2008년 02월 25일
OpenID를 적용한 에스토니아의 국가 ID 체계 구축 사례
에스토니아는 온라인에서 사용할 국가 ID(eID) 체계를 구축했습니다. 그것도 OpenID를 사용해서 말이죠. 그렇다면 에스토니아 사람들은 eID 카드를 많이 쓰고 있을까요? 2007년에 베타테스트를 시작하여, 현재 137만명 인구 중에 90만명이 eID를 발급받았다고 합니다. 에스토니아 사람들은 OpenID를 지원하는 eID 카드를 이용하여 세금 납부, 교통수단 사용, 무선인터넷 사용, 인터넷 투표와 같은 업무를 처리할 수 있습니다.[1] eID 카드로부터 얻을 수 있는 정보는 [3]을 참고하시기 바랍니다.
에스토니아는 사용자 식별 및 인증을 처리하기 위해 스마트카드 와 SIM 카드를 도입했습니다. 카드 내에는 X.509 인증서가 두 개 존재합니다. 하나는 인증용이고, 다른 하나는 서명용입니다. [2] 이 방식에는 두가지 이점이 있는데, 물리장치에 저장된 보안 모듈을 통해 사이트의 신원을 확인할 수 있기 때문에 피싱(phishing) 문제를 해결할 수 있고, 단순한 id/pw가 아니기 때문에 ID 도용 문제를 대처하는데 좋은 방안이라는 것입니다. PKI를 사용하는 것은 국내의 공인인증체계와 비슷한데, 우리나라는 하나의 인증서로 두가지 경우에 모두 사용하죠.
출처: http://ec.europa.eu
우선 기능적 측면에서 바라보면, 에스토니아의 OpenID는 OpenID 2.0 표준을 준용하고 있으며, PAPE 스펙의 기능 또한 제공합니다. OP(OpenID Provider)는 국가가 공인하는 방식으로 운영됩니다. 국가의 공인을 받았기 때문에 그만큼의 신뢰 관계를 통해 다양한 서비스를 제공할 수 있습니다. OpenID가 요구하는 특정 기능 - 모든 OP들을 신뢰하는 RP - 을 배제한다면 사용범위가 더욱 넓어지죠. Sun이 자사의 직원을 위해 개발한 OP , AOL의 신뢰 OP리스트 관리와 같은 맥락입니다.
국가 차원에서 안전한 인터넷 사용 방안을 제시하는 건 바람직합니다. 프라이버시, 익명성, 문제가 발생할 경우 추적성과 관련된 일관된 정책이 있다면 현실 세계와 같은 환경을 온라인에서도 기대할 수 있겠죠. 사회적인 문제로 확대되는 여러 온라인 상의 이슈들을 해결할 수 있습니다.
기술적으로는 OpenID를 사용했는데, 처음에는 굳이 그럴 필요를 느끼지 못했습니다. 그런데 프로젝트 내용 중에서 개발자들이 eID 인증 체계를 이용하여 자유롭게 서비스를 만들 수 있다는 부분을 발견했습니다. OpenID를 준용하기만 하면 된다는 것은 큰 이점입니다. 물론 SAML을 비롯한 표준도 마찬가지로 동작할 수 있지만, 개발자는 OpenID의 간결함을 더욱 선호할 것입니다. 오픈소스 코드 또한 제공되고 있구요.
OpenID이 요구하는 긴 URL은 에스토니아의 eID 체계에서도 마찬가지입니다. 별다른 이야기가 없지만 본인의 복잡한 OpenID URL은 앞에서 언급했던 스마트카드와 같은 인증 장비에 탑재하는 식으로 쉽게 처리할 수 있을 겁니다.
