[공동성명] 주민번호 전철 밟는 CI(온라인 주민번호) 유출 사고, CI 즉각 폐기하라

티빙에 이어 우리카드에서도 온라인 주민번호 CI 유출

CI 제도 근본적 변화 없이는 국민들만 평생 피해 

정부는 CI 대규모 유출 대책 즉각 마련하라!

또다시 온라인 주민번호 CI(연계정보)가 유출되었다. 지난 7월 3일 우리은행은 공지를 통해 고객 닉네임과 CI 정보 1만 7,551건이 유출되었다고 알렸다. 얼마 전 티빙에서도 CI를 포함한 1,953만 명의 개인정보가 유출됐다. 2024년 여행사 모두투어에서 연계정보가 유출된 데 이어 지난해에는 롯데카드에서 연계정보와 주민등록번호가 동반 유출되었고, 편의점 CU의 택배를 운영하는 BGB 네트웍스 개인정보가 유출되는 등 CI 대규모 유출사고가 끊임없이 이어지고 있다. 그럼에도 정부는 이에 대해 아무런 대책을 내놓지 않으며, CI 제도 폐지 요구를 외면하고 있다. 우리 단체들은 정부가 CI 제도를 폐지하고 인터넷 본인확인 제도를 근본적으로 개편하고 국민을 보호할 수 있는 대책을 즉각 마련할 것을 강력히 요구한다.


CI는 국민이 출생할 때부터 사망할 때까지 변하지 않는 주민등록번호와 1:1로 매치되는 온라인 주민번호이다. 따라서 유출된 CI는 우리나라 전 국민의 신원을 온라인에서 식별하는 데 악용될 수 있다. 게다가 거의 모든 공공기관과 인터넷 기업들이 국민 식별을 위해 CI를 쓰고 있는 상황인 만큼, 더 많은 출처의 개인정보가 CI를 매개로 연결되고 통합될 우려가 있다. 그럼에도 국민 개개인들은 주민등록번호를 바꾸지 않는 이상 CI를 변경할 수 없기 때문에 평생 동안 피해에 노출될 수밖에 없다.


2024년 모두투어, 2025년 롯데카드, 2026년 티빙과 CJ ONE에 이어 우리카드까지 CI 유출 사고는 계속되고 있으며 앞으로도 끊이지 않을 것이다. 롯데카드에서는 CI와 주민등록번호가 한꺼번에 유출되기도 했다. 특히 최근의 CI 유출 사고는 기업들이 인터넷에서 국민의 CI를 “필수정보”로 수집하여 대규모로 보관하였다가 사고를 냈다는 점이 공통적이다. 우리은행에서도 회사의 특정 프로젝트에서 고객을 식별하기 위한 필수적 수단으로 CI를 수집하고 보관하였다가 외부업체에서 유출된 것이다. 대부분의 기업들이 CI 수집과 이용에 대해 형식적으로는 정보주체들에게 동의를 받지만 문제는 이를 ‘필수정보’로서 처리하고 있다는 데 있다. 이 과정에서 정보주체인 국민들은 자신의 주민등록번호와 매칭되는 CI가 언제 생성되었고 인터넷 기업들이 어떻게 처리하고 있는지 실질적으로 알고 있거나 선택조차 하고 있지 못한 실정이다.


기업들이 수집 명목으로 주장하듯이 인터넷 서비스에 CI가 정말로 필수정보로서 꼭 필요한 정보인지 묻지 않을 수 없다. 기업들은 고객을 편리하게 식별하고 제휴사와 공유하기 위하여 CI를 필수적으로 처리해야 한다고 주장한다. 그러나 CI는 결코 서비스 제공에 필수적인 정보가 아니다. 티빙 서비스의 경우에도 인터넷 방송서비스를 제공하는 것이고 이 서비스 제공에 국가적인 국민식별정보인 CI가 필수적이고 본질적인 요소는 아니다. 결국 CI를 수집하고 처리하는 것은 정보주체를 위한 편의가 아니며 오로지 한국 인터넷 기업들이 한국 국민을 편리하게 식별하고 제3자와 공유하기 위한 편의일 뿐이다. CI를 수집하는 인터넷 기업들의 관행은 목적에 필요최소한의 개인정보만을 수집하도록 한 개인정보 보호 원칙을 정면으로 위반하고 있다.


