CI (Connection Information) 개념

CI (Connection Information) 개념

• 간편인증(예: PASS, 카카오페이, 네이버 간편인증 등) 과정에서 본인확인기관(한국인터넷진흥원(KISA)이 지정한 기관, 예: NICE평가정보, PASS 등)에서 발급하는 고유 식별자입니다.
• CI의 주요 목적은 주민등록번호를 직접 수집하지 않고도 여러 온라인 서비스 간에 동일한 사용자를 안전하게 연계하고 식별하는 것입니다.
• CI(연계정보)는 특정 개인을 서비스 수준에서 고유하게 식별할 수 있도록 생성한 ‘암호화(혹은 해시)된 식별자’입니다. 원본 주민등록번호·이름 등 민감정보를 그대로 전달하지 않고, 인증사업자(또는 인증기관)가 내부 비밀값(솔트·키)을 섞어 일방향으로 변환한 값입니다.

생성 방식

• 입력 데이터: 이름·생년월일·성별·국가식별번호(주민번호 또는 외국인등록번호) 등 개인식별 데이터를 원자료로 사용.
• 비가역 변환: 원자료에 서비스/기관별 비밀 키(솔트)를 더해 해시(HMAC-SHA256 등) 또는 암호화 연산을 수행.
• 출력: 고정 길이의 문자열

특징

• 비가역성(복원 불가)
  • CI 자체만으로 원본 주민번호나 이름을 복원할 수 없도록 설계됩니다(단, 약한 설계면 가능성 존재).
• 구현에 따라 연속성/일관성 존재
  • 같은 인증기관·같은 입력값이라면 항상 같은 CI가 나오므로, 여러 서비스에서 동일한 CI를 받으면 서비스 간 사용자 연계가 가능합니다.
  • (반대로) 인증기관이 솔트나 처리 방식을 바꾸면 CI가 바뀔 수 있음.
• 식별성(유니크함)
  • 같은 사람은 동일 CI, 다른 사람은 다른 CI가 나오도록 설계됩니다(충돌은 매우 드뭄).
• 기관 의존성
  • CI를 만든 인증기관은 내부적으로 원자료 또는 매핑정보를 보유할 수 있음(따라서 인증기관이 법적 절차에 의해 정보 제공 가능).
• 인증 수단이 아님
  • CI는 “누군가 본인이다”를 증명하는 비밀번호나 토큰이 아니라, 단순 식별자입니다. CI만으로는 로그인·인증을 완료할 수 없어야 합니다.

CI 탈취시 위험성

• 계정 연계·추적(링커빌리티, linkability)
  • 공격자가 여러 서비스에서 동일 CI를 보유했다면, 서로 다른 서비스의 계정을 연결해 사용자의 활동을 추적하거나 프로파일링할 수 있습니다.
• 프라이버시 침해
  • CI에 서비스별 메타데이터(가입일·활동 등)를 결합하면 개인의 민감한 이용 이력이 노출될 수 있음.
• 회공학·피싱 공격에 악용
  • 공격자가 CI를 가지고 피해자에게 접근해 “귀하의 CI가 유출됐다” 식으로 신뢰를 쌓아 추가 정보를 빼낼 수 있음. 또는 계정 복구 절차 등에서 추가 정보를 얻어내는 발판이 될 수 있음.
• 재식별 가능성(조건부)
  • CI가 약하게 생성되었거나 동일한 솔트가 유출되어 공격자가 대량의 후보(예: 주민번호 조합)를 해시해 비교하면 원자료를 역추정할 위험이 있습니다(무차별 대입 공격).
  • 특히 솔트·키가 인증기관 쪽에서 유출되면 CI의 안전성이 붕괴될 수 있습니다.
• 법적/신뢰 손상
  • CI 유출은 개인정보 유출 사건으로 간주되며, 규제·신고·배상 문제로 이어집니다.