개인정보 유출의 새로운 쟁점, CI와 DI는 무엇인가요?
최근 국내 유명 OTT 서비스 개인정보 유출 사고에서 이용자들이 주목한 항목은 이름이나 이메일만이 아니었다. 유출 항목에 연계정보(CI)와 중복가입확인정보(DI)가 포함됐다는 사실이 알려지며, 온라인 식별 체계 자체에 대한 우려가 커졌다. CI와 DI는 주민등록번호를 직접 사용하지 않고도 이용자를 식별하기 위해 만들어진 정보지만, 유출될 경우 다른 개인정보와 결합될 가능성이 있다. 이번 유출사고를 계기로 CI와 DI가 무엇인지, 왜 개인정보 보호에서 중요하게 다뤄지는지 살펴보자.
OTT 서비스 개인정보 유출 사고는 단순히 아이디나 이메일이 새어 나간 사건으로만 보기 어렵다. 이번 사고에서 유출된 항목에는 아이디, 이름, 생년월일, 성별, 서비스 이용 관련 정보, CI와 DI가 포함됐으며, 휴대전화번호 일부, 이메일 일부, 환불 계좌번호, 비밀번호는 암호화된 형태로 포함된 것으로 알려졌다. CI와 DI는 일반 이용자에게 익숙하지 않은 용어지만, 온라인 본인확인과 회원 식별 체계에서 중요한 역할을 하는 값이다.
CI는 ‘Connecting Information’의 약자로, 연계정보를 의미한다. 쉽게 말하면 온라인 서비스에서 같은 이용자인지 식별하는 데 사용되는 고유한 정보다. 과거에는 여러 인터넷 서비스가 주민등록번호를 직접 수집해 이용자를 구분했지만, 개인정보 보호 강화 흐름 속에서 주민등록번호를 직접 처리하지 않고도 본인을 확인할 수 있는 대체 수단이 필요해졌다. 이 과정에서 본인확인기관이 이용자의 주민등록번호와 기관 간 공유 비밀정보를 바탕으로 생성하는 값이 CI다.
CI는 실제 주민등록번호는 아니지만, 온라인 환경에서 개인을 식별하는 기준값으로 사용된다는 점에서 온라인 주민등록번호에 비유되기도 한다. 여러 서비스가 같은 사람을 식별하거나 온·오프라인 서비스를 연계할 때 CI가 활용될 수 있다. 따라서 CI는 단순한 회원번호가 아니라, 여러 데이터베이스에 흩어진 정보를 같은 사람 기준으로 묶을 수 있는 연결고리 성격을 갖는다.
다만 CI가 유출됐다고 해서 곧바로 주민등록번호가 복원되거나 금융 계좌 개설, 본인확인 우회가 가능하다고 보기는 어렵다. CI는 주민등록번호를 직접 저장한 정보가 아니며, 이용자가 실제 권한을 가진 본인인지 증명하는 인증 수단도 아니다. 인증이 비밀번호, 휴대전화 인증번호, OTP, 생체정보처럼 이용자가 정당한 주체임을 확인하는 절차라면, CI는 이 사람이 같은 사람인지 구분하는 식별 수단에 가깝다.
그런데 CI가 다른 개인정보와 결합하면 문제가 발생한다. CI 자체에 이름, 전화번호, 시청이력 같은 정보가 들어 있는 것은 아니지만, 이름, 생년월일, 이메일, 휴대전화번호, 서비스 이용정보 등과 함께 유출되면 특정 개인을 기준으로 정보를 연결하는 데 활용될 수 있다. 예를 들어 한 서비스에서 유출된 CI와 다른 서비스에서 유출된 개인정보가 같은 사람의 정보로 묶일 경우, 공격자는 더 정교한 개인 프로필을 만들 수 있다. 이 때문에 CI 유출은 단순히 하나의 항목이 추가로 유출된 문제가 아니라, 흩어진 정보가 결합될 가능성을 키우는 문제로 봐야 한다.
DI는 ‘Duplication Information’의 약자로, 중복가입확인정보 또는 중복가입 방지정보라고 부른다. DI는 특정 웹사이트에 가입하려는 이용자가 이미 가입한 사람인지 확인하기 위해 생성되는 값이다. CI가 여러 서비스에서 같은 이용자를 식별하거나 서비스 연계를 위해 쓰일 수 있는 값이라면, DI는 개별 웹사이트 안에서 중복 가입 여부를 확인하는 데 사용되는 값이다.
