ITAD 산업협회 출범, ISMS-P 인증 사각지대 된 '사용 후 IT 자산' 보안 과제

핵심 요약

- 한국아이태드산업협회 출범, 글로벌 ITAD(IT Asset Disposition) 시장은 2026년 40조원에서 2033년 89조원 규모로 성장 전망 - 현행 ISMS-P 인증은 정보통신망법상 특정 매출액·이용자 수 이상 기업만 대상으로 사용 후 IT 자산 관리 사각지대 존재 - 버려지는 IT 자산의 체계적 관리가 국가 전략자원 차원에서 필요한 시점

주요 내용

한국아이태드산업협회가 2026년 6월 출범하며 사용 후 IT 자산의 체계적 관리 필요성을 제기했다. 협회에 따르면 글로벌 ITAD 시장 규모는 2026년 약 265억 달러(약 40조원)에서 2033년 580억 달러(약 89조원) 이상으로 급성장할 전망이다. ITAD는 기업과 기관에서 사용이 끝난 IT 자산을 안전하게 처리하고 재활용하는 산업으로, 데이터 보안과 환경 보호를 동시에 달성하는 핵심 영역이다.

협회는 사용 후 IT 자산을 '국가 전략자원'으로 육성해야 한다고 강조했다. 폐기되는 IT 장비에는 희소금속과 재활용 가능한 자원이 포함되어 있을 뿐 아니라, 개인정보와 영업비밀 등 민감한 데이터가 저장되어 있어 부적절한 처리 시 심각한 보안 사고로 이어질 수 있기 때문이다.

현행 정보보호 및 개인정보보호 관리체계(ISMS-P) 인증은 정보통신망법에 따라 특정 매출액이나 이용자 수 이상의 기업만을 대상으로 하고 있다. 이로 인해 인증 의무 대상이 아닌 중소기업이나 공공기관의 IT 자산 폐기 과정은 체계적인 관리·감독에서 벗어나 있는 실정이다. 특히 리스 만료, 교체 주기 도래 등으로 대량 발생하는 PC, 서버, 스토리지 등의 폐기 과정에서 개인정보 유출 위험이 상존한다.

협회 출범은 ITAD 산업의 제도화와 표준화를 통해 이러한 사각지대를 해소하려는 시도로 평가된다. 안전한 데이터 파기, 친환경 재활용, 자원 순환 경제 구축 등 다층적 가치를 실현하기 위한 산업 생태계 조성이 본격화될 것으로 기대된다.

전문가 시각

ISMS-P 심사 현장에서 가장 빈번하게 발견되는 취약점 중 하나가 바로 '매체 폐기 및 재사용' 통제의 형식적 운영이다. 인증을 받은 기업조차 하드디스크나 SSD 등 저장매체를 폐기할 때 단순 포맷이나 데이터 삭제 명령만으로 처리하는 사례가 적지 않다. 이는 포렌식 도구를 통해 복구 가능하여 개인정보 유출로 직결될 수 있다. ITAD 산업협회의 출범은 전문 파기 업체 선정 기준, 파기 증명서 관리, 물리적 파쇄와 데이터 소거 기술의 표준화 등 실무적 가이드라인 제공에 기여할 것으로 전망된다.

더욱 중요한 것은 공급망 전체의 보안 관점이다. IT 자산이 폐기되는 순간까지를 생명주기 관리 범위에 포함시켜야 한다. 특히 클라우드 전환, AI 인프라 구축 등으로 서버 교체 주기가 단축되면서 폐기 IT 자산은 급증하고 있다. 기업은 ITAD 업체 선정 시 ISO 27001, NAID AAA 인증 등 국제 표준 준수 여부를 확인하고, 파기 이력을 최소 3년 이상 보관하는 등 사후 검증 체계를 갖춰야 한다.

ISMS-P 심사원 체크포인트

1. 인증기준 2.8.5 (매체 폐기) - 개인정보 또는 중요정보가 저장된 매체의 파기 시 복구 불가능한 방법 사용 여부를 점검한다. 심사 시 ①파기 대상 매체 식별 및 분류 절차 ②물리적 파쇄 또는 데이터 완전 삭제 도구(DoD 5220.22-M, NIST 800-88 등 국제 표준 준수) 사용 근거 ③파기 업체 계약서 및 보안서약서 ④파기 완료 증명서 보관 이력을 확인한다. 개인정보보호법 제21조(개인정보의 파기) 제2항은 "복구 또는 재생되지 아니하도록" 파기할 것을 명시하고 있어, 형식적 삭제는 법 위반에 해당할 수 있다.

2. 인증기준 2.3.2 (외부자 보안) - ITAD 업체는 '개인정보 처리 위탁'에 해당하므로 위탁 계약 시 개인정보 안전성 확보조치 이행 의무를 명시해야 한다. 심사 시 ①위탁업체 보안 수준 평가 기록 ②위탁 계약서 내 보안 조항(접근 권한, 파기 방법, 사고 시 책임 등) ③정기 위탁업체 관리·감독 이력(현장 점검, 파기 프로세스 모니터링)을 점검한다. 개인정보보호법 제26조(업무 위탁에 따른 개인정보 처리 제한)에 따라 위탁 사실 공개 및 위탁업체 관리·감독 책임이 원 처리자에게 있다.

3. 인증기준 2.6.3 (정보자산 식별 및 관리) - IT 자산 전체 생명주기 관리 대장에 '폐기' 단계가 명확히 기록되어야 한다. 심사 시 ①IT 자산 대장의 폐기 이력 기록(폐기 일자, 방법, 담당자, 파기업체) ②개인정보 저장 여부 태그 관리 ③폐기 전 백업 및 데이터 이관 절차 이행 여부를 확인한다. 특히 리스 반납, 중고 매각 등 소유권 이전 시 데이터 완전 삭제 미이행은 중대 부적합 사항으로 판정될 수 있다.

CPPG·ISMS-P 연계 포인트

데이터 생명주기(Data Lifecycle) 관리 - 개인정보는 수집→이용→제공→파기의 전체 생명주기 동안 보호되어야 한다. CPPG 시험에서는 '최소 보유 기간 경과 후 지체 없이 파기' 원칙과 '복구 불가능한 방법으로 파기' 의무가 핵심이다. ITAD는 생명주기 마지막 단계인 '파기'의 실무적 구현 방법으로, 물리적 파쇄·전용 소자장비·데이터 덮어쓰기 등 기술적 방법을 이해해야 한다.

개인정보 처리 위탁 관리 - ITAD 업체 활용은 전형적인 '개인정보 처리 위탁'에 해당한다. ISMS-P 시험에서는 위탁 계약 시 필수 포함 사항(개인정보 처리 목적·범위, 재위탁 제한, 안전성 확보조치, 손해배상 등), 위탁 사실 공개 의무, 위탁업체 관리·감독 책임이 출제 빈도가 높다. 특히 '원 처리자의 관리·감독 책임'은 위탁했다고 책임이 면제되지 않음을 의미한다.