
주민등록번호는 사라졌는데, 내 '디지털 지문'은 남았다? CI·DI의 비밀과 달라진 보안 상식
"주민등록번호 입력 안 하니까 안심인가요?"
온라인 쇼핑몰이나 앱에 회원가입을 할 때, 예전처럼 주민등록번호를 일일이 입력하지 않아도 되는 세상입니다. 2014년 주민등록번호 수집 금지 제도가 시행된 이후, 우리는 휴대폰 본인확인만으로 간편하게 '나'를 증명하곤 하죠. "이제 주민번호를 안 쓰니 내 개인정보도 한결 안전해졌겠지"라고 안도하는 분들이 많으실 겁니다.
하지만 정말 그럴까요? 우리 눈앞에서 주민등록번호라는 숫자는 사라졌지만, 디지털 세상 속에는 우리를 식별하는 훨씬 정교한 '디지털 지문'이 남겨져 있습니다. 바로 CI(연계정보)와 DI(중복가입확인정보)입니다. 주민번호는 가렸지만, 사실상 '온라인 주민등록번호'라 불리는 이 식별값들이 어떻게 우리를 따라다니고 있는지, 그 비밀을 파헤쳐 보겠습니다.
내 온라인 주민등록번호, CI와 DI의 정체
웹사이트들이 주민등록번호를 수집할 수 없게 되면서, 이용자를 명확히 구별하기 위해 도입된 대체 수단이 바로 CI와 DI입니다. 두 값 모두 암호화된 문자열이지만, 그 용도와 성격은 확연히 다릅니다.
- CI(Connecting Information, 연계정보): 본인확인기관이 주민등록번호를 바탕으로 생성하는 식별값입니다. 88byte의 키값으로 구성되며, 서로 다른 서비스 간에도 동일한 이용자인지를 확인하는 데 사용됩니다.
- DI(Duplicated Joining Verification Information, 중복가입확인정보): 특정 서비스 내에서 해당 유저가 이미 가입한 이력이 있는지 확인하기 위한 66byte의 '로컬 키'입니다. 웹사이트마다 값이 다르게 발급되므로 서비스 간 연계는 불가능합니다. 예를 들어 네이버가 명의당 3개의 아이디만 허용할 수 있는 이유도, 아이디는 달라도 이용자의 'DI'는 하나로 고정되어 중복 여부를 확인할 수 있기 때문입니다.
티빙(Tving) 유출 사고가 유독 뼈아픈 이유는?
최근 발생한 온라인 동영상 서비스(OTT) 티빙의 개인정보 유출 사고를 보면, CI와 DI가 포함된 유출이 왜 무서운지 극명하게 드러납니다. 소스에 따르면 티빙은 2026년 6월 2일 데이터베이스에 대한 비인가 접근을 인지했고, 바로 다음 날인 6월 3일 사고를 신고했습니다.
유출 항목:
- 아이디, 이름, 생년월일, 성별
- CI, DI (식별값)
- 휴대전화번호, 이메일, 환불 계좌번호 등
단순히 아이디와 이름만 털린 것이 아닙니다. CI가 유출되었다는 것은 해커가 '데이터 결합의 열쇠'를 손에 넣었음을 의미합니다. 해커가 티빙에서 얻은 CI를 다크웹의 다른 유출 데이터(A 쇼핑몰, B 금융앱 등)와 대조하면, 익명의 이용자가 아닌 '서울 사는 30대 남성 김OO'이라는 구체적인 인격체로 재식별(Re-identification)하는 것은 시간문제입니다. 조각난 정보들이 CI를 통해 하나의 거대한 프로필로 완성되는 '연계성'의 리스크, 이것이 이번 사고가 유독 뼈아픈 이유입니다.
이제 '유출 가능성'만 있어도 72시간 내 통지
이런 사고에 대응하기 위해 개인정보 보호의 패러다임이 '사후 신고'에서 '사전 차단'으로 대전환됩니다. 2026년 9월 11일 시행 예정인 개인정보 보호법 시행령 개정안에 따르면, 기업의 대응 의무가 매우 엄격해집니다.
