2007년 03월 03일

OpenID, 애매한 포지셔닝

지나다... 님께서 OpenID의 장점 및 필요성에 대해서 궁금해하신 덧글을 달아주셨습니다. 덧글을 달다보니 글이 길어져서 포스팅합니다.

OpenID의 포지션이 애매한 건 사실입니다. 제가 생각하는 장점은 지나다 님이 말씀하신 내용과 동일합니다. 편리하면서도 최소한의 신원확인 기능을 제공해 주는 것이죠.

익명게시판에는 자신의 신원이 전혀 드러나지 않습니다. OpenID는 자신이 만든 url이 사용되기 때문에 신원 확인이 가능합니다. 그리고 SSO(Single Sign-On) 기능이 제공되기 때문에 한 번 로그인 만으로도 다른 사이트에서 자유롭게 OpenID를 사용할 수 있습니다.

사용자 입장에서는 SSO 기능, 신원 확인 기능을 통해 자신을 쉽게 드러낼 수 있다는 것이 장점입니다. 동일한 OpenID를 사용함으로써 reputation을 기대할 수도 있습니다.

사이트 입장에서는 악플러를 차단할 수 있습니다. 블로그를 운영하신다면 익명 악플러들에게 시달려 본 적이 있을 겁니다. 그렇다고 덧글 하나 남기려고 해당 사이트에 가입하는 것도 상당히 귀찮은 일이죠. 그래서 OpenID를 허용하는 사이트는 사용자의 불편함을 줄여주면서 신원 확인까지 가능해집니다.

개인 정보 기입이 부실한 것은 OpenID와 관련없는 부분입니다. 가입, 인증 부분은 스펙에서 언급하지 않거든요. 인증이 강화된 OpenID 서버는 조만간 등장할 것입니다. 하지만 고작 블로그 덧글다는 수준의 작업을 하는데, 높은 수준의 인증을 굳이 거쳐야 할지는 의문입니다.

또한 OpenID에 신뢰 모델이 없는 것 또한 문제입니다. 익명 OpenID 서버(http://www.jkg.in/openid/)는 OpenID의 문제를 보여줍니다. 이 서버에 접속하기만 해도 자동으로 OpenID를 발급받아 사용할 수 있습니다. 최소한의 신원확인 절차가 사라지기 때문에 OpenID의 장점이 쓸모없어집니다.

OpenID가 활성화되기 위해서는 신뢰 모델이 절실합니다. OpenID의 가장 큰 장점이 fully decentralized 방식으로, 누구나 OpenID 서버나 클라이언트를 만들어서 사용할 수 있다는 것입니다. 하지만 이런 장점이 OpenID의 사용 분야를 한정짓는 문제를 가져오는 것입니다. 다행히 최근 스펙 작업에서는 신뢰 부분을 추가하고 있다고 합니다. OpenID 측도 문제를 확실하게 인식하고 있다는 말이죠.

  

by S_H_Kim | 2007/03/03 07:55 | CardSpace | 트랙백(1) | 덧글(7)

Tracked from STING's Note™ at 2007/03/07 18:03

제목 : 326. 이글루 주소로 오픈아이디 사용
내이글루 주소를 OpenID로 사용하세요 (@ EBC) 가입형 블로그 서비스에서는 최초로 내 블로그의 주소를 OpenID로 이용할 수 있도록 제공하게 되었습니다. 요거 해보니까 가입형에서는 최초이지 않나 싶다..(제대로다 ^^) 현재 일반적으로 적용되어 있는 openID 중에서 설치형 이외에는 ***.myid.net, ***.openid.net의 인증서버 주소가 사용되어 지는데 (물론 피사용자 인증을 받아서 닉네임으로 변경할수는 있......more