정부가 운영하지 않는다고 해서 빅브라더 문제가 해소되는 것은 아닙니다. 기업이 스스로 안전하게 개인정보를 관리해 줄 것으로 믿기 보다는 정부 차원에서 안전하게 관리하는게 더 믿음이 간다는 사람도 존재합니다. 기업이 보안만을 다루지 않는 이상, 개인정보 보안은 1순위 고려대상이 아닙니다. 그리고 얼마나 안전한 방식으로 개인정보를 관리하는지 여부도 불투명합니다. 국내에서 정부가 직접 통신 내역을 감청하는게 아니라 통신사를 통해 감청하는 것처럼, 기업은 여러 이유(해킹, 관리자의 개입, 외부 요청)로 개인정보를 쉽게 노출하는 경우가 항상 존재합니다. 에스토니아 eID의 경우 개인정보에 접근할 수 있는 권한은 12명에게 국한된다고 합니다. 특정 이유로 해당 정보를 공개해야 할 경우는 재판을 통해서 공개여부를 결정합니다. [1] 중요한 것은 개인정보에 대한 접근 및 사용이 투명하게 이루어지는 절차를 수립하는 것입니다.
에스토니아가 eID를 빠르게 도입할 수 있었던 것은 특수한 환경 덕분이기도 합니다. 우선 137만명의 소규모 국가이고, 국가 주도의 정책에 대한 거부감이 적습니다. 그리고 공인인증체계(PKI)가 전 인구의 67%에 도입되었습니다. [2] 국내에도 PKI 도입률이 높죠. 하지만 에스토니아에 비해 수십배의 인구 규모와 다양한 이해 주체 간의 입장 차가 크다는 문제가 있습니다.
하지만 국가가 공인하는 정보를 사용할 것인지, 본인이 만든 정보를 사용할지는 사용자의 선택입니다. 사용자가 자유롭게 선택할 수 있는 id 솔루션이 필요합니다.
추가로 읽어볼만한 자료
레퍼런스
[1] http://www.notsorelevant.com/2007-05-22/openid-for-all-estonians/
[2] https://www.cosic.esat.kuleuven.be/modinis-idm/twiki/bin/view.cgi/Main/EstonianProfile
[3] http://ec.europa.eu/idabc/en/document/4487/5584
[4] http://www.sakimura.org/en/modules/wordpress/index.php?p=35
[5] http://ma.gnolia.com/people/ChrisSaad/bookmarks/dostatasci
에스토니아는 사용자 식별 및 인증을 처리하기 위해 스마트카드 와 SIM 카드를 도입했습니다. 카드 내에는 X.509 인증서가 두 개 존재합니다. 하나는 인증용이고, 다른 하나는 서명용입니다. [2] 이 방식에는 두가지 이점이 있는데, 물리장치에 저장된 보안 모듈을 통해 사이트의 신원을 확인할 수 있기 때문에 피싱(phishing) 문제를 해결할 수 있고, 단순한 id/pw가 아니기 때문에 ID 도용 문제를 대처하는데 좋은 방안이라는 것입니다. PKI를 사용하는 것은 국내의 공인인증체계와 비슷한데, 우리나라는 하나의 인증서로 두가지 경우에 모두 사용하죠.
출처: http://ec.europa.eu
우선 기능적 측면에서 바라보면, 에스토니아의 OpenID는 OpenID 2.0 표준을 준용하고 있으며, PAPE 스펙의 기능 또한 제공합니다. OP(OpenID Provider)는 국가가 공인하는 방식으로 운영됩니다. 국가의 공인을 받았기 때문에 그만큼의 신뢰 관계를 통해 다양한 서비스를 제공할 수 있습니다. OpenID가 요구하는 특정 기능 - 모든 OP들을 신뢰하는 RP - 을 배제한다면 사용범위가 더욱 넓어지죠. Sun이 자사의 직원을 위해 개발한 OP , AOL의 신뢰 OP리스트 관리와 같은 맥락입니다.
- 장점
국가 차원에서 안전한 인터넷 사용 방안을 제시하는 건 바람직합니다. 프라이버시, 익명성, 문제가 발생할 경우 추적성과 관련된 일관된 정책이 있다면 현실 세계와 같은 환경을 온라인에서도 기대할 수 있겠죠. 사회적인 문제로 확대되는 여러 온라인 상의 이슈들을 해결할 수 있습니다.
