온라인 주민번호 'CI' 잇단 유출에 정부 관리체계 손본다…업계 "속도전 필요"
입력 2026.06.12 12:48
수정 2026.06.12 13:46
CI 유출 잇따르자 정부, 주민번호·CI 분리보관 의무 시행 앞당기기로
전문가 "유효기간제·재발급 체계 도입 등 근본 대책 필요"
김종철 방송미디어통신위원장이 12일 정부과천청사에서 '2026년 제17차 전체회의'를 열고있다.ⓒ방송미디어통신위원회
롯데카드·티빙·CU택배 등에서 온라인상 개인 식별 수단인 연계정보(CI) 유출사고가 잇따르자 정부가 관리 기준 강화에 나섰다.
방송미디어통신위원회는 주민번호와 CI의 분리·보관 의무 시행 시점을 4개월 앞당기는 한편 최근 CI 유출이 발생한 티빙에 대한 긴급 점검에도 착수했다. 업계는 한 번 유출되면 변경이 어려운 CI가 광범위하게 활용되는 현 구조를 바꿔야 한다며 보다 근본적인 대책 마련이 필요하다고 지적한다.
방미통위는 12일 ‘2026년 제17차 전체회의’를 열고 당초 2027년 5월 1일 시행 예정이었던 주민번호와 연계정보의 분리·보관 시행일을 2027년 1월 1일로 4개월 앞당기기 위해 '연계정보 생성·처리 등에 관한 기준'(고시) 개정안을 보고했다.
당초 기술적 인프라 재구축 및 검증 등에 준비기간이 필요하다는 사업자 등의 요청으로 시행일을 2027년 5월 1일로 유예했으나, 최근 주민등록번호와 연계정보가 함께 유출되는 사고로 피해 우려가 커지자 이번 고시 개정을 추진하게 됐다는 설명이다.
실제 금융·플랫폼을 중심으로 개인정보 유출이 잇따르고 있다. 지난해 9월 롯데카드에 이어 이달 들어서는 CJ ENM의 온라인동영상서비스(OTT) 티빙, CU 편의점 택배를 운영하는 BGF네트웍스가 각각 해킹에 따른 개인정보 유출 사실을 알렸다.
유출 정보에는 아이디(ID), 암호화된 비밀번호, 연계정보(CI) 등이 포함돼있어 연계정보 제도 개선이 시급하다는 목소리가 나온다.
CI는 주민등록번호를 일방향 암호화해 만든 값으로, 주민번호를 직접 수집할 수 없게 된 이후 온라인에서 동일 이용자를 식별하기 위한 대체 수단으로 활용돼 왔다. 본인확인 절차가 필요한 금융·통신·공공 서비스 등 광범위한 영역에 쓰여 ‘온라인 주민번호’로도 불린다.
전문가들은 CI 자체만으로 금융거래나 계정 탈취가 가능한 것은 아니지만, 다른 개인정보와 결합될 경우 이용자 식별 정확도를 높여 표적형 피싱이나 계정 연계 공격에 활용될 수 있다고 지적한다.
과학기술정보통신부와 티빙은 이번 정보유출로 인한 피해현황 및 사고원인 등을 조사하기 위해 3일 민관합동조사단을 구성하고 본격적인 조사에 착수했다. 다음날인 4일 방미통위도 티빙의 연계정보 관리 실태에 대한 긴급 점검을 벌였다.
BGF네트웍스 개인정보 유출 사고와 관련해서는 경찰과 개인정보보호위원회, 한국인터넷진흥원(KISA)이 조사에 나섰다.
티빙 CI ⓒ티빙
잇따른 보안 사고에 따른 CI 유출로 연계정보에 대한 보다 강화된 후속 대책 마련이 시급하다는 목소리가 나온다. 단순한 분리·보관 의무 강화만으로는 한계가 있다는 지적이다.
홍준호 성신여대 융합보안공학과 교수는 "CI 활용 목적을 보다 엄격하게 제한할 필요가 있다"면서 "본인확인이 필요한 경우와 단순 회원 관리 또는 마케팅 목적을 명확히 구분하고, CI 수집의 필요성을 재검토해야 한다"고 지적했다.
그러면서 "분야별·서비스별 가명화된 식별체계를 도입하는 방안을 검토할 필요가 있다"고 제안했다. 예컨대 OTT, 쇼핑몰, 은행 등 서비스 영역별로 서로 다른 식별자를 사용해 특정 식별자가 유출되더라도 다른 서비스 정보와 연계되기 어렵도록 하는 방식이다.
이미 발급된 CI의 위험을 낮추기 위한 기술적·제도적 보완책 필요성도 대두된다. CI 피해를 실질적으로 줄이기 위해서는 ‘CI 생애주기(Life Cycle) 관리’ 체계를 마련해야 한다는 주장이다. 최경진 가천대 법학과 교수는 "CI를 임시 대체 식별자로 전환하고 유효기간을 명확히 부과해 재발급과 폐기가 가능한 구조로 만들어야 한다"며 "유효기간을 1~2년 등 단기적으로 해야 한다"고 말했다.
그는 유출 사고 발생 시 CI를 즉시 무효화하고 새로운 식별자로 전환할 수 있는 기술적·제도적 거버넌스도 함께 마련돼야 한다고 덧붙였다.
CU 점포 전경.ⓒ BGF리테일
규제 당국인 방미통위는 유효기간제 등 대책 마련에 착수했다. 업계 전문가 및 유관 기관과 함께 '연계정보 제도 개선 방안'을 검토중인 것으로 전해졌다. 일정 기간이 지나면 기존 CI를 폐기하고 재발급을 유도하는 방향으로 시스템을 도입할 경우 정보가 유출되더라도 장기간 악용되는 사례를 막을 수 있을 것으로 보인다.
업계는 연계정보의 생성·관리가 '정보통신망 이용촉진 및 정보보호 등에 관한 법률'(망법)의 적용을 받는 만큼 법 개정과 제도 정비가 필요하지만, 그에 앞서 행정지도와 가이드라인 마련 등 즉시 시행 가능한 조치도 병행해야 한다고 주장한다.
보안업계 한 관계자는 “입법을 통한 제도화도 중요하지만, 지금은 국민의 개인정보가 실시간으로 위협받는 비상 상황”이라며 “보안 트렌드의 변화와 해커들의 공격 속도는 정부의 법 개정 속도를 기다려주지 않는다”고 지적했다.
이어 “고시 제정권이나 행정지도 등 가용한 정책 수단을 총동원해 제도의 도입 시기를 최대한 앞당기는 유연함이 필요하다”고 조언했다.
!['63년 비상근' 선관위원장 상근화 논의 재점화…실현 가능성 얼마나? [법조계에 물어보니 729]](https://cdnimage.dailian.co.kr/news/icon/202606/news_1781230956_1655310_c.jpg?v=1781250242){kind=icon}