이러한 배경에는 정부가「정보통신망 이용촉진 및 정보보호 등에 관한 법률」(제23조의5)을 개정하여 모든 전자정부서비스, 금융 마이데이터, 인터넷서비스 등에서 범용표준식별자로 CI를 사용하도록 한 데에 근본적인 원인이 있다. 그런데 해외 인터넷서비스 어디서 우리 국민의 CI 정보를 수집하고 이용하는가. 글로벌 인터넷 서비스에서는 이용자를 식별할 수 있는 방법으로는 생년월일, 휴대전화 번호나 여러 정보의 조합 등 다양한 방식이 사용되고 있다. 최근 온라인 국민 식별 방법을 고민하는 유럽이나 미국에서도 국민 고유식별정보를 수집하고 이용하고 있지 않다. 평생 변치 않는 국민 고유식별부호가 한번이라도 유출되면 평생에 걸쳐 위험에 노출될 수밖에 없기 때문이다. 국민 고유식별정보는 엄격한 비밀과 보안이 보장되고 그 용도를 엄격히 제한해야 마땅하다.


최근 계속되는 CI 유출사고를 보며 십여 년 전 마찬가지로 주민등록번호가 빈번하게 유출되던 상황이 떠오르지 않을 수 없다. 국가와 인터넷 기업들이 온라인에서 국민을 고유하게 식별하기 위해 대규모로 주민등록번호를 수집하고 이용하자 결국 대규모 유출사고가 이어졌고, 보이스피싱을 비롯해 주민정보 유출로 인해 국민 피해가 심각해졌다. 이에 2014년부터는 법적 근거가 없는 일반 인터넷 서비스에서 주민등록번호를 처리하는 것이 금지되었고(개인정보보호법 제24조의2), 2017년부터 유출 피해자의 주민등록번호를 변경해주는 제도가 도입되었다(주민등록법 제7조의4). 아직도 많은 국민이 과거 유출된 주민등록번호를 악용하는 보이스피싱 등으로 고통 받고 있으며, 지난 6월 기준으로 누적 건수가 1만 2630건에 이른다. 이제 온라인 주민번호인 CI도 똑같은 위험에 처해 있다.


평생 변치 않는 온라인 주민번호가 유출되면 그 피해를 감당해야 하는 것은 우리 국민들이다. 계속되는 CI 유출 사고로 향후 어떤 규모의 피해가 어떻게 국민에게 돌아올지 예측조차 하기 어려운 상황이다. 인터넷 기업들과 국가는 마땅히 CI 유출 사고와 재발 방지에 대한 대책을 내놓아야 한다.


우선 인터넷 기업들은 서비스에 필수적이지 않은 CI 수집을 즉각 중단하고 특히 유출된 피해자의 CI를 즉각 삭제하거나 그 처리를 정지하여야 한다. 지금까지 인터넷 기업들은 CI 정보가 서비스에 필수적이라는 주장을 고수하면서 이용자들의 CI 삭제 및 처리정지 요구를 거부해 왔다. 따라서 CI 제도의 주무부처인 방송미디어통신위원회와 개인정보보호를 소관하는 개인정보보호위원회는 인터넷 기업들이 CI를 과도하게 수집하였다가 유출시킨 실태를 즉각 조사하고 인터넷 기업들의 관행 혁파에 나서야 한다.


나아가 정부는 국가적 차원에서 CI 유출에 따른 국민 피해가 평생에 이르지 않도록 CI 제도 변경에 착수하여야 한다. 특히 방송미디어통신위원회는 국가적으로 획일적이고 고유한 방식으로 CI를 부여하는 제도를 폐지하고 인터넷 본인확인 제도를 개인정보 친화적으로 개선해야 한다. 만약 방송미디어통신위원회가 인터넷 기업들의 CI 제도 오남용을 방관하고 심지어 제도적으로 조장하는 업무를 계속한다면 차제에 CI에 대한 사무를 주민등록번호나 다른 고유식별정보의 보호를 소관하는 개인정보보호위원회로 이관하는 것이 바람직할 것이다.


한편, 헌법재판소는 국민의 개인정보자기결정권을 보호하기 위하여 2012년 주민등록번호의 유출 사고를 비판하며 인터넷 본인확인제 위헌을 결정하고, 2015년 주민등록번호 변경을 불허하는 당소 제도가 헌법불합치라고 결정한 바 있다. 이에 우리 단체들은 지난 2024년 10월 CI를 국민 범용식별자로 널리 생성하고 이용하도록 한 정보통신망법 제23조의5에 대하여 헌법소원을 제기했다. 주민등록번호에 이어 또다시 CI 정보가 대규모로 유출되면서 잇따른 피해로 고통받고 있는 국민을 보호하기 위하여 헌법재판소가 단호한 결정을 내릴 것을 촉구한다.

2026년 7월 7일
디지털정의네트워크, 민주사회를위한변호사모임 디지털정보위원회, 정보인권연구소, 참여연대



공동성명 [원문보기/다운로드]

정부지원금 0%, 회원의 회비로 운영됩니다

참여연대 후원/회원가입