Korean Identity Management(KIM)

2007년의 ID관리 분야를 살펴보면, '사용자 중심(User-Centric)의 ID 관리' 분야가 엄청나게 성장한 것을 확인하실 수 있습니다. 사용자 중심의 기술은 기존의 ID 관리 기술과 비교할 때, 상대적으로 낮은 신뢰도와 스펙의 안정성을 보이고 있습니다. 주로 블로그 로그인이나 덧글 달기에 사용되었었죠. 하지만 최근에는 사용자 중심의 ID 관리 기술을 기업 차원에서 사용하려는 시도가 이루어지고 있습니다. 2008년에는 그 시도가 성과를 보일 것이라는 예측 또한 존재합니다.

기존의 ID 관리 기술조차 '사용자 중심'의 서비스를 지원한다고 말해야 하는 상황이죠. IdM Journal의 Dave Kearn이 언급한 것처럼, '사용자 중심'이란 키워드는 ID 분야에서 종교로 떠받들여 지고 있습니다.

The “user centric” mantra is becoming to identity what the “religious” wars of the 1980s and 90s (DEC vs. Sun, Windows vs. OS/2, Novell vs. Microsoft, etc.) were to hardware and operating systems – more of a distraction than anything. [1]

Digital ID World의 Eric Norlin은 2008년에 '사용자 중심의 ID 관리 기술들은 '사용자 중심'을 강조하지 않을 것임'이라고 예측했습니다. 실제로 여러 환경에 도입되기 위해서는, 이상적인 '사용자 중심' 개념 대신에 실제로 무엇을 해줄 수 있는지에 초점을 맞추어야 합니다.

"User-centric" identity protocols will stop calling themselves "user-centric".. In so doing, the "folks in the know" in that movement will *stop* prefacing everything they say with the words "user-centric," as they realize that their protocols may have been designed with that laudable goal in mind, but the terminology is just getting in the way. Instead of describing an ideal, they'll begin describing what they *do.* [4]

Pamela Project의 Pamela Dingle 또한 '사용자 중심'이라는 용어에 부정적인 반응을 보였습니다. '사용자 중심'의 컨셉은 기업 분야에서는 아무 의미도 없다고 합니다. 기업의 요구 사항으로는 프라이버시, 데이터 유지 최소화, 최소화된 외부 노출(해킹 대비) 등이 있는데, 현재 '사용자 중심'이라는 타이틀이 붙은 솔루션들은 전혀 도움이 안된다고 말했습니다. 따라서 기업 관계자들은 단순히 '사용자 중심'이라는 유행에 휩쓸려 솔루션을 구매하지 말고, 실제로 도움이 되는 제품을 구매하라고 조언하였습니다.

If you take all of the tools out there that have had the ‘user-centric’ tag associated with them, and try to shoehorn any one of them into an Enterprise based on the moniker alone, I will laugh at you, as one IT professional to another. [3]

Ping Identity의 Patric Harding은 '사용자 중심'이 기업에 적용되기 위해서는 광범위한 신뢰 모델이 필요하다고 말했습니다. 고객에게는 도움이 될 지 모르겠지만 내부 직원에게는 아니라는 것, 기업이 유지하는 하나의 IdP 아키텍처에서는 '사용자 중심'의 여러 IdP 모델이 적합하지 않다는 것, SAML과 같은 기존 스펙 또한 '사용자 중심' 요소를 가지고 있는 점 또한 문제가 됩니다. 기업이 사용자의 정보 보호와 관련된 위험 부담을 회피하는 성향 때문에, '사용자 중심'의 새 기술이 쉽게 도입되지 않을 것이라는 예측 또한 신빙성이 있습니다.

But we’re a ways off from a robust enough ecosystem and trust model to support this in mass.
Investments in employee strong authentication will only further centralize this point. [2]

Microsoft의 Mike Jones는 CardSpace는 기업의 요구사항인 Phishing 문제에 적절히 대처해주기 때문에 유용하지 않냐고 반문했습니다. 맞습니다. 하지만 고객과의 접점에서 Phishing 문제를 해결해 준다는 이점만으로는 '사용자 중심'의 ID 관리 기술이 쉽게 도입되지는 못할 것이라는 판단입니다. 좀 더 유용한 서비스를 제공해 주어야하겠죠.

'광범위한 신뢰 모델'을 제공하는 것도 한 방안입니다. 쉽게 모델을 구축할 수 있도록 간단하면서도 효과적인, 그러면서도 안정성을 보장하는 방법을 제시하면 됩니다. 달성하기 어려운 문제이기는 하지만, 처음부터 안된다고 포기하는 것보다는 끊임없는 수정을 통한 보완이 좀 더 긍정적인 접근일 것입니다. 그리고 '강력한 인증 기술'을 제공하는 방안도 좋습니다.

'사용자 중심'의 솔루션들이 해야 할 일은, 이상적인 개념의 소개가 아니라 실제로 얼마나 도움이 되는지를 실제로 보여주는 것입니다. 올해는 '사용자 중심' 기술들이 냉정한 평가를 받는 동시에, 이점이 증명된 분야에 적극적으로 도입이 될 것입니다. 제목에서 언급했듯이, 사용자 중심이라는 타이틀보다는 서비스로 승부해야 할 시간입니다.

I would like to see Enterprises adopt technologies such as the Identity Metasystem for no other reason than because it helps their business to succeed.[5]

레퍼런스
[1] Not giving a hoot about 'user centric', http://idmjournal.com/
[2] http://blog.pingidentity.com/blog/ctotalk/2007/11/19/User-Centric-Identity-Within-the-Enterprise
[3] http://eternaloptimist.wordpress.com/2007/12/11/where-does-philosophy-end-and-problem-solving-begin/
[4] http://blogs.csoonline.com/identity_predictions_it_begins
[5] http://self-issued.info/?p=52