주민등록번호 수집 금지로 인해 이를 대체하기 위해 도입된 개념입니다.
CI & DI에 대해서 알아보고.
문제점에 대해서도 알아봅시다.
What is CI & DI?
CI(Connecting Information)
- CI는 연계 정보(Connecting Information)로 본인인증기관에서 개인별로 부여하는 연계정보
- 어느 업체나 사이트에서 동일한 값이 제공
- CI는 88byte로 영어 대소문자와 특수문자의 조합으로 표현됨
- 동일인을 식별하기 위해 사용
- CI는 개인정보보호법 상 개인정보로 취급
DI(Duplication Information)
- DI는 중복 정보(Duplication Information)로 본인인증기관에서 개인별로 부여하는 정보
- DI는 64byte로 영어 대소문자와 특수문자의 조합으로 표현
- 어느 업체나 사이트별 다른 값이 제공 가능
- DI는 한 사람이 중복가입을 방지
CI & DI의 차이점
CI & DI 문제점
- CI 값은 결국 개인마다 부여되는 고유의 값으로, 사용자와 1대1 매핑이 되어 해당 값이 유출되면 사실상 주민번호가 유출된 것과 동급이다.
-> 한 곳에서 유출 되면 다른 곳에서 피해가 발생할 수 있다. - 해당 값이 유출이 되어도 사용자에게는 수정할 권한이 없어 대응하기 어렵다.
- DI는 법적 보호를 받지 못한다.
-> 주민등록번호는 법령에 의해 수집과 처리가 엄격하게 제한되어 있으나, CI는 개인정보보호법에 규정되어 보호되고 있으나 DI는 그렇지 못하다. - CI & DI는 외국에 존재하지 않는 한국에만 존재하는 폐쇄적인 제도이다.
Reference
- https://blog.naver.com/dlalove35/222869661512
- https://m.blog.naver.com/kcc1335/223362659055
- https://ggonmerr.tistory.com/571
Result
CI/DI 값을 직접 복호화하는 것은 어렵겠지만 모의해킹 간 눈여겨 볼 필요가 있는 사항이 있을 것 같다.
CI 값의 경우 DI 값과 달리 사용자별로 변하지 않는 고유한 값이기 때문에 다른 기관에서 CI 값이 유출되었을 시 이를 이용해 인증 절차를 우회 가능 여부를 확인해 보아야한다.
다음에는 금융보안원에서 발표했던 인증우회 취약점 프로파일링을 분석해보자~