CI와 DI의 가장 큰 차이는 적용 범위다. CI는 동일 이용자를 여러 서비스에서 식별하는 데 활용될 수 있는 반면, DI는 웹사이트별 식별번호를 포함해 생성되기 때문에 사이트마다 다르게 부여된다. 예를 들어 OTT 서비스 가입 과정에서 생성된 DI는 서비스 내부에서 중복 가입 여부를 확인하는 데 쓰이는 값이며, 다른 서비스의 DI와 동일하게 사용되는 구조는 아니다. 이런 이유로 DI는 CI보다 외부 서비스 간 연계 가능성은 낮지만, 특정 서비스 내부에서 이용자를 구분하는 값이라는 점에서 여전히 보호가 필요한 개인정보다.
이번 개인정보 유출 사고에서 CI와 DI가 함께 언급된 이유는 두 정보가 모두 온라인 본인확인 결과와 관련된 식별값이기 때문이다. KISA 본인확인 지원포털은 본인확인 결과정보를 이용자의 본인확인에 따라 본인확인기관이 서비스 이용기관에 제공하는 정보로 설명하며, 그 예로 이름, 생년월일, 연계정보 등을 들고 있다. 즉, CI와 DI는 이용자가 서비스에 가입하거나 본인확인을 거칠 때 뒤에서 생성·전달되는 정보다. 평소 이용자는 이를 직접 입력하거나 확인하지 않지만, 서비스 사업자 입장에서는 회원 식별과 중복가입 방지에 필요한 핵심 값으로 쓰인다.
이 지점에서 중요한 것은 CI와 DI를 주민등록번호가 아니라는 이유로 덜 중요한 정보로 봐서는 안 된다는 점이다. CI는 주민등록번호를 직접 수집하지 않기 위해 만들어진 대체 식별값이지만, 특정 개인과 밀접하게 연결될 수 있고 다른 정보와 결합될 여지도 있다. DI 역시 특정 서비스 안에서 이용자를 식별하는 데 쓰인다. 따라서 이들 정보는 단순 내부 관리값이 아니라, 유출 시 개인정보 결합과 2차 피해의 재료가 될 수 있는 정보로 관리돼야 한다.
특히 CI 유출의 위험은 시간이 지나면서 커질 수 있다. 개인정보 유출 사고는 한 번 발생하고 끝나는 것이 아니라, 여러 서비스에서 유출된 정보가 시간이 지나며 결합되는 방식으로 악용될 수 있다. 공격자는 이름, 생년월일, 이메일, 휴대전화번호, 아이디, 서비스 이용정보 등을 조합해 피싱 메시지를 더 그럴듯하게 만들 수 있다. 여기에 같은 사람을 식별할 수 있는 CI가 포함되면, 서로 다른 출처의 정보를 연결하는 데 도움이 될 수 있다.
이용자 입장에서는 CI와 DI를 직접 변경하거나 폐기하기 어렵다는 점도 문제다. 비밀번호는 유출 사실을 알게 되면 즉시 바꿀 수 있지만, CI와 DI는 이용자가 임의로 재설정하는 정보가 아니다. 따라서 유출 사고 이후에는 비밀번호 변경, 동일 비밀번호를 쓰는 다른 서비스 점검, 2단계 인증 설정, 피싱·스미싱 주의 같은 기본 대응이 더욱 중요해진다. 특히 피해보상, 유출 조회, 환불 안내 등을 내세워 링크 클릭을 유도하는 문자나 이메일은 반드시 의심해야 한다.
기업에서는 CI와 DI를 수집·보관하는 목적과 범위를 다시 점검해야 한다. 회원 식별이나 중복가입 확인에 필요하다는 이유만으로 장기간 보관하거나 여러 시스템에서 과도하게 활용하면, 사고 발생 시 피해 범위가 커질 수 있다. CI와 DI는 주민등록번호를 대신하는 편의적 식별값이 아니라, 다른 개인정보와 결합될 수 있는 중요 정보라는 전제에서 접근권한 관리, 암호화, 접속기록 점검, 이상 접근 탐지, 보관 기간 관리가 이뤄져야 한다.
OTT 개인정보 유출 사고가 주는 시사점은 내 정보가 털린 거에 그치지 않는다. 더 본질적으로는 온라인에서 나를 식별하는 정보가 어떻게 만들어지고, 어디까지 연결될 수 있는지에 대한 질문을 던진다. CI와 DI는 이용자의 눈에는 잘 보이지 않지만, 온라인 서비스가 개인을 구분하고 관리하는 핵심 식별 체계다. 이번 사고를 계기로 이용자는 본인확인 과정에서 생성되는 정보의 의미를 이해하고, 기업은 CI와 DI를 개인정보 결합 위험이 있는 중요 정보로 다루는 보안 체계를 강화해야 한다.
- AhnLab콘텐츠마케팅팀
