온라인 서비스의 CI활용

2019. 7. 26

이 진 규

CPO/DPO/CISO of NAVER Corp.

CIPP/E, CISA, PMP, PIMS&ISO27001 Auditor

현재의 주민등록번호 체계는?

Source: 행정안전부국가기록원, “국무조정> 주민등록번호체계확립“, 2014. 2. 20, URL: http://www.archives.go.kr/next/search/listSubjectDescription.do?id=005060&pageFlag=

1975년 (주민등록법) 시행규칙 39차개정에서제1조의내용을 “주민등록법시행령(이하 ‘영’이라한다) 제3조의규정에의한주민등록번호는생년월일, 성별, 지역등을표

시할수있는 13자리의숫자로작성한다.”고변경함으로써현재의주민등록번호조합체계가완성이되었고, 이후대한민국의모든국민은 13자리의주민등록번호를발급

받게되었다.

국가기록원 –주민등록번호체계확립 (2014. 2. 20)

주민등록번호의 문제점?

Source: 이민영(Internet and Information Security 제2권제1호), “주민등록번호취급의개인정보보호법정합성“, 2011. 5., p. 92-93, URL: https://www.kisa.or.kr/jsp/common/libraryDown.jsp?folder=9012207

주민등록번호는 13자리숫자로구성되어있으나생년월일, 성별, 연령, 지역등개인에관한기초정보를확인할수있으며, 자동차, 주소, 호적, 부동산, 교육, 보험등공공

기관대부분의정보는이기초정보를토대로하고있다.

주민등록번호는국가가국민에게부여하는고유번호로공공기관뿐만아니라민간분야에서도광범위하게사용되고있지만, 이와같은주민등록번호는별도의장비없

이번호자체만으로도몇몇개인정보를알수있고다른개인정보를알수있는키(key) 역할을할뿐만아니라, 영구적으로변하지않기때문에한번노출되면지속적으로

프라이버시를침해당할가능성이크다.

그럼에도불구하고관리가편하고국민누구나가지고있으며상업적가치도크기때문에인터넷홈페이지에가입할때해당가입자의주민등록번호를필수적으로입력

하도록요구하는경우가많다. 이렇게주민등록번호가여러사이트의데이터베이스에서관리되면서주민등록번호가유출되거나불법적으로사용되는등의문제가발

생하고있을뿐만아니라, 주민등록번호를연결고리로한개인의성향이나행태에관한정보를재생산하여상업적으로판매하는경우까지등장하고있다.

주민등록번호취급의개인정보보호법정합성 (2011. 5., 이민영)

“주민번호는유일성, 평생불변성등의특징으로인하여한번유출시에도지속적인피해가발생할수있는중요한정보…”

주민등록번호수집금지제도가이드라인 (2014. 1. 20, 행정안전부)

CI (Connecting Information)은?

CI (Connecting Information)의 실제 모습은?

yCP7v5vRAX9GVCEmHQrzi5UtjzglzqZZlC3lGRqrdzrfJz41S0M6yxB8i7eHLgo6WGXIJ8r7hWGouc1/SBajMw==

eUJFJHEgQNSx3Ek3ePh47RKsCqAlNeSU5mXmJ/WrKEd93rT3RONSRGArmUbYMbenhc41StKP3oW1qgBGZgnfcQ==

JFcfLhljY+pWGDkDSofB6W/F6kBwQLu0j9hgC7iQ9pPju0dGQNSIBRRmtu1WPLXWvtuMCizvWBFvBFTUN4h9lg==

Real Example

Source: S 평가정보, “아이핀서비스도입제안“, 2015 (offline으로제공되는사업제안서중발췌)

CI가 가장 민감하고 유일한 식별자(identifier)인가?

Source: 이진규, “인터넷쿠키(Internet Cookie)”, 2017. 6., URL: https://www.slideshare.net/callmejk/internet-cookie

왜 CI는 신뢰할 수 있는 정보인가?

