CI만으로도 개인정보일까?

연계정보(CI)의 법적 성격을 개인정보보호법으로 풀어보기

---

업무중에 CI만 존재하는 경우에는 개인정보로 보지 않아도 되지 않아? 라고 물어 보는 사람이 있어서 찾아본 내용을 정리했습니다.

서론 — CI가 뭔데 이렇게 중요할까?

휴대전화 본인인증이나 PASS앱을 쓰다 보면 ‘CI(Connecting Information)’라는 용어를 스치듯 본 적이 있을 거예요. CI는 주민등록번호를 1 : 1로 변환해 만든 온라인 전용 식별자입니다. 주민등록번호처럼 사람이 읽을 수 있는 정보는 아니지만, 한 사람에게 하나가 고정으로 부여돼 여러 서비스의 계정을 손쉽게 묶어낼 수 있습니다. “그 숫자만 봐선 누군지 모르니 개인정보가 아니지 않을까?”라는 질문이 나오는 이유가 여기 있습니다. ('CI'(Connecting Information) 알아보기 - 캐치시큐, [설계를 해보자] CI와 DI - 기획하는 사람 - 티스토리)

이번 글에서는 “CI만 단독으로 존재할 때도 ‘개인정보’로 보아야 하는가?”를 개인정보보호법과 관련 결정례를 통해 살펴봅니다. 누구나 이해할 수 있도록 최대한 쉬운 언어로 정리했으니, 서비스 기획자·개발자·마케터라면 꼭 끝까지 읽어 보세요.

---

본문

1. 개인정보보호법이 말하는 ‘개인정보’는?

구분 요지

가목	이름·주민등록번호처럼 그 자체로 개인을 알아볼 수 있는 정보
나목	다른 정보와 쉽게 결합해 개인을 알아볼 수 있는 정보
다목(가명정보)	추가 정보 없이는 식별할 수 없도록 가명처리한 정보

개정 개인정보보호법 제2조 1항은 위와 같이 개인정보를 정의합니다. 핵심은 ‘쉽게 결합 가능’이라는 조건이죠. (개인정보 보호법 - 국가법령정보센터)

2. CI의 특성과 ‘단독 존재’ 시 개인정보 해당 여부

특성 설명 결론

고유성	주민등록번호가 바뀌지 않는 한 같은 사람에게 동일 CI가 유지	동일인 매칭이 100 % 가능
결합 난이도	통신사·본인확인기관과의 계약만 있으면 주민번호 매핑 가능	시간·비용·기술 장벽이 낮아 ‘쉽게 결합’ 요건 충족

즉, “한 값만으로는 못 알아보지만, 결합이 너무 쉽다”는 이유로 CI는 나목에 해당합니다. 단독으로 있어도 개인정보로 보는 이유가 여기에 있습니다. ('CI'(Connecting Information) 알아보기 - 캐치시큐, [설계를 해보자] CI와 DI - 기획하는 사람 - 티스토리)

3. 행정해석·판례는 어떻게 말할까?

구분 내용 판단

개인정보보호위원회 의결 (2020-103-007호)

“주민등록번호를 변환한 CI는 다른 정보와 결합해 특정인을 식별할 수 있으므로 개인정보다.”

행정해석상 확정

이 결정 이후 CI를 ‘비(非)개인정보’로 보려는 시도는 사실상 의미가 없다는 게 업계의 공통 인식입니다. (위원회 결정문 | 개인정보보호위원회 > > 심의 · 의결>위원회 결정)

4. CI는 개인정보·가명정보·익명정보 중 어디에 속할까?

유형 CI 해당 여부 이유

개인정보	O	결합 용이성, 위원회 의결 근거
가명정보	△ (기술 측면 유사)	단방향 암호화이긴 하나 ‘추가 정보’가 존재
익명정보	X	복구 불가 요건 미충족, 고유성 유지

실무 팁

• CI를 저장·전송·분석할 때는 개인정보와 동일한 보호·안전조치가 필요합니다.
• 외부 제공 시에는 재식별 위험평가와 법적 근거 확인을 거쳐야 합니다.

---

결론 — 종합 판단과 실무적 시사점

1. 법 조문: 개인정보보호법 제2조 1항 나목
2. 행정해석: 개인정보보호위원회 2020-103-007호 – “CI = 개인정보”
3. 실무 대응: CI를 다룰 때는 개인정보 보호 의무를 그대로 적용

따라서 CI만 단독으로 존재하더라도 ‘개인정보’로 취급하는 것이 법적·행정적으로 안전합니다. “해시값이라 안전하다”는 통념에 기대어 보호조치를 소홀히 하면 위반 위험이 크므로, 업무 프로세스와 내부 지침을 점검해 보시길 권합니다.

---

FAQ

질문 한-줄 답변

Q1. DI만 있으면 개인정보인가요?	대부분의 경우 ‘예’입니다. DI(중복가입확인정보)는 서비스마다 다르게 발급돼 다른 사이트와 연계되지는 않지만, 해당 서비스 내부에서는 하나의 이용자를 확정적으로 식별할 수 있습니다. 그 서비스가 보유한 이메일·휴대전화·구매이력 등과 쉽게 결합되므로 개인정보보호법 제2조 1항 **나목(“다른 정보와 쉽게 결합 가능”)**에 따라 개인정보로 보는 것이 안전합니다. (CI & DI에 대해 알아보기 - iOYES - 티스토리)
Q2. DI와 CI의 차이는 뭔가요?	CI는 어느 사이트에 가도 하나로 고정되는 ‘온라인 주민등록번호’라면, DI는 사이트마다 다른 ‘내부 주민등록번호’입니다. CI는 여러 서비스를 가로질러 동일인 여부를 확인할 수 있고, DI는 해당 서비스 안에서만 중복 가입 여부를 확인합니다. ([설계를 해보자] CI와 DI - 기획하는 사람 - 티스토리)
Q3. 암호화돼 있다는데 왜 보호조치가 필요한가요?	CI·DI 모두 단방향 암호화지만, 본인확인기관(또는 해당 서비스)이 매핑 정보를 보유해 있어 재식별 가능성이 남아 있습니다. 따라서 저장·전송·제공 단계마다 일반 개인정보와 동일한 보호·안전조치를 적용해야 합니다. (주민번호 대체수단 - 본인확인 지원포털 - 한국인터넷진흥원)
Q4. CI·DI를 가명정보라고 등록하면 규제가 줄어드나요?	가명정보 역시 개인정보 범주에 들어갑니다. 재식별 가능성이 남아 있기 때문입니다. CI·DI를 가명정보로 관리하더라도 재식별 위험평가와 법적 근거 확보가 필수입니다.

핵심

• DI만 단독으로 보유해도 해당 서비스 내부에서는 개인을 식별할 수 있으므로 개인정보로 간주.
• CI는 서비스 간 연계가 가능해 보호 수준이 더 높아야 하지만, DI 역시 안전조치를 동일하게 적용하는 것이 현행 법제와 행정해석에 부합.

 

---

한눈에 정리

“CI는 온라인 주민등록번호다. 값 하나만 보고는 몰라도, 결합은 너무 쉬워서 결국 개인정보다.”

CI를 다룰 땐 개인정보보호법 기준으로 안전하게 처리하세요!