흔히 데이터가 자산인 시대라고 말하지만, 적절한 시기에 폐기되지 않은 데이터는 자산이 아닌 '독'이 되어 돌아온다. 많은 기업이 만약을 대비해, 혹은 단순히 번거롭다는 이유로 고객의 개인정보가 담긴 서류나 디지털 기록을 법정 보관 기간이 지난 후에도 쌓아두곤 한다.
하지만 최근 대형 회원제 서비스 기업에서 발생한 대규모 정보 유출 사고는 '버리지 않은 기록'이 기업의 존립을 얼마나 위태롭게 만드는지 여실히 보여주는 사례가 되었다. 해당 기업은 이미 서비스 이용이 종료되어 파기했어야 할 과거 고객들의 민감한 정보까지 고스란히 보관하고 있다가 유출 사고를 겪으며 막대한 과징금과 브랜드 이미지 실추가 예상되는 치명적인 결과를 맞이했다.
개인정보보호법에 따르면 목적이 달성된 개인정보는 지체 없이 파기해야 하며, 이를 위반할 경우 엄중한 법적 책임이 뒤따른다. 그럼에도 불구하고 현장에서는 무엇을 언제 파쇄해야 할지, 어떤 방식으로 소멸시켜야 완벽한 보안이 유지되는지에 대한 가이드라인이 부족한 경우가 많다.
보안파쇄 전문업체 시큐리티존은 이런 사태를 막기 위해서는 “단순한 파쇄 작업을 넘어 기록물의 생성부터 소멸까지 전 과정을 아우르는 체계적인 라이프사이클 관리”가 필요함을 강조한다. 보안 기록물이 쌓이기 전에 주기적으로 보안 점검을 실시하고, 각 기업의 특성에 맞는 파쇄 컨설팅을 통해 보관 기간이 경과한 데이터가 방치되지 않도록 선제적으로 대응하는 것이 핵심이다.
보안 사고는 대개 화려한 해킹 기술보다 '설마' 하는 방심과 '나중에'라는 미련에서 시작된다. 이미 유출된 정보를 다시 주워 담을 방법은 없기에, 가장 확실한 방어책은 유출될 가능성이 있는 정보를 물리적으로 존재하지 않게 만드는 것이다. 단순히 문서를 찢어 버리는 수준을 넘어, 하드디스크와 SSD 등 디지털 매체까지 복구가 불가능하도록 가루 형태로 분쇄하는 정석적인 파쇄 절차가 정착되어야 한다.
시큐리티존의 관계자는 “기업들이 법적 리스크를 해소하고 본연의 업무에 집중할 수 있도록, 시큐리티존은 보이지 않는 곳에서 기록물의 안전한 마침표를 찍는 것에 도움을 주고 있다.”고 말하며 “결국 진정한 보안의 완성은 '철저한 보관'이 아니라 '완벽한 파기'에서 시작된다는 점을 명심해야 한다.”고도 강조했다.
피앤피뉴스 / 이수진 기자 gosiweek@gmail.com
[ⓒ 피앤피뉴스. 무단전재-재배포 금지]