기술적으로는 OpenID를 사용했는데, 처음에는 굳이 그럴 필요를 느끼지 못했습니다. 그런데 프로젝트 내용 중에서 개발자들이 eID 인증 체계를 이용하여 자유롭게 서비스를 만들 수 있다는 부분을 발견했습니다. OpenID를 준용하기만 하면 된다는 것은 큰 이점입니다. 물론 SAML을 비롯한 표준도 마찬가지로 동작할 수 있지만, 개발자는 OpenID의 간결함을 더욱 선호할 것입니다. 오픈소스 코드 또한 제공되고 있구요.
OpenID이 요구하는 긴 URL은 에스토니아의 eID 체계에서도 마찬가지입니다. 별다른 이야기가 없지만 본인의 복잡한 OpenID URL은 앞에서 언급했던 스마트카드와 같은 인증 장비에 탑재하는 식으로 쉽게 처리할 수 있을 겁니다.
- 단점
정부가 운영하지 않는다고 해서 빅브라더 문제가 해소되는 것은 아닙니다. 기업이 스스로 안전하게 개인정보를 관리해 줄 것으로 믿기 보다는 정부 차원에서 안전하게 관리하는게 더 믿음이 간다는 사람도 존재합니다. 기업이 보안만을 다루지 않는 이상, 개인정보 보안은 1순위 고려대상이 아닙니다. 그리고 얼마나 안전한 방식으로 개인정보를 관리하는지 여부도 불투명합니다. 국내에서 정부가 직접 통신 내역을 감청하는게 아니라 통신사를 통해 감청하는 것처럼, 기업은 여러 이유(해킹, 관리자의 개입, 외부 요청)로 개인정보를 쉽게 노출하는 경우가 항상 존재합니다. 에스토니아 eID의 경우 개인정보에 접근할 수 있는 권한은 12명에게 국한된다고 합니다. 특정 이유로 해당 정보를 공개해야 할 경우는 재판을 통해서 공개여부를 결정합니다. [1] 중요한 것은 개인정보에 대한 접근 및 사용이 투명하게 이루어지는 절차를 수립하는 것입니다.
에스토니아가 eID를 빠르게 도입할 수 있었던 것은 특수한 환경 덕분이기도 합니다. 우선 137만명의 소규모 국가이고, 국가 주도의 정책에 대한 거부감이 적습니다. 그리고 공인인증체계(PKI)가 전 인구의 67%에 도입되었습니다. [2] 국내에도 PKI 도입률이 높죠. 하지만 에스토니아에 비해 수십배의 인구 규모와 다양한 이해 주체 간의 입장 차가 크다는 문제가 있습니다.
- 내 생각
하지만 국가가 공인하는 정보를 사용할 것인지, 본인이 만든 정보를 사용할지는 사용자의 선택입니다. 사용자가 자유롭게 선택할 수 있는 id 솔루션이 필요합니다.
추가로 읽어볼만한 자료
레퍼런스
[1] http://www.notsorelevant.com/2007-05-22/openid-for-all-estonians/
[2] https://www.cosic.esat.kuleuven.be/modinis-idm/twiki/bin/view.cgi/Main/EstonianProfile
[3] http://ec.europa.eu/idabc/en/document/4487/5584
[4] http://www.sakimura.org/en/modules/wordpress/index.php?p=35
[5] http://ma.gnolia.com/people/ChrisSaad/bookmarks/dostatasci
# by | 2008/02/25 10:33 | 기타 ID 동향 | 트랙백 | 핑백(1) | 덧글(2)
... /daveman692/open-id-overview-seoul-july-2007/OpenID를 적용한 에스토니아의 국가 ID 체계 구축 사례 : http://ayo79.egloos.com/3634096The Identity Landscape 2006 : http://netmesh.info/jernst/OpenID/SAML Con ... more
신뢰 문제가 해결된 OpenID는 저도 좋아합니다^^