신시웨이 | 데이터베이스 보안 전문 기업 - PR

은행에서 시행하는 마이데이터(MyData)란 개인의 동의하에 여러 금융사에 흩어진 금융 내역을 통합 관리할 수 있는 서비스입니다. 마이데이터 서비스에서는 어떻게 다른 은행의 정보를 가져올 수 있을까요? 어떤 데이터를 통해 다른 기관에서 한 개인을 특정지을 수 있을까요? 정답은 CI에 있습니다.

CI(연계정보)란?

연계정보를 뜻하는 CI란 Connecting Information의 약자로 온라인상 이용자 식별과 데이터 연계 및 개인정보를 효율적으로 관리하기 위해 사용되는 고유식별자를 의미합니다. 온라인 주민등록번호라고 볼 수 있기도 한데요. 서로 다른 인터넷 업체 간 동일인을 식별하기 위해 사용되며 온라인상에서 주민등록번호의 유출, 남용 등의 사고를 방지하고, 주민등록번호의 수집 및 이용을 최소화하기 위해 만들어진 대체 수단입니다.

CI(연계정보)는 온라인 서비스상에서 이용자를 식별해야하는 다양한 상황에 활용되고 있습니다. 특히 은행, 카드, 보험, 증권 등 다양한 금융회사 간 동일 고객을 식별하고 데이터를 전송하는 과정에서 활용됩니다.

CI 생성과정, 출처: KISA

CI(연계정보)는 주민등록번호를 일방향 암호화하여 생성되는 개인식별용 고유한 범용 Key값입니다. 개인별로 고유하게 생성된 주민등록번호를 일방향 암호화하기 때문에 원래의 데이터로 복원이 불가능하다는 특징이 있습니다.

CI(연계정보)는 본인확인기관에 의해서 생성됩니다. 본인확인기관이란 가입자를 대신하여 정보를 제공하는 기관으로, 이용자의 주민등록번호를 사용하지 않고 대체수단을 제공하는 기관입니다. 특히 온라인·비대면 사회에서 이용자를 식별하기 위해 회원가입, 아이디 및 비밀번호 찾기, 금융거래 및 결제 등 다양한 분야에서 본인확인 서비스가 활용되고 있으며, 이용자는 주민등록번호를 사용하지 않더라도 본인을 식별하고 인증하는 서비스를 제공받습니다.

CI 발급과정, 출처: KISA

정부는 이용자의 주민번호를 사용하지 않고 본인을 확인하는 방법(대체수단)을 제공하는 본인확인기관을 방송통신위원회가 지정하도록 하였습니다. 방송통신위원회는 이용자의 개인정보를 안전하게 보호하기 위해 매년 적합성 심사를 통해 본인확인기관을 지정하고 있습니다.

대체수단으로는 아이핀, 휴대폰, 신용카드, 인증서가 있으며, 이를 제공하는 본인확인기관으로는 아이핀 기관, 이동통신3사, 신용카드사 등이 있습니다. 본인확인기관에서는 대체수단을 통해 확인되어 CI가 포함된 본인확인결과를 온라인 사업자에게 제공합니다.

「정보통신망 이용촉진 및 정보보호 등에 관한 법률」

방송통신위원회는 온라인에서 연계정보를 활용한 서비스가 안전하게 운영될 수 있도록 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 개정안을 마련하였습니다.

개정안에서는 본인확인기관이 CI를 생성, 처리하는 경우 안전성 확보를 위한 물리적, 기술적, 관리적 조치를 의무화하였습니다. 이를 위반하는 경우 최대 3천만원 이하의 과태료를 부과하도록 하였습니다.

제9조의 12(본인확인기관의 물리적·기술적·관리적 보호조치 등)

① 본인확인기관은 법 제23조의6제1항에 따른 연계정보 생성ㆍ처리의 안전성 확보를 위하여 다음 각 호의 물리적ㆍ기술적ㆍ관리적조치를 해야 한다.

1. 제9조의3제1항제1호 각 목에서 정한 사항

2. 법 제23조의5제1항제4호에 따른 연계정보 생성·처리를 위한내부규정 수립 및 시행

3. 연계정보의 안전한 생성·처리를 위한 보호조치

4. 연계정보 생성 및 처리 사실확인자료의 기록ㆍ보관

5. 그 밖에 방송통신위원회가 정하여 고시하는 사항

② 연계정보 이용기관은 법 제23조의6제2항에 따른 다음 각 호의안전조치를 취해야 한다.

1. 연계정보의 안전한 처리를 위한 내부규정의 수립 및 시행

2. 목적 범위 내 연계정보 처리

3. 연계정보와 주민등록번호의 분리보관 조치

4. 연계정보를 안전하게 저장·전송할 수 있는 암호화 기술의 적용

5. 이용자 보호 및 불만처리에 관한 계획의 수립 및 시행

6. 연계정보의 수집 출처, 수집 시기 등에 관한 자료의 기록·보관

7. 그 밖에 방송통신위원회가 정하여 고시하는 사항

CI vs DI

CI와 비교되는 개념으로는 DI(Duplicated Joining Information)가 있습니다. DI는 ‘중복가입 확인정보’라고도 하며, CI와 마찬가지로 본인확인기관에서 대체수단을 통한 본인확인의 경우에 생성됩니다. DI는 하나의 서비스 안에서 사용자의 중복 가입을 막기 위한 고유 값입니다. DI는 특정 서비스 내에서만 유효하며, 같은 사용자가 여러 계정을 만들지 못하도록 중복을 방지하는 목적으로 사용됩니다. 인증 업체마다 같은 개인이라도 다르게 발급되기 때문에 서로 다른 서비스에서 공유할 수 없습니다. DI 또한 CI와 마찬가지로 영어대소문자와 숫자로 이루어져 있으나, CI는 88byte키값으로 구성되어 있는 반면 DI는 66byte로 구성되어 있다는 차이점이 있습니다. 또한 CI는 어느 웹사이트에서든 동일한 값이 제공되는 반면, DI는 웹사이트별로 다른 값이 생성됩니다. 따라서 CI는 온라인에서 서로 다른 사이트 간 동일인을 식별하기 위해 사용되지만, DI는 인증 업체마다 다르게 발급되기 때문에 서로 다른 사이트에서 공유할 수 없습니다.

CI와 DI의 차이점, 출처:KISA

온라인서비스에서 이용자를 식별해야하는 경우에 CI가 활용되는 경우가 많습니다. 특히 개인의 금융정보를 통합 및 관리하여 주는 금융 마이데이터 서비스에 적극 활용되고 있습니다. 마이데이터 서비스는 시행 이후 2년만에 1억 1,787만명의 가입자를 돌파하는 등 국민들의 일상에 정착되어 있습니다.

개인정보보호위원회는 마이데이터 선도서비스 지원사업으로 의료, 통신 등 여러 분야를 선정하였으며, 이에 따라 마이데이터의 활용 범위를 점진적으로 확대할 계획임을 밝혔습니다. 이처럼 마이데이터 사업이 더욱 확장됨에 따라 CI의 활용도도 더욱 높아질 것으로 예상됩니다.

출처 및 참고자료

방송통신위원회, ‘연계정보 ’, 활용성과 안전성 동시에 잡는다

KISA 한국인터넷진흥원, CI에 대한 현황 및 논의 필요사항

PREV
신시웨이 12월 소식
2024-12-23

PREV	신시웨이 12월 소식 2024-12-23

List