"회원가입 시스템 구축하는데 CI와 DI 값을 어떻게 활용해야 하나요?"
서비스 기획자와 PM이라면 반드시 알아야 할 인증 시스템의 핵심 개념. 주민번호 대신 사용하는 CI DI 차이를 정확히 아는 것은 성공적인 서비스 구축의 첫걸음입니다. CI는 연계정보(Connecting Information)이고, DI는 중복정보(Duplication Information)로 각각 다른 목적과 활용 방법을 가지고 있습니다. 오늘 포스팅에서는 서비스 기획자 필수 개발 개념을 실무에 바로 적용할 수 있도록 쉽게 설명하겠습니다.
목차
CI와 DI가 등장한 배경 이해하기
주민번호 수집 금지법의 등장
2014년 8월, 한국에서는 획기적인 변화가 일어났습니다. 개인정보보호법 개정으로 인해 온라인에서 주민등록번호 수집이 전면 금지된 것입니다. 그동안 모든 웹사이트가 개인 식별의 수단으로 사용해왔던 주민번호를 더 이상 수집할 수 없게 되면서, 새로운 개인 식별 방법이 절실히 필요했습니다.
이전까지는 온라인 쇼핑몰에서 옷을 사든, 은행에서 계좌를 개설하든, 모든 곳에서 주민번호를 입력해야 했습니다. 하지만 주민번호 유출 사고가 빈번히 발생하면서 개인정보 보호에 대한 사회적 요구가 높아졌고, 정부는 마침내 강력한 규제를 도입하게 되었습니다.
새로운 인증 체계의 필요성
주민번호 사용이 금지되자, 서비스 제공업체들은 심각한 문제에 직면했습니다. 어떻게 개인을 고유하게 식별할 것인가? 중복 가입을 어떻게 방지할 것인가? 서로 다른 서비스 간에 동일한 사용자임을 어떻게 확인할 것인가? 이러한 문제를 해결하기 위해 한국인터넷진흥원(KISA)과 본인확인기관들이 협력하여 새로운 인증 체계를 구축했으며, 그 결과물이 바로 CI(연계정보)와 DI(중복정보)입니다.
| 구분 | 주민번호 시대 | CI/DI 시대 |
| 개인정보 노출 위험 | 매우 높음 | 낮음 (암호화) |
| 서비스 간 연계 | 쉬움 | CI로 가능, DI는 불가 |
| 중복가입 방지 | 완벽 차단 | DI로 효과적 차단 |
| 개인정보보호 | 취약 | 강화 |
| 법적 규제 | 2014년 이후 금지 | 허용 (조건부) |
CI (연계정보) 완벽 가이드
CI의 정의와 핵심 특징
CI(Connecting Information)는 말 그대로 서로 다른 서비스를 '연결'하는 정보입니다. 개인의 주민등록번호를 기반으로 생성되는 88byte 크기의 암호화된 식별 정보로, 마치 온라인상의 암호화된 주민등록번호처럼 작동합니다.
CI의 가장 중요한 특징은 어떤 서비스에서 본인인증을 받아도 동일한 값이 생성된다는 점입니다. 김철수라는 사람이 A은행에서 인증을 받든, B쇼핑몰에서 인증을 받든, 항상 같은 CI 값을 받게 됩니다. 이는 일방향 암호화 알고리즘을 사용하여 주민번호를 변환하기 때문에 가능한 일입니다.
주민번호 비유로 이해하는 CI
CI를 이해하는 가장 쉬운 방법은 '암호화된 온라인 주민번호'라고 생각하는 것입니다. 현실에서 김철수씨의 주민번호가 어디서나 동일하듯이, 온라인에서 김철수씨의 CI도 어디서나 동일합니다.
예를 들어, 김철수씨가 네이버에서 본인인증을 받으면 "AB123XYZ789..." 라는 CI를 받습니다. 같은 김철수씨가 카카오톡에서 본인인증을 받아도 정확히 같은 "AB123XYZ789..." CI를 받게 됩니다. 이 덕분에 두 서비스는 김철수씨가 동일한 사람임을 확인할 수 있습니다.
하지만 원본 주민번호로는 절대 복호화할 수 없기 때문에, 개인정보는 안전하게 보호됩니다. 누군가 CI 값만 봐서는 그 사람의 주민번호를 알 수 없습니다.
CI가 제공하는 비즈니스 가치
CI의 진정한 가치는 서비스 간 연계에서 나타납니다. 최근 금융업계에서 큰 화제가 된 '마이데이터' 서비스가 대표적인 예입니다. 한 번의 인증으로 여러 금융기관의 데이터를 통합해서 볼 수 있는 것도 CI 덕분입니다. 또한 정부의 공공서비스에서도 CI가 적극 활용되고 있습니다. 국세청에서 인증받은 사용자가 건강보험공단 서비스를 이용할 때, 별도의 회원가입 없이 CI를 통해 동일인임을 확인할 수 있습니다.
