CI vs DI, 이게 뭔데 털리면 안된다는거예요?
티빙 개인정보 유출 소식을 보고 “CI, DI도 포함됐다”는 문장을 본 분들이 많을 겁니다. 이름, 휴대전화번호, 이메일, 환불 계좌번호는 바로 감이 오는데 CI와 DI? 조금 낮설게 느껴지죠. 내 주민등록번호가 그대로 새어 나간 건지, 다른 사이트 계정까지 위험해지는 건지, 지금 당장 뭘 해야 하는지… 불안만 쌓여가죠.
쉽게 말하면 CI와 DI는 온라인에서 “이 사람이 같은 사람인지”를 확인하기 위해 쓰는 식별값입니다. 주민등록번호를 서비스마다 직접 저장하지 않으려고 만든 대체 식별 체계에 가깝습니다. 그래서 눈에 보이는 비밀번호나 계좌번호처럼 바로 돈이 빠져나가는 정보는 아니지만, 다른 정보와 함께 쓰면 ‘한 사람’을 찾아내기가 쉬워지는 정보예요.
이번 글에서는 “CI와 DI가 뭔데?”, “둘이 뭐가 다른데?”, “유출되면 나한테 어떤 일이 생길 수 있는데?”를 티빙과 쿠팡 사례에 비춰 풀어보겠습니다.
CI는 여러 서비스에서 같은 사람을 알아보는 값입니다
CI는 Connecting Information, 우리말로 연계정보입니다. KISA 본인확인 지원포털은 CI를 온·오프라인 서비스 연계를 위해 본인확인기관이 이용자의 주민등록번호와 본인확인기관 간 공유 비밀정보를 이용해 생성한 정보라고 설명합니다. 말이 어렵지만 핵심은 하나입니다. 서로 다른 서비스에서도 같은 사람인지 확인할 수 있게 해주는 값입니다.
예를 들어 A 서비스에서 휴대폰 본인확인을 하고, B 서비스에서도 본인확인을 했다고 해보겠습니다. 회사들은 주민등록번호를 직접 들고 있지 않더라도, 본인확인기관이 내려준 CI를 통해 “이 두 계정은 같은 사람의 것이다”는 판단을 할 수 있습니다. 마이데이터, 본인확인, 계정 통합, 중복 혜택 방지, 고객 확인 같은 업무에서 이런 값이 쓰입니다.
그래서 CI가 유출됐다는 말은 “내 주민등록번호 원문이 그대로 공개됐다”는 아닙니다! 하지만 “내가 여러 서비스에서 같은 사람으로 연결될 수 있는 열쇠 중 하나가 밖으로 나갔다”는 느낌으로 이해하면 됩니다. 특히 이름, 생년월일, 휴대전화번호, 이메일 같은 정보와 함께 새어 나가면 불안감이 커질 수밖에 없습니다.
DI는 한 서비스 안에서 중복 가입을 막는 값입니다
DI는 Duplication Information, 중복가입 확인정보입니다. KISA는 DI를 웹사이트 가입자의 중복가입 여부를 확인하는 데 쓰는 정보라고 설명합니다. CI가 여러 서비스 사이의 “같은 사람” 확인에 가깝다면, DI는 특정 서비스 안에서 “이 사람이 또 가입하려는 건 아닌가”를 보는 값에 가깝습니다.
고객 입장에서는 이렇게 생각하면 쉽습니다. CI가 여러 건물에서 통하는 공통 출입 확인값이라면, DI는 한 건물 안에서만 쓰는 방문자 확인값에 가깝습니다. 그래서 DI는 보통 서비스별로 다르게 생성됩니다. 한 사이트의 DI가 다른 사이트의 DI와 바로 같은 값으로 이어지는 구조는 아닙니다.
그렇다고 DI가 별것 아니라는 뜻은 아닙니다. DI도 한 서비스 안에서는 특정 이용자를 구분하는 값입니다. 해커나 사기꾼이 다른 유출 정보와 함께 DI를 갖게 되면, 계정 묶음, 재가입 여부, 특정 고객 기록을 더 정교하게 추정하는 데 악용될 여지가 생깁니다.
티빙 유출에서 CI·DI가 왜 눈에 띄었을까요
여기서 이용자분들이 느끼는 불안은 생각보다 단순하고 명확합니다. “내가 티빙에서 쓰던 정보들이 다른 정보와 묶여서 인터넷에 나돌아다니면 어떡하지?” 하는 걱정이죠.
