CI & DI 란?
금융서비스들이 앞다투어 제공하고 있는 마이데이터 서비스는, 내가 가진 모든 자산을 모아서 한 번에 관리할 수 있는 서비스이다.
그런데, 갑자기 궁금하다. 어떻게 KB은행이 농협은행에 있는 내 정보를 가져올 수 있을까? 내 이름? 전화번호? 그러기엔 동명이인은 너무 많고, 전화번호는 언제든 바뀔 수 있다. 도대체 어떤 데이터로 다른 은행에서의 나를 특정지을 수 있을까? 정답은 바로 CI이다.
CI의 정의
CI란 Connecting Information의 약자로 온라인에서 개인식별을 위해 주민등록번호에 기반하여 생성된 사실상 온라인 주민등록번호이다. 본인확인기관이 주민등록번호를 일방향 암호화하여 생성한 88byte의 정보로 영대소문자+특수문자+숫자로 구성된다.
CI 도입 배경
이전에는 기업이 고개의 주민등록번호를 수집할 수 있었는데, 주민등록 오남용이 너무 심해져 개인정보 보호를 위해 주민등록번호를 수집하는 것이 금지되었다. 이에 대한 대체 수단으로, 주민등록번호 대신에 개인을 식별하기 위해 나온 것이 바로 이 CI이다.
국민 당 1개의 고유한 CI를 가지며 이는 주민등록번호가 변경되지 않은 한 변경되지 않는 값이다. 서로 다른 인터넷 업체 간에도 CI를 가지고 특정 고객의 정보를 식별할 수 있다. 기업은 고객의 휴대폰 본인인증, 공인인증, 신용카드 인증을 통해 CI를 제공받는다.
위에서 말한 마이데이터 서비스을 예시로 들면, KB은행에서나 농협은행에서나 CI 자체는 동일하기 때문에 고객의 CI를 가지고 다른 회사에서의 동일한 고객의 정보를 알 수 있는 것이다.
이외에도 포인트 제휴, 가맹점 할인 등 본인확인이 필요한 서비스에서 다양하게 활용된다.
DI의 정의
개인의 주민등록번호를 해시화한 값이 CI라면, 주민등록번호와 각 웹사이트의 식별번호를 가지고 생성하는 값을 DI(Duplicated Information)라고 한다. 네이버, 구글과 같은 각 웹사이트는 고유의 식별번호를 가지는데 이와 주민등록번호를 이용해서 64byte의 난수를 만든다.
이 값은 사이트 내에서 동일인의 중복 가입을 체크하기 위해 사용된다. 예를 들어 내가 구글에 3개의 계정이 있다고 하더라도, 이 세 ID의 DI는 모두 동일하다.
네이버 같은 경우, 명의 당 3개의 아이디만 생성할 수 있는데 ID는 달라도 이 사람이 이미 가입한 이력을 확인할 수 있는 값이 바로 이 DI이다.
CI, DI의 문제점
(1) 결국 개인을 특정할 수 있다
CI의 도입 취지는 개인 정보를 보호하기 위함이다. 그런데 CI는 서로 다른 개인정보를 연결하는 열쇠가 되고, 이를 역추적하면 결국 개인을 특정할 수 있다. 따라서 도입 취지가 퇴색되었다고 볼 수 있다.
(2) 본인의 CI, DI가 유출되더라도, 변경할 수 없다.
CI, DI는 주민등록번호가 변경되지 않는 이상 변경할 수 없기 때문에 유출되더라도 손 쓸 도리가 없다.
(3) 한국인만 이용할 수 있는 폐쇄적인 제도이다.
주민등록번호를 기반으로 만들어지는 값이기 때문에 주민등록번호나 외국인등록번호가 없는 외국인은 이용이 불가능하다. 위와 같은 문제점으로 인해 CI, DI 정책 자체를 폐지하자는 의견도 많다.
글을 마치며
필자의 경우, 서비스 내 본인인증 관련 회의를 들어가면 이 CI, DI의 이야기를 종종 듣곤 하는데 그때마다 ‘CI가 뭐지? Corporate Identity?’ 하며 헤맸던 경험이 종종 있다;;
이제는 헤매지 않고 회의를 무사히 따라잡을 수 있길 기원하며… 오늘의 글을 마친다.
이 글을 쓰기까지의 선생님들
쪼렙 서비스 기획자님이 브런치에 게재한 글을 편집한 뒤 모비인사이드에서 한 번 더 소개합니다.
