임재호 | 기자 작성일 2026년 03월 27일
연계정보(CI) 보안 체계 개선 관련 생성형 AI 이미지
연계정보(CI) 유출 우려가 커지면서 인증업계 안팎에서 'CI2 전환'과 '유효기간제'가 대안으로 거론되고 있다. CI2 전환은 기존 CI를 새 값으로 한 차례 교체하는 방식이고, 유효기간제는 CI를 일정 기간마다 갱신되는 값으로 바꾸는 방식이다.
CI2 전환은 유출 사고 발생 시 기존 CI를 더 이상 쓰지 않도록 하고 새로운 값으로 일괄 변경하는 개념이다. 이미 노출된 식별값을 새 값으로 바꾼다는 점에서 사고 직후 대응 수단으로 평가받는다. 기존 체계를 전면 폐기하지 않고도 전환 작업에 들어갈 수 있어 단기 대응책으로는 현실적이라는 시각도 있다.
다만 새로 발급한 CI가 다시 유출되면 같은 문제가 반복될 수 있다. 사고가 날 때마다 CI를 전면 교체해야 하고, 그때마다 사업자와 기관은 시스템 수정과 운영 부담을 떠안아야 한다. 이런 이유로 인증업계에서는 CI2 전환을 근본 대책보다 일회성 사후 조치에 가까운 방식으로 보고 있다.
반면 유효기간제는 한 번 발급하면 사실상 평생 유지되는 현행 CI 구조 자체를 바꾸는 방식이다. 일정 기간이 지나면 기존 CI가 효력을 잃고 새 값으로 갱신되는 구조로, CI를 '영구 식별값'이 아닌 '수명 있는 식별값'으로 관리할 수 있다. 유출된 CI도 기간 만료 이후에는 자연스럽게 효력이 사라져 피해 확산을 줄이는 데 유리하다.
보안업계는 유효기간제에 더 무게를 두고 있다. CI2 전환은 사고가 터질 때마다 별도 판단과 전면 교체가 필요하지만, 유효기간제는 정기적 재발급으로 반복 사고에 대한 대응 일관성을 확보할 수 있다. 또 전면 교체 시 재인증 수요가 몰리는 CI2 전환과 달리, 유효기간제는 만료 시점 분산으로 이용자 충격을 줄일 수 있다.
보안업계 관계자는 "무기한 보관되는 개인정보는 잠재적 유출 사고의 위협이 항시 존재한다"며 "연계정보 유효기간제 도입은 사고 발생 시 유출 피해를 물리적으로 제한할 수 있는 가장 확실한 방안"이라고 말했다.