CI 활용 시 법적 주의사항
CI는 개인정보보호법상 '개인정보'로 분류되어 매우 엄격한 관리가 필요합니다. 특히 CI를 수집하고 활용하려면 명확한 목적과 사용자 동의가 필요하며, 목적 외 사용이나 제3자 제공이 금지됩니다.
- 명확한 수집 목적 고지 및 사용자 동의 획득
- 암호화 저장 및 접근 권한 엄격 관리
- 모든 접근/이용 내역 로그 기록 보관
- 목적 달성 후 즉시 안전한 데이터 파기
- 개인정보보호 담당자 지정 및 정기 교육 실시
DI (중복정보) 완벽 가이드
DI의 정의와 작동 원리
DI(Duplication Information)는 중복가입을 방지하기 위한 정보입니다. CI와 달리 각 서비스마다 다른 값이 생성되는 것이 특징입니다. 64byte 크기로 CI보다 조금 작으며, 주민번호와 해당 서비스의 고유 식별번호를 조합하여 생성됩니다.
DI의 핵심은 '같은 서비스 내에서만 동일한 값'이라는 점입니다. 김철수씨가 네이버에서 받는 DI와 카카오톡에서 받는 DI는 완전히 다른 값입니다. 하지만 김철수씨가 네이버에서 여러 번 인증을 받으면 항상 같은 DI를 받게 됩니다.
학번 비유로 이해하는 DI
DI를 이해하는 좋은 비유는 '학번' 시스템입니다. 김철수라는 학생이 서울대학교에서는 2024123456이라는 학번을 받고, 연세대학교에서는 2024789012라는 완전히 다른 학번을 받는 것과 같습니다.
각 대학(서비스) 내에서는 학번(DI)으로 학생(사용자)을 고유하게 식별할 수 있지만, 다른 대학과는 정보를 공유할 수 없습니다. 서울대는 김철수의 연세대 학번을 알 수 없고, 연세대는 김철수의 서울대 학번을 알 수 없습니다.
중복가입 방지 메커니즘
DI의 주요 목적은 한 사람이 같은 서비스에 여러 계정을 만드는 것을 방지하는 것입니다. 예를 들어, 어떤 이벤트에서 "1인 1회 참여"라는 조건이 있을 때, 사용자가 다른 이메일과 다른 휴대폰 번호로 새 계정을 만들어도 DI가 같으면 중복 참여로 판단할 수 있습니다.
네이버의 경우 한 명당 최대 3개의 아이디만 만들 수 있는데, 이것도 DI를 활용한 중복 방지 시스템입니다. 사용자가 아무리 다른 정보로 가입하려 해도, DI가 같으면 이미 가입한 사용자로 인식합니다.
DI의 한계와 극복 방안
DI도 완벽한 시스템은 아닙니다. 사용자가 본인인증기관 홈페이지에서 DI를 재발급받으면 기존 차단을 우회할 수 있습니다. 또한 가족 명의를 사용하거나 차명 계정을 만드는 경우에는 DI만으로는 방지하기 어렵습니다.
- 기기 정보(디바이스 ID, MAC 주소) 수집 및 분석
- IP 주소 패턴 및 접속 지역 모니터링
- 사용자 행동 패턴 분석 (클릭, 스크롤, 체류시간 등)
- 신용카드나 계좌 정보 연동을 통한 이중 검증
- AI 기반 어뷰징 탐지 시스템 도입
CI와 DI 핵심 차이점 비교표
CI DI 차이 총정리를 위해 연계정보 (Connecting Information)와 중복정보 (Duplication Information)의 차이를 아래와 같이 표를 이용하여 작성해 보았습니다.
| 구분 | CI(연계 정보) | DI(중복 정보) |
| 정의 | 서비스 간 사용자 연계 정보 | 동일 서비스 내 중복가입 방지 정보 |
| 데이터 크기 | 88byte | 64byte |
| 유일성 | 전체 서비스에서 동일 | 서비스별로 다름 |
| 주요 목적 | 서비스 간 데이터 연계 | 중복가입 및 어뷰징 방지 |
| 활용 분야 | 금융, 공공기관, 대기업 서비스 | 일반 웹서비스, 게임, 이커머스 |
| 개인정보 민감도 | 매우 높음 (준주민번호급) | 상대적으로 낮음 |
| 법적 제약 | 엄격한 관리 의무 | 상대적으로 자유로움 |
| 수집 목적 제한 | 명확한 연계 목적 필요 | 서비스 운영 목적으로 자유 수집 |
| 변경 가능성 | 주민번호 변경시에만 | 사용자가 재발급 가능 |
| 보관 기간 | 목적 달성시까지 | 서비스 탈퇴시까지 |
프로젝트 기획 시 고려사항
CI/DI 도입 여부 판단 기준
모든 서비스가 CI와 DI를 모두 필요로 하는 것은 아닙니다. 서비스의 성격과 목표에 따라 선택적으로 도입하는 것이 현명합니다.
