온라인 주민등록번호로 불리는 연계 정보(CI) 대규모 유출 사태 발생 이후 보안 위협 경고가 확산되지만, 제도 개선 논의는 6개월째 답보상태다. 방송미디어통신위원회가 뒤늦게 논의에 착수한 가운데, 실효적인 보호 대책으로 문단속에 나서야 한다는 지적이다.
방송미디어통신위원회는 지난 27일 본인확인기관 등 관련 사업자들과 만나 CI 제도 개선 방향을 논의했지만, 뚜렷한 결론을 내지 못했다.
지난해 10월과 올해 2월에 이어 세 번째로 열린 논의 자리였지만 이번에도 의견 수렴 수준에 머문 것으로 전해졌다.
회의에는 기존 이통사·신용평가사 외에도 다른 인증 관련 기관이 참석해 CI2 전환과 CI 유효기간제 등에 대한 업계 의견을 전달했다. 방미통위는 이날 제도 개선 필요성은 인식하면서도, 구체적 방향성을 제시하진 못한 것으로 알려졌다.
지난해 8월 롯데카드 해킹으로 297만건 CI가 유출되고, 앞서 2024년 9월 모두투어 해킹 당시에도 CI가 유출됐다. 해커가 국내 이용자 대규모 CI를 확보한 만큼 악용 우려는 커지고 있다.
CI는 주민등록번호 직접 수집을 줄이기 위해 도입된 온라인 식별수단이다. 이용자가 온라인에서 본인확인을 마치면 본인확인기관이 CI를 생성해 사업자와 기관에 제공한다. 현재 국내 대부분 웹과 앱에서 동일인을 식별하는 값으로 쓰이고 있다.
문제는 CI가 한번 생성되면 사실상 평생 유지된다는 점이다. 주민번호를 바꾸지 않는 한 유지되는 데다 다수 사이트와 서비스에 같은 값이 저장돼, 한번 유출되면 피해가 여러 곳으로 번질 수 있다는 우려가 나온다.
보안 전문가는 유출된 CI가 쇼핑몰 계정 탈취, 적립금·상품권 구매, 멤버십 포인트 조회·전환 등 2차 피해로 이어질 수 있다고 보고 있다. 일부 멤버십 앱에서는 동일 CI를 기반으로 항공 마일리지와 쇼핑 적립금 등 제휴 포인트를 일괄 조회·전환할 수 있는 시스템이 적용돼 있다.
CI는 은행, 증권사, 플랫폼 사업자 마이데이터 서비스에서 자산 연결을 위한 중계 키(Key) 값으로도 쓰인다. 유출되거나 악의적으로 활용될 경우 이용자 전체 금융자산 노출 위험으로 이어질 가능성이 제기된다. 이때문에 국회에서도 이해민 조국혁신당 의원 등이 CI 악용 가능성을 꾸준히 지적해왔다.
관련 업계에서는 기존 CI를 사실상 갈아엎고 새로 도입하는 CI2 전환과 CI 유효 기간제 등을 대안으로 제시한다.
이기혁 중앙대학교 융합보안학과 교수는 “주민등록번호를 대체하기 위해 도입된 연계 정보가 또 다른 보안의 허점이 되어서는 안 된다”면서 “유출 시마다 재발급하는 일차원적 대응이 아닌, 파기 주기를 설정하고 관리하는 등 제도 개선을 통한 근본적인 해결책 마련이 필요하다”고 강조했다.
정책 소관 부처인 방미통위 내부에서도 제도 손질 필요성에는 공감대가 형성됐다. 다만 어떤 방식으로 CI를 개편할지, 실제 효과를 낼 수 있을지에 대한 판단은 아직 정리되지 않았다. 논의가 장기화할 수 있다는 관측이 나온다.
방미통위 관계자는 “CI 제도 개선 필요성과 관련해 다양한 의견을 듣고 있다”고 말했다.
남궁경 기자 nkk@etnews.com, 박진형 기자 jin@etnews.com
