중고 스마트폰을 매입·판매하거나 리퍼폰을 유통하는 경우, 이전 소유자의 개인정보가 기기에 남아 있을 수 있습니다. 이를 제대로 삭제하지 않으면 개인정보보호법상 안전조치 의무 위반이 될 수 있습니다.
중고폰에 남는 개인정보
스마트폰에는 다음과 같은 개인정보가 저장됩니다:
기기 내부 저장 데이터:
- 사진·영상 (갤러리)
- 연락처, 문자 메시지
- 통화 기록
- 메모, 일정, 이메일
- 인터넷 검색 기록, 즐겨찾기
- 앱 로그인 정보, 자동완성 데이터
- 금융 앱 캐시 (카드 정보, 공인인증서 잔존 가능성)
클라우드 계정 연동 데이터:
- 구글 계정, 애플 ID 연동 상태
- 삼성 계정 연동
→ 초기화해도 클라우드 백업에 데이터 존재
SD 카드:
- 별도 물리적 저장 매체 → 기기 초기화로 삭제되지 않음
공장 초기화의 한계
공장 초기화(Factory Reset) ≠ 완전 삭제
일반 공장 초기화는 파일 시스템의 참조만 제거하며, 실제 데이터는 덮어쓰기 전까지 복구 가능합니다.
복구 가능한 케이스
- 안드로이드 기기의 경우 포렌식 도구로 초기화 후에도 데이터 복구 가능한 사례 있음
- 구형 기기(암호화 미지원)는 특히 위험
완전 삭제 방법
| 방법 | 설명 | 권장 대상 | |------|------|---------| | 암호화 후 초기화 | 먼저 기기 전체 암호화 → 공장 초기화 | 안드로이드 권장 | | 제조사 완전 삭제 옵션 | 삼성 Knox 완전 삭제, 애플 "iPhone 지우기" | iOS/갤럭시 | | 덮어쓰기 소프트웨어 | 전문 데이터 삭제 소프트웨어 사용 | 법인 기기 매각 | | 물리적 파기 | 보드 파쇄 | 재판매 불가 기기 |
중고폰 매입업자의 PIPA 의무
중고폰을 매입하는 사업자(매장, 플랫폼)는 수탁받은 개인정보 처리자로서 의무가 있습니다.
매입 시
- 이전 소유자 데이터가 남아있는 기기를 수령한 경우 → 안전하게 처리할 의무
- 매입 즉시 데이터 삭제 절차 수립
판매 전
- 판매 전 완전 삭제 확인 절차 의무화
- 삭제 완료 기록 보관 (삭제 일시, 방법, 담당자)
삭제 미이행 시 책임
이전 소유자 개인정보가 구매자에게 노출된 경우:
- 매입 사업자: 안전조치 의무 위반 (과태료 대상)
- 이전 소유자: 개인정보 유출 피해 발생 → 손해배상 청구 가능
중고폰 거래 플랫폼 (번개장터, 당근마켓)
개인 간 거래(C2C) 플랫폼은 거래 당사자가 직접 데이터를 삭제해야 합니다. 플랫폼은 이에 대한 가이드 제공 의무가 있습니다.
플랫폼 권장 조치:
- 중고폰 판매 게시 시 "데이터 삭제 가이드" 안내 제공
- 구매자 보호 차원의 "판매자 데이터 삭제 확인" 체크 기능
법인 기기 매각 시 더 엄격한 의무
기업이 임직원 지급 스마트폰·노트북을 중고 처분하는 경우:
법인 기기 데이터 위험도:
- 고객 개인정보, 계약서, 내부 자료 포함 가능
- 업무 이메일, CRM 데이터 연동
- VPN 인증서, 시스템 접근 자격 증명
필수 조치:
□ MDM(기기관리)으로 원격 완전 삭제
□ 전문 데이터 삭제 소프트웨어 사용 + 삭제 인증서 발급
□ 삭제 완료 후 IT 책임자 서명 기록
□ 매각 전 법무·IT 승인 절차 수립
중고폰 판매자(개인) 안전 수칙
중고폰을 판매하는 개인:
- 기기 암호화 확인 (설정 > 보안 > 암호화)
- 암호화 후 공장 초기화
- SD 카드 별도 제거·포맷
- 클라우드 계정(구글, 애플, 삼성) 기기 연결 해제
- 금융 앱 등록 기기 해제
처리방침 기재 사항 (중고기기 매입업)
중고기기 매입·처리 관련 개인정보 처리
수집 목적: 기기 매입 계약 체결
수집 항목: 판매자 이름, 연락처, 계좌번호 (정산)
이전 소유자 데이터: 매입 즉시 완전 삭제 (삭제 기록 보관)
보관 기간: 거래 완료 후 5년 (전자상거래법)
PIPAGuard로 중고기기 처리 PIPA 점검하기
처리방침 데이터 파기 절차 기재, 안전조치 현황을 자동으로 점검합니다.