CI
CI는 Connecting Information의 약자로 우리말로 '연계정보'라고 부릅니다.
본인 확인기관 등에서 개인별로 고유하게 부여하는 개인 식별정보로 어느 업체에서 발급해도 유일하게 발급되므로 이 값이 같으면 동일인으로 판단할 수 있습니다.
주민등록번호 수집이 금지되면서 인터넷 서비스업체에서는 휴대폰본인인증, 공인인증, 신용카드 인증을 통해 CI를 제공받고 있으며 주민등록번호를 대신해 고객을 구별하는 데이터로 사용하고 있습니다.
CI값 예시
CI는 88byte로 영어 대소문자와 특수문자의 조합으로 표현되며 실제 CI는 아래와 같이 생겼습니다.
wEi9oYSuekQGxT9MV4rKHG4CO+Zrp+onhLIIuembI8jx/0PLF5Ne3oMBxvUFlN4UmsgjeNErZfmpCVUFHsv8nq==
DI
DI는 Duplication Information의 약자로 '중복정보' 또는 '중복가입확인정보'로 부릅니다.
DI는 인증 업체별로 사용자에게 부여하는 고유번호이며 동일인이라 하더라도 인증업체가 다르면 DI가 다릅니다. DI는 한 사람이 여러 개의 계정을 만드는 것을 방지하고자 만들어졌습니다.
DI값 예시
DI는 64byte로 영어 대소문자와 특수문자의 조합으로 표현되며 실제 DI는 아래와 같이 생겼습니다.
MPGV8OQUGo0Gt6bz0OEAz+FSe+oXuPGV8OQUGo00OzLFBl4BzEzysAn3w0d8A3y=
CI와 DI의 차이
X 유저가 A, B 사이트에서 회원가입하면 각 CI 값은 일치한다.
(네이버에서 가입해서 받은 CI = 구글에서 가입해서 받은 CI)
X 유저가 A, B 사이트에서 회원가입하면 각 DI 값은 불일치한다.
(네이버에서 가입해서 받은 DI ≠ 구글에서 가입해서 받은 DI)
CI와 DI의 문제점
1. CI는 온라인 주민등록번호다.
주민등록번호를 없애고자 도입한 CI인데 주민번호와 1:1 매칭됨으로써 CI로 개인 식별이 가능하게 되었습니다. 주민등록번호가 가지는 문제점을 그대로 물려받게 된 것입니다. 따라서 도입 취지가 퇴색되었습니다.
2. 본인의 CI, DI를 변경할 권한이 없다.
유출되더라도 본인은 수정 권한이 없기 때문에 대응 방법이 없습니다.
3. DI는 법적 보호를 받지 못한다.
주민등록번호는 법령에 의해 수집과 처리가 엄격하게 제한되어 있어 경찰도 법원의 영장에 의해 업체에게 조회를 요청하고 있으나 DI는 본인 확인업체를 통해 확보하여 무단 이용되고 있습니다. 특정인이 어느 사이트에 가입했는지 언제 인증을 하였는지 쉽게 조회당하고 있습니다.
지난 3일 국회 행정안전위원회 국정감사에서 정인화 국회의원(무소속)에 의해 그동안 본인확인기관을 통해 국민들의 중복가입정보(DI, Duplication Information 이하 DI)값을 무단으로 조회해 왔다는 사실이 드러났다. 경찰청은 지난 2009년부터 내부 수사포털시스템을 구축, 본인확인기관인 나이스신용평가를 통해 DI값을 마음대로 조회해 왔으며 올해 9월 이전까지는 누구를 얼마나 조회했는지 기록조차 남아있지 않았다. 또한 9월부터 3주간의 DI 조회 건수가 4,400 건에 달했다.
- https://www.peoplepower21.org/PublicLaw/1661316
4. CI가 오남용 되고 있다.
원래 취지는 DI를 사용하여 각 업체마다 가입 고객을 관리하여야 하나 기업의 편의 때문에 CI를 키로 사용함으로써 온라인상에 개인을 특정할 수 있게 되었습니다.
5. CI, DI는 폐쇄적이다.
주민번호에 의해 발급되는 CI와 이를 기반한 DI는 한국만의 기형적인 제도로 주민등록번호, 외국인등록번호가 없는 외국인은 이용이 불가합니다.
6. DI 값의 비 동일성
사이트 내에서는 유일하게 발급되어야 하는 DI가 인증 솔루션마다 다르게 발급되는 문제가 있습니다. 가령 휴대폰 인증, 공인인증 또는 각기 다른 실명인증기관의 DI가 서로 달라, 고객이 각기 다른 본인 확인방법을 사용하면 업체는 중복 가입 여부를 확인할 수 없기 때문에 DI의 사용 목적을 달성할 수 없습니다.
(인증 업체에 요구하면 키를 동일하게 DI 값을 받을 수 있다고 합니다.)
만약 같은 사이트에서 같은 인증방법으로 재 인증을 하셨다면 DI값도 같겠지만 다른 사이트 혹은 다른 인증방식으로 인증을 재시도하셨다면 DI 값은 바뀔 것입니다.
- https://faq.portone.io/3df572fb-7ab6-4933-a383-3741efb0aa4d
의문점
1. CI가 변경되는 경우 대처 방안
성전환 수술을 할 경우 주민번호가 바뀝니다. 따라서 CI도 변경이 될 텐데 각 사이트는 다른 사람으로 인지를 할지?
참고 자료
- https://song8420.tistory.com/303
- https://pamyferret.tistory.com/41
'보안' 카테고리의 다른 글
| 비대칭키 (0) | 2023.10.09 |
|---|---|
| Hash와 Salt (0) | 2023.09.19 |