CI 도입을 고려해야 하는 경우:
- 금융 서비스 (마이데이터, 오픈뱅킹 활용)
- 정부/공공기관 서비스
- 대기업 계열사 간 연동 서비스
- 향후 서비스 제휴나 인수합병 계획이 있는 경우
DI 도입을 고려해야 하는 경우:
- 이벤트나 프로모션이 많은 서비스
- 포인트/적립금 시스템 운영 서비스
- 게임, 이커머스, 커뮤니티 사이트
- 사용자 생성 콘텐츠(리뷰, 댓글) 기반 서비스
개인정보보호법 준수 방안
CI와 DI를 다룰 때는 개인정보보호법 준수가 무엇보다 중요합니다. 특히 CI는 개인정보보호법상 '민감정보'에 준하는 수준으로 관리해야 합니다.
필수 준수사항:
- 명확한 수집 목적 고지 및 사용자 동의 획득
- 암호화 저장 및 접근 권한 엄격 제한
- 모든 접근/이용 내역 로그 기록 유지
- 목적 달성 후 안전한 데이터 파기
CI DI 차이 총정리 관련 FAQ
Q: CI와 DI 둘 다 수집해야 하나요?
A: 서비스 목적에 따라 선택하세요. 다른 서비스와 연계가 필요하면 CI, 단순 중복가입 방지라면 DI로 충분합니다. 대부분의 일반 서비스는 DI만으로도 충분한 효과를 볼 수 있습니다.
Q: 외국인도 CI/DI 발급이 가능한가요?
A: 외국인등록번호가 있는 장기 거주 외국인은 가능하지만, 관광객 등 단기 체류자는 불가능합니다. 해외 진출이나 외국인 고객이 많은 서비스라면 여권 번호나 국제신용카드 인증 등의 대안을 고려해야 합니다.
Q: CI 정보가 유출되면 어떻게 되나요?
A: 주민번호 유출과 비슷한 수준의 심각한 문제입니다. 즉시 관련 기관 신고와 법적 대응이 필요하며, 개인정보보호법에 따른 과징금과 손해배상 책임을 질 수 있습니다.
Q: DI는 사용자가 직접 변경할 수 있나요?
A: 본인인증기관 홈페이지에서 변경 가능하지만, 기존 서비스 계정과의 연결이 끊어질 수 있습니다. 사용자가 DI를 변경하면 서비스에서는 새로운 사용자로 인식하게 됩니다.
Q: 스타트업도 CI를 사용할 수 있나요?
A: 기술적으로는 가능하지만, 엄격한 보안 요구사항과 법적 책임 때문에 신중한 검토가 필요합니다. 개인정보보호 담당자 지정, 보안시스템 구축 등의 의무사항을 준수할 수 있는지 먼저 확인해야 합니다.
CI DI 차이 총정리 포스팅을 마치며
CI DI 차이를 정확히 이해하면 더 안전하고 효율적인 서비스를 구축할 수 있습니다. 연계정보(CI)는 서비스 간 연결의 핵심이고, 중복정보(DI)는 서비스 내 질서 유지의 핵심입니다. 두 개념 모두 사용자 경험과 서비스 품질 향상에 크게 기여할 수 있습니다.
핵심 포인트 요약: CI는 서비스 간 연계가 필요할 때, DI는 중복가입 방지가 필요할 때 선택하세요. 법적 책임과 보안 요구사항을 충분히 검토한 후 도입하고, 사용자 개인정보 보호를 최우선으로 고려해야 합니다.
다음 액션 아이템: 현재 서비스에 CI/DI가 필요한지 체크하고, 필요하다면 개발팀과 구체적인 도입 계획을 수립해보세요. 무엇보다 개인정보보호법 준수 방안을 먼저 마련하는 것이 중요합니다.
서비스 기획자 필수 개발 개념으로서 CI/DI를 정확히 이해하셨기를 바라며, 다음 포스팅에서도 조금 더 도움이 되는 컨텐츠로 돌아오겠습니다. 지난 시간에 작성한 캐시 세션 쿠키 차이 총정리 | 2025년 서비스 기획자를 위한 개념 가이드 포스팅이 궁금하시다면 위의 링크를 클릭해주세요.
'Planner Story > 기획자의 일기' 카테고리의 다른 글
| 서비스 기획자 AI 툴 추천 5선|2025년 현직 PM이 매일 사용하는 필수 도구 (3) | 2025.06.07 |
|---|---|
| 캐시 세션 쿠키 차이 총정리|2025년 서비스 기획자를 위한 개념 가이드 (4) | 2025.05.30 |
| AI EXPO KOREA 2025 후기|AI 스타트업 부스에서 찾은 미래 기술 (6) | 2025.05.27 |
| IT 실무자가 꼭 알아야 할 개인정보 보호법 2025 개정안 가이드 (5) | 2025.05.23 |
| 대규모 구조조정 정리해고 사태를 회고하며 (0) | 2024.07.04 |
댓글