OTT서 유출된 'CI' 뭐길래,,,,,,,,,"온라인 주민번호 역할"

온라인동영상서비스(OTT) 티빙에서 1900만 명 규모의 대규모 개인정보 유출 사고가 발생했다는데, 특히 이번에 유출된 정보에는 아이디와 비밀번호뿐만 아니라 인터넷 공간에서 ‘온라인 주민등록번호’ 역할을 하는 ‘연계정보(CI)’까지 포함된 것으로 확인되면서 파장이 커지고 있단다. 과거 국내 인터넷 환경에서는 웹사이트에 가입할 때마다 주민등록번호를 일일이 입력해야 했었는데, 대형 포털과 e커머스 등에서 대규모 주민등록번호 유출 사고가 잇따르자 정부는 2014년 기업의 주민등록번호 수집을 법으로 금지했다고. 그 대신 도입된 시스템이 통신사, 신용카드사, 패스(PASS) 등의 본인확인 절차로, 이용자가 본인 인증을 요청하면 본인확인 기관이 식별정보를 처리해 기업에 넘겨주는 방식으로, 이 과정에서 생성되는 핵심 데이터가 바로 CI란다. CI는 주민등록번호를 일방향 암호화를 거쳐 만든 88바이트 길이의 암호문으로, 암호화 공식의 기준은 주민등록번호라고. 일방향 암호화 특성상 CI 값만으로 주민등록번호 원본을 역추적하는 것은 불가능하지만, 어떤 웹사이트에서 생성하든 주민등록번호가 동일하면 항상 같은 88바이트의 암호 값이 출력된다고. 결국 티빙에서 생성된 내 CI와 토스, 쿠팡, 네이버에서 인식하는 내 CI가 모두 같다는 얘기란다. CI가 해커의 손에 들어가면 무기가 되는 이유인데, 일반적인 비밀번호는 유출되더라도 즉시 변경할 수 있고, 주민등록번호도 도용 피해가 입증되면 심사를 거쳐 바꿀 수 있으나, 주민등록번호를 기반으로 생성되는 CI는 변경할 방법이 없다고. 해커들이 향후 다른 사이트에서 유출된 정보와 이번 티빙 유출 CI를 결합해 대조할 경우 이용자가 어떤 사이트에 가입되어 있고 어떤 활동을 하는지 파악할 수 있는 ‘연쇄 도용’의 열쇠가 될 수 있는 것이란다.