특히 ‘비밀번호’가 유출 항목에 포함되었다는 말을 들으면, 당장 다른 사이트에서도 같은 비밀번호를 쓰고 있진 않은지 가슴이 철렁 내려앉게 됩니다. ‘환불 계좌번호’라는 단어를 보면 혹시 보이스피싱이나 내 계좌를 사칭한 사기 연락이 오지는 않을까 밤잠을 설치게 되고요.
여기에 ‘CI’와 ‘DI’까지 함께 유출되었다고 하니, 그저 이메일 주소 하나가 털린 것과는 차원이 다른 찜찜함이 남습니다. 마치 “온라인상에서 ‘나’라는 사람을 더 정확하고 확실하게 지목할 수 있는 단서”를 통째로 넘겨준 것 같은 기분이 들기 때문입니다.
물론 공식적인 조사 결과가 나오기 전까지는 실제 유출 범위가 어디까지인지, 악용 가능성이 얼마나 되는지 섣불리 단정할 수는 없습니다. 하지만 지금 당장 고객 입장에서 가장 중요한 건 법적인 표현의 정확함이 아닙니다. ‘내가 지금 당장 조심해야 할 연락은 무엇인지’, ‘어떤 비밀번호부터 바꿔야 하는지’, 그리고 ‘어떤 안내 문자를 의심하고 걸러야 하는지’ 같은 지극히 현실적인 대처법입니다.
쿠팡 사례와 같이 보면 더 찝찝한 이유
사실 이번 쿠팡 건은 티빙의 사고와 동일한 성격이라고 보기는 어렵습니다. 개인정보보호위원회가 발표한 쿠팡 제재 자료를 보면, 약 3,755만 명 규모의 개인정보 유출뿐만 아니라 인증 서명키 관리 및 접근통제 미흡, 유출 통지와 파기 의무 위반 등 복합적인 문제를 다루고 있기 때문입니다. 게다가 쿠팡 광고가 게재된 타사 웹·앱 방문기록 등 약 1,117만 명의 온라인 활동기록을 법적 근거 없이 수집해 DB에 저장한 사실까지 확인되었습니다.
이 대목에서 고객들이 유독 깊은 불편함을 느끼는 이유는 명확합니다. 정보 유출은 겉보기에 ‘한 회사 안에서 끝나는 일’처럼 보이지만, 우리의 실제 디지털 삶은 수많은 서비스의 흔적으로 촘촘히 이어져 있기 때문입니다.
내가 쇼핑한 기록, OTT 계정, 휴대전화번호, 이메일, 계좌번호, 주소, 그리고 본인확인값(CI·DI)과 온라인 활동기록까지…. 이 정보들이 각각 다른 곳에서 새어 나오거나 한곳에 과도하게 모이게 되면, 결국 인터넷상에서 “나라는 사람을 완벽하게 설명하는 단서”가 점점 더 정교해집니다. CI와 DI는 바로 그 퍼즐 조각 중 하나입니다. 단독으로 치명적인 피해를 주진 않더라도, 다른 조각들과 결합하는 순간 너무나 쉽게 ‘같은 사람’을 가리키는 강력한 식별자가 되기 때문입니다.
털리면 당장 무슨 일이 생기나요?
CI나 DI가 유출되었다고 해서 당장 통장에서 돈이 빠져나가거나 주민등록번호가 그대로 복원되는 것은 아닙니다. 하지만 현실적인 위험은 분명히 존재합니다.
-
첫째, 사칭 메시지가 정교해집니다. 이름, 생년월일, 휴대전화번호에 내가 이용하는 서비스 정보까지 결합하면 사기꾼들의 시나리오가 훨씬 진짜 같아집니다. “티빙 환불 확인”, “쿠팡 배송 주소 오류”, “개인정보 유출 보상 신청” 같은 문자가 날아왔을 때, 의심 없이 속아 넘어가기 쉬워집니다.
-
둘째, 계정 탈취(로그인 시도) 공격이 늘어납니다. 아이디와 이메일, 비밀번호가 함께 묶여 유출되었다면 사기꾼들은 이 조합으로 다른 유명 사이트들에 무작위 로그인을 시도(크리덴셜 스터핑)합니다. 비밀번호가 암호화되어 안전하다는 안내가 있더라도, 고객 입장에서는 같은 비밀번호를 쓰는 다른 계정들부터 신속하게 바꾸는 것이 안전합니다.
