[뉴스AS] 주민번호 대안이라던 CI…왜 개인정보 리스크가 됐나 작성일 07-09 24 목록 <div id="layerTranslateNotice" style="display:none;"></div> <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> <section dmcf-sid="pVUGncZvIo"> <figure class="figure_frm origin_fig" contents-hash="b812185ce9f4d3cdd7403a353bc6d8feddc1587e4a274a7d8e63212cbfd5c812" dmcf-pid="UfuHLk5TDL" dmcf-ptype="figure"> <p class="link_figure"><img alt="클립아트코리아" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202607/09/hani/20260709050730002gnhd.jpg" data-org-width="800" dmcf-mid="0VB1Nr3Gsg" dmcf-mtype="image" height="auto" src="https://img3.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202607/09/hani/20260709050730002gnhd.jpg" width="658"></p> <figcaption class="txt_caption default_figure"> 클립아트코리아 </figcaption> </figure> <p contents-hash="b21b112f889d33f2afda3f4255f6e7221ce0c1e3f8148521a7944167e1df86d7" dmcf-pid="u47XoE1yrn" dmcf-ptype="general"> 최근 티빙과 우리은행에서 잇따라 개인정보 유출 사고가 발생한 가운데, 온라인 서비스 본인 인증에 활용되는 연계정보(CI)를 재검토해야 한다는 목소리가 커지고 있다. 2010년 정부가 주민등록번호 대신 아이핀(I-Pin) 인증 등을 활성화하면서 도입됐지만, 현실적으로 한번 생성되면 사실상 변경이 어려워 주민등록번호와 다를 바 없는 ‘고정 식별 정보’로 자리하면서 유출 사고에 취약한 구조가 됐다는 이유에서다.</p> <p contents-hash="01737f7c568e90fb73c1a8425d01acdf34b9be51ec25bc176ad4ee35a9edc616" dmcf-pid="78zZgDtWEi" dmcf-ptype="general">연계정보는 주민등록번호에 복잡한 알고리즘을 적용해 생성한 88바이트 길이의 고유 식별값이다. 나이스평가정보·이동통신 3사 등 본인확인기관을 통해 이용자가 최초로 본인 인증을 하는 과정에서 생성되며, 주민등록번호와 일대일로 대응한다. 비공개 알고리즘과 비밀키로 생성돼 연계정보 만으로 주민등록번호를 역추적하는 것은 불가능한 것으로 알려져 있다.</p> <p contents-hash="4e3c0ebaf7ea890bbde2272c2c65c98d87980181278eed76032995a4604f39b4" dmcf-pid="z6q5awFYIJ" dmcf-ptype="general">예를 들어, 이용자가 온라인 쇼핑몰 회원 가입을 위해 본인 인증을 하면, 본인확인기관은 생성한 연계정보와 인증 결과를 해당 서비스 기업에 전송한다. 서비스 기업은 연계정보를 회원 식별값으로 저장해 같은 이용자인지를 확인하고 계정을 관리한다.</p> <p contents-hash="308652b96502c01eb587feeb5e526d8e4383bc281368291dae3727cce417acaa" dmcf-pid="qPB1Nr3Grd" dmcf-ptype="general">연계정보는 애초 주민등록번호와 달리 유출되더라도 새로 발급받을 수 있는 식별 정보로 설계됐다. 2009년 방송미디어통신위원회 전신인 방송통신위원회는 주민등록번호 유출에 따른 명의도용 피해가 확산하자 아이핀 인증을 확대 보급하면서, 온·오프라인 서비스 간 동일인을 쉽게 확인할 수 있도록 연계정보 도입을 추진했다. 주민등록번호와 달리 필요한 경우 재발급할 수 있게 해 명의도용 위험을 줄이겠다는 취지였다.</p> <p contents-hash="001e039172cffc4c1eb793f21704ca2c53f55e14de2777b0bb72e5cba41abebc" dmcf-pid="BQbtjm0Hse" dmcf-ptype="general">문제는 연계정보가 광범위하게 활용되면서 사실상 교체가 어려워졌다는 점이다. 기술적으로는 본인확인기관이 새로운 연계정보를 발급할 수 있지만, 본인 인증을 위해선 이를 활용하는 서비스 기업들도 동시에 회원 정보를 바꿔야 한다. 연계정보만 바뀐 상태에서 기업의 데이터가 함께 갱신되지 않으면 동일인 여부를 확인할 수 없기 때문이다. 이 때문에 연계정보는 이론적으로는 변경할 수 있지만, 현실적으로 한번 생성되면 주민등록번호처럼 평생 동일하게 사용되는 식별 정보로 자리 잡았다는 평가가 나온다.</p> <p contents-hash="b3306bfec1d5040fb0479a238ec90352aabbc79e2fd3eaa60789c7bd300856a2" dmcf-pid="bxKFAspXsR" dmcf-ptype="general">정부도 대책 마련에 나섰다. 방미통위는 최근 대규모 개인정보 유출 사고에서 주민등록번호와 연계정보가 함께 유출돼 2차 피해 우려가 커지자, 당초 내년 5월부터 시행 예정이었던 주민등록번호와 연계정보의 분리 보관 의무화 시기를 4개월 앞당겨 내년 1월1일 시행하기로 했다. </p> <p contents-hash="3d44f5d01d091226fb738fd25943c98a22b7ba402fd8253c42a480765f2a0786" dmcf-pid="KM93cOUZsM" dmcf-ptype="general">시민단체들은 제도 자체를 재검토해야 한다고 주장한다. 민주사회를 위한 변호사모임(민변) 디지털정보위원회와 디지털정의네트워크 등은 2024년 국민을 식별하는 데 널리 활용되는 연계정보의 생성·이용을 규정한 정보통신망법 제23조의5에 대해 헌법소원을 제기한 상태다.</p> <p contents-hash="575bbc377622ecbfe73647e22be2e4676cf8624c22bc85b4e6c0ff0211f82cb4" dmcf-pid="9R20kIu5mx" dmcf-ptype="general">염흥열 순천향대 정보보호학과 명예교수는 “연계정보 전면 교체는 ‘밀레니엄 버그’(Y2K 버그) 수준에 버금가는 전환 작업이 될 수 있어 현실적으로 개인정보 침해 사고로 유출된 연계정보에 한해 우선적으로 교체하는 방안을 검토해 볼 수 있다”며 “전면 교체가 필요하다면 방미통위와 본인확인기관, 연계정보 이용 기업들이 협의체를 꾸려 충분한 전환 계획을 마련해야 한다”고 말했다.</p> <p contents-hash="7d5c1e12872a92b669103566f390ad28d592ede308dd947f5e430bf5776e1d70" dmcf-pid="2eVpEC71IQ" dmcf-ptype="general">선담은 기자 sun@hani.co.kr</p> </section> </div> <p class="" data-translation="true">Copyright © 한겨레신문사 All Rights Reserved. 무단 전재, 재배포, AI 학습 및 활용 금지</p> 관련자료 이전 [AI 토큰 경제]①"토큰이 돈 되네"…경제 패러다임 바뀐다 07-09 다음 AI 기반 우주의약 자율 실험 플랫폼 예비연구 착수 07-09 댓글 0 등록된 댓글이 없습니다. 로그인한 회원만 댓글 등록이 가능합니다.