Commented by 지나다.. at 2007/03/03 09:02
구체적인 답변 감사합니다.
아직은 인증부분에 보완이 더 돼야 하고 추가가 될 예정이란 말이죠? 기존의 아이디 보유자도 추후에 재인증을 해야 되겠네요.
그렇게 되면 한사람당 오픈아이디 몇개까지 보유 할수 있게 될지...
그게 아니라면 스팸이나 악플 문제는 변하지 않을테니까요.
그리고 오픈아이디의 기술이나 정보는 어느 한 곳에 귀속되지 않는단 글도 봤는데, 의문이야 만들기 마련이겠지만 인증 된 개인정보는 먼저 어디든 한 곳에 기록 돼야 하니 개인정보 유출문제나 소유성에 대해선 아직 의문이 들긴 하네요.. 걱정만 태산인가요?ㅎㅎ
Commented by S_H_Kim at 2007/03/05 10:26
/지나다..님, 스팸이나 악플 문제는 OpenID에서도 여전히 문제가 될 것입니다. 한 사이트에서 강화된 인증을 제공한다고 해도, 전체 OpenID 서버가 그러지 않는 이상은 쓸모가 없죠..
그리고 개인정보는 해당 OpenID 서버에만 유지되기 때문에 유출문제에 대해서는 그다지 걱정하지 않으셔도 될 것 같습니다. 하지만 추후에 나오게 될 스펙에서는 개인정보를 교환할 수 있는 기능이 추가되기 때문에, 사용자의 명시적인 동의가 없다면 문제가 되겠죠..
좋은 질문 감사합니다. 많은 것을 생각하게 만드는 질문이네요^^
Commented by 백주성 at 2007/03/05 11:57
SAML : OpenID = 사전 등록제 : 완전 개방제
라고 볼 수 있죠. OpenID 의 모델은 EMAIL 과 동일합니다. EMAIL 은 기본적으로 신뢰를 문제삼지 않고 모든 메일 전송 요청을 허용합니다. OpenID 도 마찬가지죠. EMAIL 이 스팸문제를 해결하기 위해서 사용하는 '서버 등록 과 서버 제한' 등의 방법이 동일하게 OpenID 에서도 사용될 것으로 보입니다. 또는 Open API 의 traffic 제한 처럼 테스트용으로 일부 허용하다가 실 서비스를 위해서는 RP가 신뢰하는 OpenID Provider 만을 허용하는 모습이 될 듯 ^^
Commented by S_H_Kim at 2007/03/05 12:32
/백주성님, 그러고 보니 email과 Openid는 거의 유사하군요. 어쩔수 없이 신뢰 모델이 도입되어야만 할 것 같은데, 그러면 Openid의 기본 컨셉을 거스르는 문제가 생기지 않을까요? 저는 이 부분이 OpenID의 딜레마라고 생각합니다.
Commented by 백주성 at 2007/03/05 13:35
모든 OpenID Provider 에 대해서 개방하고, 문제가 되는 OpenID Provider 들을 서비스 제공자들이 걸러내는 형식이죠. 기본 컨셉을 거스른다 라기 보다는, '서비스 제공자' 가 알아서 해야 한다는 OpenID 컨셉이죠. ^^
서비스 제공자 입장에서는 이 부분이 부담이네요. 대응 모델은 블로그 트랙백 스팸 방지 기능 과 스팸 메일 방지 모델들이 될 수 있을 것 같습니다. Daum 의 '온라인우표제' 와 같은 등록모델 ( SAML ) 은 필패 의 확률이 높을 거 같구요.
Commented by S_H_Kim at 2007/03/06 09:34
/백주성님, 말씀하신 대로 서비스 제공자가 별도로 신뢰 기능을 넣기에는 너무 부담됩니다. OpenID는 오픈되어 있다는 장점만 취하고, 오픈에 따른 문제를 out-of-scope로 처리하는 것은 OpenID의 활성화에 스스로 발목을 잡는다는 느낌입니다. 그렇다고 스펙에 신뢰 모델을 넣는 것은 오픈되어 있다는 장점을 깍아내리는 입장인 것 같습니다. 그래서 '딜레마'라는 표현을 쓴 것입니다^^;

OpenID의 신뢰 모델은 어떻게 되어야 한다고 생각하시나요? whitelist나 blacklist가 될 수도 있고, 특정 사이트에 신뢰 정보를 의존하거나 개별적으로 관리하는 모델이 될 수도 있겠죠.. OpenID는 어떤 모델을 선택할지 궁금합니다.
Commented by Sean at 2007/03/14 15:51
신뢰 문제는 제가 옛날부터 얘기해온 것인데 이걸 이제 고민하다니요.. 그렇지만 신뢰 모델을 집어넣는 순간부터 "open"이라는 기치가 가져다준 장점은 모두 사라질 것으로 생각됩니다. ayo님의 마지막 커멘트가 이러한 생각을 잘 나타내주고 있네요.. "딜레마", 처음부터 길이 아니었던거 같은데.. 이제와서 고민을 한다고 답이 나올까요..
※ 이 포스트는 더 이상 덧글을 남길 수 없습니다.

◀ 이전 페이지다음 페이지 ▶