관리의투명성

-정부에의한높은수준의관리, 결과의공개

범용성

-온, 오프라인연계

신뢰성

-본인확인절차에의해생성, 제공

낮은식별성

-암호화된문자열

사용제한성

-본인확인, 연계, 식별및그에준하는목적외사용제한 (불분명하다는논의존재)

identifier ID surname name phone age email_other

0001 beckham_01 이 나래 01087538766 44 dnoue@naver.com

0002 caist 김 요한 01099875489 32 korkor@naver.com

0003 koe3soke 박 순정 01086589377 19 koe2soke@naver.com

0004 babobabo87 윤 호경 01076549813 22 babobabo99@daum.net

0005 btsbts0101 변 ㅅ환 01085498701 24 btsforever9999@gmail.com

id_no_hashed email m_phone h_phone birth_date full_name

hs873kskqw3 dnoue@naver.com 01087538766 029876547 19750301 이나래

1xn$srkxj38 korkor@naver.com 01099875489 0348769898 19871109 김요한

sfj84_24jfs89 koe2soke@naver.com 01086589377 0529876766 20000589 박순정

1jf$$#9))00 babobabo99@daum.net 01076549813 020000000 19970517 윤호경

cd340fk26#!2 btsforever9999@gmail.com 01085498701 01085498701 20010101 변시환

마일리지, 포인트, 온오프연계예약등

거래관계에서의 ‘정합성’확인이필요

CI의 활용이 왜 중요한가?

① A사와 B사간공통식별자생성에대해협의 – 예) “Hash(SHA256, 이름 + 이메일주소 + 전화번호)” 생성

- 어떤 hash algorithm을사용할것인가? Salting 등추가보안조치는어떻게할것인가?

② A사와 B사건 API 를통한 Hash Value 교환또는 TTP를통한확인업무수탁

- API spec.은어떻게결정할것인가? API 보안은어떻게할것인가? 어떤 TTP와계약을할것인가? TTP에대한수탁자감독은어떻게할것인가?

③매칭되지않는대상자에대한 ‘예외처리’ 절차진행 – 예) 에러코드 (설명) 노출및오프라인본인확인절차진행안내

- 매칭되지않는원인은무엇인가? (부정합데이터? 데이터교환과정및비교과정오류?), 부정합데이터확인에대한개인정보 3자제공처리는어떻게할것인가? 오류에대한설명은어떻게할것인가? 오프라인상황별

CS Manual은갖추어져있는가?

DI에 의한 연계는 왜 문제가 되는가?

Synchronization의어려움

-연계에필요한 2개이상의사업자가각기보유한 DI값을 ‘연계기관’에던져서, 양 DI가일치한다는회신을받아야함

-이과정에서, sync를 100 % 보장하기어렵고어느한쪽의장애로인해다른한쪽까지서비스제공에영향을받는 dependency risk가발생

-또한, 연계기관이모든사업자별 / 이용자별매칭되는 DI값의 set를보유하고있다는것이전제되어야하는데, 이는현실적으로구현이어려움

ㄴ또는, 연계기관들이공동의 DB Pool을공유할수있으나, Single Point of Failure를만드는것이어서바람직한구현은아님

복잡한 DB구조의형성및연계성증대

- A라는이용자에대해 B, C사가각기다른 DI값(B사 – DI 1, C사 – DI 2)을보유하고있는데, 이를 ‘연계기관’에던져서동일인여부를확인하게됨. 그런데, 향후서비스연계

를위해서는상대방이가지고있는 DI 값을교환하거나 (즉, DI 1 + DI 2를한 DB에저장), 상대방이용자에부여된식별자(identifier)를 DI와함께저장해야함. 즉, (DI 1 + C사

identifier, 또는 DI 2 + B사 identifier)

-이는서비스연계가확장될때마다 DB를지속확대해야함을의미하며, 제휴상대방이용자의 DI를받아오거나, 식별자(identifier)를받아와야하기때문에결국특정이

