* 출처는 안랩입니다.
최근 국내 유명 OTT 서비스 개인정보 유출 사고에서 이용자들이 주목한 항목은 이름이나 이메일만이 아니었다. 유출 항목에 연계정보(CI)와 중복가입확인정보(DI)가 포함됐다는 사실이 알려지며, 온라인 식별 체계 자체에 대한 우려가 커졌다. CI와 DI는 주민등록번호를 직접 사용하지 않고도 이용자를 식별하기 위해 만들어진 정보지만, 유출될 경우 다른 개인정보와 결합될 가능성이 있다. 이번 유출사고를 계기로 CI와 DI가 무엇인지, 왜 개인정보 보호에서 중요하게 다뤄지는지 살펴보자.
OTT 서비스 개인정보 유출 사고는 단순히 아이디나 이메일이 새어 나간 사건으로만 보기 어렵다. 이번 사고에서 유출된 항목에는 아이디, 이름, 생년월일, 성별, 서비스 이용 관련 정보, CI와 DI가 포함됐으며, 휴대전화번호 일부, 이메일 일부, 환불 계좌번호, 비밀번호는 암호화된 형태로 포함된 것으로 알려졌다. CI와 DI는 일반 이용자에게 익숙하지 않은 용어지만, 온라인 본인확인과 회원 식별 체계에서 중요한 역할을 하는 값이다.
CI는 ‘Connecting Information’의 약자로, 연계정보를 의미한다. 쉽게 말하면 온라인 서비스에서 같은 이용자인지 식별하는 데 사용되는 고유한 정보다. 과거에는 여러 인터넷 서비스가 주민등록번호를 직접 수집해 이용자를 구분했지만, 개인정보 보호 강화 흐름 속에서 주민등록번호를 직접 처리하지 않고도 본인을 확인할 수 있는 대체 수단이 필요해졌다. 이 과정에서 본인확인기관이 이용자의 주민등록번호와 기관 간 공유 비밀정보를 바탕으로 생성하는 값이 CI다.
CI는 실제 주민등록번호는 아니지만, 온라인 환경에서 개인을 식별하는 기준값으로 사용된다는 점에서 온라인 주민등록번호에 비유되기도 한다. 여러 서비스가 같은 사람을 식별하거나 온·오프라인 서비스를 연계할 때 CI가 활용될 수 있다. 따라서 CI는 단순한 회원번호가 아니라, 여러 데이터베이스에 흩어진 정보를 같은 사람 기준으로 묶을 수 있는 연결고리 성격을 갖는다.
다만 CI가 유출됐다고 해서 곧바로 주민등록번호가 복원되거나 금융 계좌 개설, 본인확인 우회가 가능하다고 보기는 어렵다. CI는 주민등록번호를 직접 저장한 정보가 아니며, 이용자가 실제 권한을 가진 본인인지 증명하는 인증 수단도 아니다. 인증이 비밀번호, 휴대전화 인증번호, OTP, 생체정보처럼 이용자가 정당한 주체임을 확인하는 절차라면, CI는 이 사람이 같은 사람인지 구분하는 식별 수단에 가깝다.
그런데 CI가 다른 개인정보와 결합하면 문제가 발생한다.
* 전체내용은 아래에서 확인하세요.
https://www.ahnlab.com/ko/contents/content-center/36204
![[네이버]오늘 오후 7시 ASUS 노트북 핫IT슈 라이브방송!+사은품 증정](https://img.danawa.com/images/attachFiles/7/28/6027287_1.jpg?fitting=Large|140:105&crop=140:105;*,*)
![[G마켓] [신제품특가] MSI MAG 322UP QD-OLED E16 4K 165 게이밍 모니터 (최종:899,720원)](https://img.danawa.com/images/attachFiles/7/28/6027383_18.jpg?fitting=Large|140:105&crop=140:105;*,*)