가장 눈여겨볼 변화는 통지 시점입니다. 기존에는 유출이 확정된 후에야 알렸다면, 앞으로는 개인정보처리시스템에 불법 접근이 있었음을 '인지'한 단계, 즉 유출 가능성만 있는 단계에서도 72시간 이내에 정보주체에게 알려야 합니다. 유출 사고의 골든타임을 확보하여 이용자가 2차 피해를 예방할 수 있도록 하겠다는 강력한 의지입니다.
기업의 보안 감시자, CPO의 독립성 강화
이제 보안은 '사고 나면 처리하는 비용'이 아니라, 이사회의 의결을 거쳐야 하는 '경영의 본질'이 되었습니다. 개정안에 따르면 일정 규모 이상의 기업은 개인정보 보호책임자(CPO)를 임명하거나 해임할 때 반드시 이사회 의결을 거쳐야 합니다.
CPO 지정 의무 대상:
- 연 매출액 1,800억 원 이상이면서 100만 명 이상의 개인정보 처리자
- 5만 명 이상의 민감정보 또는 고유식별정보(주민번호 등) 처리자
- 재학생 2만 명 이상 대학 및 상급종합병원 등
기업 내부에서 CPO의 위상과 독립성을 법적으로 보장함으로써, 경영진이 직접 개인정보 보호 수준을 챙기도록 강제성을 부여한 것입니다. 보안 컨설턴트로서 볼 때, 이는 기업 경영의 우선순위가 완전히 바뀌었음을 의미합니다.
털린 내 정보를 지키는 '디지털 생존 키트'
법과 제도가 우리를 방어해 주지만, 사고 발생 시 즉각 대응하는 주체는 결국 우리 자신입니다. 내 정보를 지키기 위해 지금 바로 활용할 수 있는 서비스 4종을 소개합니다.
- 털린 내 정보 찾기 (eprivacy.go.kr): 다크웹 등 음성화 사이트에서 내 계정정보(아이디, 패스워드)가 불법 유통되고 있는지 즉시 확인하십시오.
- e프라이버시 클린서비스: 내가 과거에 본인확인을 했던 내역을 한눈에 조회하고, 더 이상 이용하지 않는 웹사이트는 여기서 일괄적으로 회원 탈퇴를 진행할 수 있습니다.
- 엠세이퍼(M-Safer): 내 명의로 누군가 몰래 휴대폰을 개통하지 못하도록 '가입 제한 서비스'를 설정하거나, 신규 가입 시 즉시 알림을 받을 수 있습니다.
- 개인정보 노출자 사고예방시스템 (pd.fss.or.kr): 신분증 분실 등으로 명의도용 금융사고가 우려될 때, 신규 계좌 개설이나 신용카드 발급을 강력하게 제한하여 금전적 피해를 막아줍니다.
결론: "편리함의 대가는 우리가 직접 지불해야 합니다"
CI와 DI는 마이데이터와 같은 혁신적인 금융 서비스와 편리한 본인확인을 가능케 한 일등 공신입니다. 하지만 편리함의 이면에는 '나'를 완벽하게 식별할 수 있는 데이터가 온라인 어딘가에 존재한다는 리스크가 늘 상존합니다.
정부의 규제 강화와 기업의 보안 투자가 우리를 보호하려 노력하고 있지만, 결국 가장 강력한 보안은 이용자 개인의 '인지와 실천'에서 시작됩니다. 유출 사고 통지를 받았을 때 귀찮아하지 말고 비밀번호를 즉시 바꾸는 사소한 태도가 여러분의 디지털 삶을 지키는 가장 확실한 방패입니다.
오늘의 마지막 질문입니다. "당신이 마지막으로 가입한 웹사이트의 개인정보 처리방침, 혹시 수집 항목에 포함된 CI와 DI의 용도를 확인해 보셨나요?"
'시사상식' 카테고리의 다른 글
| 820억 보험금과 의문의 점유율 53.8%: 자생한방병원 사태를 읽는 5가지 시선 (0) | 2026.07.10 |
|---|---|
| CLC 권은빈 연예계 은퇴 선언, 프로필 삭제와 솔직한 심경 고백 (근황 및 마지막 일정) (0) | 2026.06.18 |
| 부동산 전자계약시스템: 종이계약보다 빠르고 안전한 이유 (0) | 2025.10.14 |
| 중국인 무비자 입국 허용 논란, 전산망 마비와 국가안보 우려 (4) | 2025.09.29 |