용자에대한 ‘연계성’을높이는불합리한결과가발생함

-특히 (DI 1 + DI 2 + … + DI n)은단일한 CI를운영하는것에 ‘실질적으로수렴’하는결과를나타내므로 DI 활용실익이없음

CI활용 실제 사례 (1)

Broadband 제공 A사

-제공하는콘텐츠(영상등)를웹사이트가제공(CP)하고그에따른이용기록공동확인

-이용고객에대하여포인트, 쿠폰제공

- CP로부터제공받는콘텐츠소비에대한이용자별통합과금서비스제공

자동차판매업 B사

-할부금융거래를위해캐피탈사에게본인확인된정보제공, 할부금융거래신뢰확보

-카드사적립등의원활한처리를위한신용카드사연계정보제공

간편결제 C사

-포인트적립및사용에대한승인및정산

- OO포인트카드관련제휴업무수행

문화재단 D

-공연관련결제시, OO 제휴포인트적립

-문화재단과 OO 계열사간회원활동통합관리

건설업종 E사 (채용)

-직무능력검사기관에서의대상자확인및결과공유

- OO 그룹사와의응시자채용전형공통활용

스마트스피커서비스제공 F사

-서비스연계된음식배달기업에 OOO 멤버십연동에따른할인등대금정산

-은행에서의계좌및거래확인

글로벌리테일 G사

-제휴카드발급자의확인, (탈퇴시) 제휴서비스중지및부가정보공유

-제휴사간상호포인트전환

핀테크 H사

-연계된금융기관에서의계좌개설및본인확인

-펀드소액투자서비스제공

-투자정보관리및중복가입방지

온라인서비스제공 I사

-판매자중복가입방지및 FDS(Fraud Detection System)

-포인트교환시사용자정보활용

-신용카드등록시본인확인정보교환

-극장예매자에대한본인확인및포인트적립 (또는중복적립제한)

[종합]

①주민번호의수집, 보관으로인한위험의예방

②식별성높은개인정보(들)의교환필요성대체

③어뷰징방지및 FDS를통한피해예방

CI활용 실제 사례 (2)

특정금융거래법에따른 "고객확인의무“ 준수를위해고객의 ‘실지명의(실명및주민등록번호)‘ 확인필요

-전자금융업자들이주민등록번호수집/저장위험성을확인, 금융위원회에건의진행

-이에, 금융위원회는주민등록번호대신 CI를수집/저장할수있도록특정금융거래법시행령및감독규정개정

-법제에의해 ‘피싱이용이해질수있는상황’을예방한것 (CI가존재하지않았다면주민번호수집에따른각종부작용재현될수있었음)

특정금융거래법제5조의2(금융회사등의고객확인의무) ①금융회사등은금융거래를이용한자금세탁행위및공중협박자금조달행위를방지하기위하여합당한주의(注意)로서다음각호의구분에따른조치를하여

야한다. 이경우금융회사등은이를위한업무지침을작성하고운용하여야한다. <개정 2014. 5. 28.>

1. 고객이계좌를신규로개설하거나대통령령으로정하는금액이상으로일회성금융거래를하는경우: 다음각목의사항을확인

가. 대통령령으로정하는고객의신원에관한사항

나. 고객을최종적으로지배하거나통제하는자연인(이하이조에서 "실제소유자"라한다)에관한사항. 다만, 고객이법인또는단체인경우에는대통령령으로정하는사항

특정금융거래법시행령제10조의4(고객의신원에관한사항) 법제5조의2제1항제1호가목에서 "대통령령으로정하는고객의신원에관한사항"이란다음각호의구분에따른사항을말한다.

1. 개인(다른개인, 법인그밖의단체를위한것임을표시하여금융거래를하는자를포함한다)의경우: 실지명의(전자금융거래의경우금융정보분석원장이정하여고시하는고객에대해서는실지명의대신성명, 생년

월일및성별등금융정보분석원장이정하여고시하는사항을말한다), 주소, 연락처(전화번호및전자우편주소를말한다. 이하같다)

특정금융거래법감독규정제23조(실지명의에관한사항) ①영제10조의4제1호에서 “금융정보분석원장이정하여고시하는고객”이란법제5조의2제1항제2호에해당하지아니한고객으로서다음각호의어느하나에

해당하는자(「전자금융거래법」제28조제1항단서및같은조제2항단서에따른 「은행법」에따른은행및금융회사를포함한다)와전자금융거래를하는고객을말한다.