-
셋째, 흩어져 있던 유출 데이터들이 하나로 합쳐집니다. A 사고에서는 이메일만, B 사고에서는 전화번호와 계좌가, C 사고에서는 본인확인값이 나갔다면, 시간이 흐르면서 이 조각들이 맞춰져 한 사람에 대한 완벽한 ‘신상 프로필’이 만들어질 수 있습니다.
-
넷째, “내가 나임을 증명하는 과정”이 피곤해집니다. 본인확인값이 포함된 유출 사고가 반복되면, 기업들은 보안을 이유로 추가 인증, 비밀번호 강제 변경, 이상 거래 탐지(FDS) 등의 절차를 까다롭게 강화합니다. 결국 피해를 입은 고객이 아무런 잘못도 없이 일상의 번거로움을 떠안게 되는 셈입니다.
그럼 고객은 뭘 보면 되나요?
앞으로 기업들의 유출 발표문을 보실 때는 단순히 “내 정보가 나갔구나” 하고 넘기지 마시고, ‘같이 묶여서 나간 정보의 조합’을 보셔야 합니다. CI·DI만 단독으로 유출된 것인지, 이름·생년월일·연락처와 함께인지, 혹은 비밀번호나 계좌정보까지 포함되었는지에 따라 내가 체감해야 할 위험의 크기와 대응책이 달라집니다.
만약 유출된 서비스와 같은 비밀번호를 쓰는 곳이 있다면 즉시 변경하세요. 특히 이메일, 쇼핑몰, 금융 및 간편결제, 주요 포털 계정은 가장 먼저 확인해야 합니다. 또한 출처가 불분명한 문자나 메일 속 링크는 절대 누르지 마시고, 해당 기업의 공식 홈페이지나 앱에 직접 접속해서 공지사항을 확인하는 습관이 필요합니다.
무엇보다 “내가 잘못해서 정보가 털린 것 같다”며 자책하실 필요는 전혀 없습니다. 고객은 서비스를 이용하기 위해 정당하게 정보를 맡겼을 뿐이고, 그 정보를 안전하게 지켜야 할 책임은 온전히 기업에 있습니다. 생소한 단어 때문에 불안한 것은 당연합니다. 중요한 것은 막연한 공포를 갖는 것이 아니라, 이 정보들이 어떻게 악용될 수 있는지 명확히 이해하고 대처하는 것입니다.
이제는 기업들이 ‘고객의 언어’로 설명해야 할 때
개인정보 유출 사고가 터졌을 때 고객이 진짜 듣고 싶은 말은 “관계 법령에 따라 조치 중”이라는 딱딱한 면피성 문장이 아닙니다. 정확히 어떤 정보가 나갔고, 그 정보가 내 일상에 무엇을 의미하는지, 암호화되었다는 게 왜 불행 중 다행인지, 그래서 내가 당장 무엇을 바꾸고 의심해야 하는지에 대한 친절한 안내입니다. 그리고 사과까지요.
실무자에게 CI와 DI는 그저 ‘본인확인 결과값’이나 ‘중복가입 방지용 데이터’일지 모릅니다. 하지만 고객에게는 “나를 알아볼 수 있는 온라인 주민번호 같은 게 털렸다”는 커다란 불안으로 다가옵니다. 기업의 개인정보 안내문, 처리방침, 사고 통지, 그리고 고객센터의 답변 이르기까지 모든 소통은 공급자의 내부 용어가 아닌 ‘고객의 언어’로 바뀌어야 합니다.
캐치시큐는 기업들이 어려워하는 개인정보 처리방침, 수집 동의서 작성부터 본인확인 정보 관리, 보유기간 및 접근권한 설정, 수탁사 관리, 그리고 유사시 사고 통지 문구에 이르기까지 개인정보 운영 기준을 체계적으로 수립하도록 돕습니다. 보안 사고가 터진 뒤 수습하는 것보다, 평소에 고객이 온전히 이해할 수 있는 투명한 언어로 개인정보를 관리하고 설명하는 것. 그것이 바로 기업이 고객의 신뢰를 잃지 않는 가장 확실한 출발점입니다.
참고한 공개 자료
- 캐치시큐, ‘CI’(Connecting Information) 알아보기
- KISA 본인확인 지원포털, 주민번호 대체수단과 CI·DI 정의
- 개인정보보호위원회, 티빙 이용자 개인정보 유출 사고 관련 조사 착수, 2026.06.04.
- 개인정보보호위원회, 쿠팡 및 계열사의 개인정보 유출 및 침해 제재처분 의결, 2026.06.11.
