데이터 소거 증명서를 받지 않은 채 폐PC를 판매했다면, 기업의 개인정보 유출 책임은 어디에 있을까요?
많은 기업이 폐PC나 폐서버를 처분할 때 “하드 드라이브를 제거했으니 괜찮다”고 생각합니다. 하지만 법적으로는 이것만으로 부족합니다. 정보통신망법, 개인정보보호법, 산업보안법에서 요구하는 것은 ‘완전 소거 증명서’입니다. 이를 갖추지 않으면 나중에 그 장비에서 개인정보가 유출될 경우 책임이 내 회사에 돌아올 수 있습니다.
개인정보 유출 책임: 기업이 먼저 지는 이유
IT자산을 처분한 기업이 아닌, 나중에 그 자산을 구입한 업체가 책임지는 경우도 있습니다. 하지만 데이터 소거 증명서가 없으면 책임 추적이 불가능해집니다.
- 개인정보보호법 제5조 — 기업은 개인정보를 취급할 때 안전 조치를 해야 할 법적 의무가 있습니다. “하드디스크를 제거했다”는 것은 안전 조치의 증거가 아닙니다.
- 정보통신망법 제64조 — 개인정보가 유출된 경우 정보통신서비스 제공자(여기서는 당신의 회사)가 피해 배상 책임을 갖습니다. 피해자가 기업을 상대로 손해배상 청구를 할 수 있습니다.
- 산업보안법 제14조 — 기업 핵심 기술, 고객 정보 등 관리 대상 정보가 유출되면, 정보 소유 기업이 관리 책임을 추궁받을 수 있습니다.
데이터 소거 증명서의 법적 의미
단순한 서류가 아니라, 법적 책임 회피의 증거입니다.
- 완전 소거의 증명 — NIST SP 800-88, DoD 5220.22-M 같은 국제 표준에 따라 데이터를 완전히 소거했음을 제3자가 인증합니다. 이것이 있으면 “충분한 안전 조치를 했다”는 법적 증거가 됩니다.
- 책임 추적성 — 증명서에는 장비의 일련번호, 소거 시간, 사용된 소거 기술, 인증자의 서명 등이 포함됩니다. 나중에 문제가 생기면 “언제 누가 어떤 방식으로 소거했는가”를 입증할 수 있습니다.
- 책임 이전 — 증명서가 있으면 “이 장비는 안전하게 소거되었으므로, 내 회사는 책임이 없다”는 법적 근거가 생깁니다.
데이터 소거 증명서에 포함되어야 할 항목
적법한 증명서라고 인정받으려면 다음 항목들이 반드시 포함되어야 합니다.
| 항목 | 내용 | 중요도 |
| 장비 식별정보 | 제조사, 모델, 시리얼 번호, MAC 주소 | 필수 |
| 저장장치 정보 | HDD 모델, SSD 용량, 파티션 정보 | 필수 |
| 소거 표준 | NIST, DoD 5220.22-M, Gutmann 등의 국제 표준 명시 | 필수 |
| 소거 날짜 및 시간 | 정확한 소거 실행 시각, 소거 소요 시간 | 필수 |
| 검증 방법 | 소거 후 데이터 복구 테스트 결과 | 강력 권장 |
| 인증자 정보 | 소거 담당자 이름, 자격증(정보보안기사 등), 서명 | 필수 |
| 증명서 발급자 | 공식 IT폐기 처리 업체, 감시단체 인증 | 필수 |
데이터 소거 방식의 비교
증명서가 요구하는 소거 방식은 여러 가지입니다. 더 강한 표준일수록 법적 보호가 커집니다.
- Simple Overwrite (단순 덮어쓰기) — 0 또는 1로 1회 덮어쓰기. 가장 기본적 방식이지만, NIST 표준에서는 최저 수준으로 취급합니다.
- DoD 5220.22-M — 미국 국방부 표준. 3회 반복 덮어쓰기(특정 패턴, 그 반대, 임의 데이터). 많은 기업과 정부기관이 요구합니다.
- Gutmann Method — 35회 반복 덮어쓰기. 가장 강력한 표준이지만, 시간이 오래 걸립니다. 극도로 민감한 데이터(국방, 의료)일 때 사용합니다.
- NIST SP 800-88 — 미국 국립표준기술연구소 표준. DoD 방식과 비슷하지만, 더 유연하고 검증 가능성을 강조합니다.
- 물리적 파괴 — SSD는 전자기적으로 완전히 소각하거나, 기판을 물리적으로 파괴합니다. 증명 사진이 포함된 증명서가 발급됩니다.
증명서 없을 때의 법적 위험
실제 발생한 사건들과 그 결과입니다.
- 사건 1: 폐서버 개인정보 유출 — 기업이 폐서버를 IT폐기 업체에 맡겼으나, 증명서 미보유 상태였음. 1년 후 그 서버의 데이터가 다크웹에서 발견됨. 피해자 개인정보 100만 건 이상. 기업은 약 50억 원의 손해배상 청구를 받음. 증명서가 있었으면 IT폐기 업체에 책임 추적 가능했음.
- 사건 2: 노트북 반납 후 고객 정보 유출 — 직원이 퇴사 후 노트북을 중고 판매. 구매자가 기존 파일에서 고객 정보 발견. 기업이 개인정보보호위원회에 적발됨. 과태료 1,000만 원 + 피해자 배상. 증명서가 있었으면 책임이 중고 판매자에게 넘어갔을 것.
- 사건 3: 하드드라이브만 제거 후 판매 — 기업이 폐PC의 하드드라이브만 제거하고 본체를 판매. 구매자가 BIOS, UEFI 펌웨어에서 비밀번호 힌트 발견. 기업의 내부 협력사 계약정보 유출. 기업 간 분쟁으로 확대. 수천만 원의 합의금.
데이터 소거 증명서 취득 체크리스트
| 확인 항목 | 체크 |
| 폐기 업체가 공식 인증을 받았는가? (ISO 14001, e-스타마크 등) | [ ] |
| 증명서에 NIST 또는 DoD 표준이 명시되어 있는가? | [ ] |
| 장비의 시리얼 번호와 소거 일시가 명확히 기재되어 있는가? | [ ] |
| 소거 후 데이터 복구 불가 테스트 결과가 첨부되어 있는가? | [ ] |
| 담당 인증자의 자격증(정보보안기사 등)이 확인되었는가? | [ ] |
| 증명서 원본과 사본이 각각 준비되어 있는가? | [ ] |
| 증명서 유효기간은 충분한가? (일반적으로 3년 이상) | [ ] |
정리: 증명서는 보험이다
데이터 소거 증명서는 단순한 서류가 아닙니다. 개인정보 유출 사건이 발생했을 때, “우리는 안전하게 소거했다”는 법적 증거이자 책임 회피의 증거입니다. 나중에 정부 감시단체의 적발을 받거나 개인정보 침해 사건의 피해자로부터 법적 청구를 받을 때, 증명서의 유무가 손해배상금의 규모를 좌우합니다. 폐PC를 판매할 때 증명서를 받지 않은 것처럼 위험한 행동은 없습니다. 그 비용은 저절로 사라지지 않고, 수개월 또는 수년 후 훨씬 큰 배상금으로 돌아옵니다.
제이알텍 (JR-TECH)
IT자산 매입 · 전자스크랩 · IC반도체 유통
경기도 시흥시
문의: 제이알텍 공식 채널
기업 IT자산의 잔존 가치를 정확히 평가하고, 친환경 처리 증빙까지 원스톱으로 제공합니다.