1. 「전자금융거래법」제28조제1항

2. 「전자금융거래법」제28조제2항제1호부터제4호

3. 「전자금융거래법시행령」제15조제3항제1호및제2호

②영제10조의4제1호에서 “금융정보분석원장이정하여고시하는사항“은다음각호에서규정하는사항을말한다.

1. 성명, 생년월일및성별

2. 「정보통신망이용촉진및정보보호등에관한법률」제23조의2 제2항에따른대체수단활용으로생성된연계정보

3. 전자금융거래를위해전자금융업자에제공한계좌번호(계좌번호가없는경우에는참조가능한번호를말한다)

CI가 없다면 어떤 문제가?

.

.

....

결국 N:N의관계라는복잡한관계를형성

오류나보안성저하로인한개인정보유출가능성증대

시장지배적사업자가전체시장을지배하는구조로변화

온, 오프라인통합곤란 & 고객 CS 비용증가

만약 해킹으로 인해 CI가 유출된다면?

Q. “CI는그자체로가치가있나?” (X)

A. 이름, 생년월일, 주소, 연락처(휴대전화번호, 이메일등), ID 등과비교하여자체적가치가현저히낮음. User Interaction 단계에서활용할곳이없음

A’. 데이터는내재가치와이용가치를모두고려하여가격을책정하는데, CI의내재가치는산정이곤란하며이용가치는 0에가까움

Q. “다른 Identifier와비교하여여러사이트의정보를용이하게엮어낼수있나?”

A. 10개의사이트를해킹하는경우, 10개모두에 CI가저장되어야있어야함. CI를보유하고있는복수의사이트를해킹하여이용자정보를엮어내야하는부담

A’. 어차피 CI로여러사이트의정보를엮어내더라도, 각사이트의회원 DB정보가정확하다는보장이없음. 특히본인확인기관이내려주지않는주소및이메일은정확성을담보할수없기때문에여러사이트정보를엮

어내더라도부정확한정보가포함될수밖에없는구조임

Q. “가장확실한 Identifier라서가치가높지않은가?”

A. CI 확보의불확실성, (이름+전화번호+이메일주소) 등확보가용이하고결합이쉬운정보로 key를생성하는것과비교했을때,범용성및경제성등에서경쟁력없음

Q. “그래도 <본인확인이된정보>라는측면에서데이터가치가더높다볼수있지않은가?”

A. 본인확인이된정보라도해당정보를활용(예: 대출신청, 온라인회원가입등)할때에는추가적인본인입증절차가존재하기때문에신분증, 본인소유휴대폰등에비해가치가현저히낮음. 본인확인이된정보라

서가치가높다는것은입증되지않았음. 또한해당 CI가 ‘본인확인결과’를입증한다는보장이없음 (해커가허위로생성한정보일수도…)

[psychology] of hackers = value-centered

#Appendix

Resettability

- Who(which personal identification agency) will take the blunt?

- Needs another CI generation protocol for the reset?

- How to deal with the different Cis for the same person?

ㄴ Will updating with the late-generated CI be enough?

- Are resettable identifiers truly untraceable to their predecessors?

Transparency for the purpose of use

- Socket vs. Web Method?

- Who’s to blame?

- What should be done first?

ㄴ Revision of consent rules vs. transparency for the purpose of use

Regulation for the fear of unrealized damage

- Analogy to kitchen knives confiscated & managed by the government?

- Paypal loss rate to frauds (0.28%) vs. Domestic companies (less than 0.1%)

ㄴ by Financial Security Institute (2018. 1. 18)

- balance between security and convenience

ㄴ The right to privacy is not an absolute right, which means it should be balanced against other constitutional

rights