 국민의 소비욕구에 따라 신규 PC 구입은 계속적으로 증가할 것이며, PC의 평균수명은 점차 짧아질 것이다. 전 세계에서 사용되는 컴퓨터 수는 10억대에 이를 것으로 전망된다. 2004년 미국 2억2381만대, 일본 6920만대, 중국 5299만대, 독일 4630만대, 영국 3589만대, 프랑스 2941만대에 이어 우리나라는 2620만대로 7위를 기록했으며, 그 중 약 5% 정도의 중고 PC가 유통되는 것으로 파악되었다.
해외에서는 1990년대 초부터 학계 및 언론을 통해 중고 PC 처분에 따른 개인정보 유출 위험이 널리 알려지게 되었다. 최근 우리나라에서도 중고 PC 처분에 따른 개인정보 유출 위험에 대한 연구가 여러 편 발표되었으며, 위험성에 대하여 경고하였다. 그럼에도 현재까지 진행된 연구는 대상 기기의 범위 등에 있어서 개선의 여지가 상당히 있어 보인다. 따라서 본 연구는 우리나라의 중고 PC를 통한 개인정보 유출에 대한 체계적인 실태분석과 국민의 보안의식에 대하여 조사하였다.

3. 연구개발의 내용 및 범위
우리나라의 중고 PC를 통한 개인정보 유출에 대한 상황을 분석하기 위해서 한국정보문화진흥원이 개인 및 조직에서 기증받은 PC에서 분리한 용량이 10기가부터 40기가 사이인 440개 하드디스크를 분석하였다. 한 개 하드디스크를 분석하는 데는 하드디스크의 용량에 따라 커다란 차이가 있었으나 평균 3시간 정도가 소요되었다. 분석결과, 30개(7%)는 복구가 불가능하였으므로 데이터가 완전 삭제된 것으로 나타났다. 복구된 410개에 내재한 데이터 내용을 분석한 결과, 103개에서 개인 및 조직 관련 정보를 담고 있는 총 10729개가 발견되었다.
아울러, 우리나라 국민을 대상으로 디지털 문서 환경의 안전성에 대한 인식, 개인정보유출에 대한 의견 및 예방 조치, 중고 PC 및 처리, 중고 PC 데이터 삭제 교육, 중고 PC 데이터 관련 법제도 개선에 대하여 의견을 수집하기 위하여 수집된 605개의 설문지를 분석하였다.

4. 연구결과
중고 PC를 통한 개인정보 유출에 관한 실태 조사와 중고 PC 하드디스크 드라이브 조사를 통하여 도출된 향후 채택할 필요가 있는 정책은 다음과 같다.
1) 한국정보보호진흥원이 주관하여 개인정보가 담겨 있는 중고 PC 처분에 따른 침해와 대책이 담긴 책자물을 제작하고 언론 매체를 통해 대국민 홍보를 한다. 책자물 발행과 언론 매체에 대한 업무는 한국정보보호진흥원에게 전담시키는 것이 바람직할 것이다. 아울러, 특정한 개인정보보호에 관한 교육훈련 참여시 국내에서 실시되고 있는 정보보안 관련 자격증 시험에 가산점 부여를 고려할 필요가 있다.
2) 빠른 속도로 데이터를 삭제할 수 있는 프로그램을 개발하고 보급할 수 있도록 소프트웨어 개발업체를 지원한다. 정부에서 삭제 프로그램을 직접 개발하여 시장에 무상으로 보급하는 것은 정보통신시장을 교란할 수 있다. 따라서 정부에서 개발한 프로그램은 국가기관에 한정하여 사용하도록 하고, 민간부문에서 저렴하고 강력한 삭제 프로그램을 개발하여 보급할 수 있도록 행정·재정적 지원을 할 필요가 있다.
3) 중고 PC 유통사업자에게는 컴퓨터시스템이 재생되기(recycled) 전에 정보들을 안전하게 삭제할 것을 권고한다.
4) 중고 PC 유통사업자, 병원, 약국 등 하드디스크 내에 개인정보를 취급하고 있는 개인 및 법인을 대상으로 한 자격증 유지를 위한 보수교육·훈련 시 개인정보보호를 위한 방법 등에 관한 교육을 유관 부처와 상의하여 법제도화 한다.
5) 정보통신서비스제공자 등 대량의 개인정보를 취급하는 기관에게는 사용하는 PC를 매각 또는 폐기하는 경우에는 당해 PC의 하드디스크에 저장되어 있는 정보가 복구되지 않도록 필요한 조치를 취하게야 할 필요가 있다. 이를 위해 PC 및 IT자산의 폐기 절차 관리체계를 수립하도록 권고한다.
6) 봉사기관, 중고 PC 유통업체 등의 관련 조직에게는 기증 또는 판매 전 하드디스크에 저장된 정보의 완전삭제를 위한 내부 관리체계를 수립하도록 권고한다.
7) 하드디스크의 암호화를 장려한다.
8) PC 제작 및 판매업자에게는 개인정보보호에 관한 내용을 사용 매뉴얼에 포함시킬 것을 권고하고, 아울러 개인정보보호라는 문구 쓰인 스티커를 PC 전면에 부착하는 방안도 권고하도록 한다.
9) 정부 기관별 교육·훈련 시 정보보안 특히 개인정보 유출에 따른 문제점 및 보완책 교육 삽입 권고하거나 경우에 따라서는 강제화할 필요가 있다.

5. 활용에 대한 건의
연구결과는 개인정보보호 관련기관에 배포되어 정책 자료로 활용되게 하며, 언론에게도 통보하여 중고 PC의 폐기에 따른 개인정보유출의 가능성에 대하여 모든 국민에게 홍보할 필요가 있다.

6. 기대효과
중고 PC 및 기타 정보통신기기를 통한 개인정보 유출 위험을 방지하는데 일조할 수 있을 것으로 판단된다.