모바일의 고유식별번호 정리
모바일 앱을 기획하다 보면 UUID 및 UDID, IMEI, ADID/IDFA, CI/DI 등 여러 고유식별번호를 접하게 된다. 각 고유 식별정보가 무엇이고 어떠한 용도로 사용되는지 매번 헷갈리는 경우가 많아 정리 차원에서 오랜만에 블로깅을 해본다. :(
UUID(범용 고유식별번호, Universally Unique Identifier)
UUID란?
네트워크 상에서 서로 모르는 수많은 기기들을 식별하고 구분하기 위해서는 각각의 고유한 이름, 즉 ID가 필요하다. 같은 ID를 갖는 기기가 존재한다면 구별이 불가능해지기 때문이다. ID의 고유성을 완벽하게 보장하기 위해 중앙관리시스템이 있어서 유니크한 일련번호를 부여해준다면 쉽고 간단하게 해결할 수 있는 일이겠지만 동시다발적이고 독립적으로 개발되고 있는 개발 환경 하에서 중앙관리시스템을 통한 통제는 사실상 불가능하다. 때문에 개발 주체가 스스로 ID를 짓도록 하되 고유성을 충족할 수 있는 방법이 필요하다. 이를 위해 탄생한 것이 UUID이다. UUID 표준 규약에 따라 ID를 부여하면 고유성을 완벽하게 보장할 수는 없지만 실제 사용 상에서 중복될 가능성이 매우 낮기 때문에 많이 사용되고 있다.
UUID의 형식
128비트의 숫자이며, 32자리의 16진수로 표현된다.
총 36개 문자(32개 문자와 4개의 하이픈)로 아래와 같은 형식으로 작성된다.
UUID 레코드 레이아웃 | |||
이름 | 길이 (바이트) |
길이 (16진수) |
내용 |
time_low | 4 | 8 | 시간의 low 32비트를 부여하는 정수 |
time_mid | 2 | 4 | 시간의 middle 16비트를 부여하는 정수 |
time_hi_and_version | 2 | 4 | 최상위 비트에서 4비트 "version", 그리고 시간의 high 12비트 |
clock_seq_hi_and_res clock_seq_low | 2 | 4 | 최상위 비트에서 1-3비트, 그리고 13-15비트 클럭 시퀀스 |
node | 6 | 12 | 48비트 노드 id |
UUID 예시) 550e8400-e29b-41d4-a716–446655440000 |
UUID의 종류
UUID는 국제 인터넷 표준화 기구인 ietf에서 정식 표준으로 채택된 표준 프로토콜로 RFC 4122 문서를 기반으로 생성한다.
UUID 버전은 1, 3, 4, 5가 있으며 이중 많이 쓰이는 것은 버전 1과 4이다. 버전 1은 타임스탬프를 기준으로 생성되며, 버전 4는 랜덤으로 생성된다. 버전 3은 MD5, 버전 5는 SHA-1 해시를 이용해 생성하는 방식이다. 참고로 애플은 버전 4 방식을 통해 UUID를 생성하고 있다.
개인정보보호법 적용 여부
UUID는 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제 22조 2항을 근거로 개인정보보호법의 대상으로 회원가입 시, 개인정보처리방침 또는 고유식별정보처리방침 등의 약관에 그 수집을 명시하고 사용자의 동의를 받아야 한다.
제22조의2(접근권한에 대한 동의)
① 정보통신서비스 제공자는 해당 서비스를 제공하기 위하여 이용자의 이동통신단말장치 내에 저장되어 있는 정보 및 이동통신단말장치에 설치된 기능에 대하여 접근할 수 있는 권한(이하 “접근권한”이라 한다)이 필요한 경우 다음 각 호의 사항을 이용자가 명확하게 인지할 수 있도록 알리고 이용자의 동의를 받아야 한다.
UDID(고유 기기 식별번호, Unique Device Identifier)
애플에서 제조한 기기(iPhone, iPad, iPod 등)에 부여된 고유한 숫자와 문자로 구성된 40자 길이의 변경이 불가능한 고유식별번호이다.
UDID 예시)
db72cb76a00cb81675f1
9907d4ac2b298628d83c
2013년, iOS 5부터 개인정보보호 강화 목적으로 UDID를 수집 및 사용한 앱은 앱스토어 등록 심사를 거부하며 사실상 UDID의 활용을 금지하였다. 즉 이제는 수집이 불가하다.
안드로이드 ID
안드로이드 디바이스가 최초 Boot 될 때 생성되는 64Bit값으로 고유성을 가지나 디바이스가 리셋되면 변경이 가능하다.
IMEI(국제 모바일 단말기 식별번호, Internatinal Mobile Equipment Identity)
GSM, WCDMA 및 iDEN 휴대폰과 일부 위성 전화를 식별하는 고유번호이다. 때문에 Wi-Fi 전용기기에는 IMEI값을 가지고 있지 않다. 제조사가 휴대폰을 출고할 때 부여되며 형식 승인코드 8자리, 모델 일련번호 6자리, 검증용 숫자 1자리 등 총 15자리로 구성된다. IMEI는 장치를 식별하는 데 사용되며, 휴대폰 분실 혹은 도난 시 통화 차단 목적 등으로 활용되고 있다.
개인정보보호법 적용 여부
국내에서는 IMEI를 민감한 개인정보로 분류하여 사용자의 동의 없이 수집 시 불법에 해당한다는 판례가 있으며, 안드로이드Q 버전부터는 IMEI 수집을 지원하지 않고 있다.
IDFA(Apple ID for Advertisers)와 ADID(Google Advertising ID)
광고 표시 및 광고 최적화, 데이터 기반 타겟팅, 성과 분석 등에 활용 가능한 기기별 고유한 키값으로 Apple은 2012년에 IDFA를, Google은 2014년부터 ADID를 지원하기 시작하였다. 이름만 다를 뿐 용도는 동일하다. 광고 식별자를 통해 개인정보를 노출하지 않고도 사용자를 추적하고 식별할 수 있어 광고주는 이를 사용해 맞춤형 광고를 제공할 수 있다.
애플, 사용자 동의에 의한 IDFA 수집 정책
애플은 WWDC 2020에서 iOS 14를 공개하며 이전보다 강화된 사용자 데이터 보호정책의 실행으로 iOS 14.5버전부터 AppTrackingTransparency(ATT)를 강제하였다. 이는 사용자의 명시적인 동의 없이는 IDFA를 수집할 수 없으며, 수집을 위해서는 사용자에게 ATT 팝업을 통해 동의를 획득해야 한다.
CI(개인식별정보, Connecting Information)와
DI(중복가입확인정보, Duplication Information)
개인정보인 주민번호 수집이 불법이 되면서 주민번호를 수집할 수 있는 통신사 등의 본인확인기관을 통해 본인 인증 후 개인을 식별할 수 있는 연계정보인 CI/DI 정보를 본인인증을 요청한 기업에 전송하게 된다. 해당 정보를 서버에 저장하여 가입 유무를 판단하며 중복 가입을 방지하게 된다.
구분 | 형식 | 용도 |
CI (Connecting Information, 개인식별정보) | 88 byte | 연계정보, 서비스 연계를 위해 본인확인기관에서 부여하는 개인식별정보 서로 다른 인터넷 서비스 간에도 동일 사용자인지 구분 가능한 정보 |
DI (Duplication Information, 중복가입확인정보) | 64 byte | 서비스 별로 각각 관리하는 동일 사용자 구분 수단 한 사람의 명의로 여러 개의 계정을 만들고 악용하는데 막을 수 있는 정보 즉, 한 서비스에 단 하나의 DI만이 존재 |