2008년 04월 03일
myID의 제한적 본인확인 방법
title; myID 의 제한적 본인확인, 제한적 적용 소개
link; http://openid.or.kr/73
2007년 9월 경에도 OpenID 커뮤니티 에서 kay님이 OpenID와 실명제, i-PIN에 대해 고민하는 글을 포스팅 하셨습니다. 그 때는 i-PIN 업체가 OpenID를 지원하면 좋겠다는 수준이었죠. 하지만 스프링노트, 레몬펜 등의 RP 사이트를 운영하는 myID 입장에서는 어떻게는 빨리 해결해야 하는 내용이었습니다. 어느 사이트의 사용자가 10만이 넘을 지는 모르는 상황이었지만 말이죠.
7개월 정도 흐른 지금, i-PIN 사이트들은 미적지근한 반응을 보이고 있고, 레몬펜 서비스가 적용된 조인스 총선 섹션에서는 당장 실명확인을 요구하고 있습니다. 그래서 myid는 '실명확인' 필드를 추가하는 방안을 선택했습니다.
출처: http://openid.or.kr
괜찮은 방안이고, 국내 표준으로 제안하여 확산되는 것은 좋은 흐름입니다. OpenID를 선뜻 확신하기 어려운 점이 바로 본인확인의 어려움입니다. 또한 RP입장에서는 OP에 대한 신뢰 여부도 중요한 이슈이죠.
하지만 몇 가지 궁금한 점이 있군요.
1. OP의 신뢰문제
매우 중요한 문제입니다. 그래서 쉽게 해결하기 어렵죠. 만일 레몬펜이나 다른 OpenID 적용 사이트에 악의적인 목적으로 임의의 OP를 만들어 공격한다면(아시겠지만, 매우 쉽게 할 수 있습니다.) 그 책임은 누가 져야 하나요? RP가 져야할 것입니다. 이를 막기 위해서는 SUN이나 AOL처럼 신뢰 OP 리스트를 운영하는 방안이 최선이죠. 하지만 OpenID의 기본 철학은 포기해야 됩니다. 현재는 OP의 프라이버시 위협에 대해 누구나 원하는 OP를 선택, 생성할 수 있다는 점을 강조하지만, 이제는 그 점을 포기해야 합니다.
2. 가입자 10만이 넘는 모든 RP는 본인확인제를 따라야 하는가?
블로그 사이트에는 제외되는지 궁금하군요. 만일 블로그 사이트도 해당된다면, 이제 익명 덧글은 없어지고 누구나 해당 사이트의 계정을 가지고 있어야 할 것입니다. 아니면 실명확인 서비스를 제공하는 OP의 OpenID를 사용하던가요. 그런데 현황을 보면 블로그 까지는 아닌 것 같습니다. 그럼, 본인확인을 해야하는, 레몬펜 같이 임베딩되어 동작하는 서비스만 문제인가요?
3. myID가 제안한 방식을 다른 OP가 따를까?
myID가 제안한 방식은 국내에서만 중요한, OpenID의 기본 스펙을 벗어나는 내용입니다. 다른 OP가 따르지 않으면, 이 또한 문제입니다. 비현실적인 이야기겠지만, OP들 간의 싸움 때문에 사용자들이 피해를 볼 수도 있습니다. 국내표준이라고 하지만, 굳이 따르지 않으면 어떻게 될까요? 당장, IDTail로 로그인한 경우, 조인스 사이트에서 레몬펜을 사용할 수 없었습니다. 직설적으로 얘기하자면, OP에 차별을 두는 것이죠.
link; http://openid.or.kr/73
2007년 9월 경에도 OpenID 커뮤니티 에서 kay님이 OpenID와 실명제, i-PIN에 대해 고민하는 글을 포스팅 하셨습니다. 그 때는 i-PIN 업체가 OpenID를 지원하면 좋겠다는 수준이었죠. 하지만 스프링노트, 레몬펜 등의 RP 사이트를 운영하는 myID 입장에서는 어떻게는 빨리 해결해야 하는 내용이었습니다. 어느 사이트의 사용자가 10만이 넘을 지는 모르는 상황이었지만 말이죠.
7개월 정도 흐른 지금, i-PIN 사이트들은 미적지근한 반응을 보이고 있고, 레몬펜 서비스가 적용된 조인스 총선 섹션에서는 당장 실명확인을 요구하고 있습니다. 그래서 myid는 '실명확인' 필드를 추가하는 방안을 선택했습니다.
먼저, 이미 로그인 되어 있다 하더라도, 아직 본인 확인이 안된 사용자가 본인확인 요청 사이트 접근시 다시 로그인을 하게됩니다. 이때, 레몬펜의 기존 기본적인 SREG 항목이외에도 추가적인 정보요청이 발생한 것이므로, myID 는 사용자에게 사이트 인증 승인을 요청을 다시 하게됩니다. 이때, 본인확인 필드가 추가됩니다.
출처: http://openid.or.kr
괜찮은 방안이고, 국내 표준으로 제안하여 확산되는 것은 좋은 흐름입니다. OpenID를 선뜻 확신하기 어려운 점이 바로 본인확인의 어려움입니다. 또한 RP입장에서는 OP에 대한 신뢰 여부도 중요한 이슈이죠.
일단, myID 와 레몬펜 모두 오픈마루의 서비스 이기 때문에 정책상의 문제는 없습니다. 그리고, 기술적으로도 OpenID 1.1 프로토콜을 확장해서 적용했으며, 2.0 프로토콜에 대해서도 고려했습니다. 오픈아이디 커뮤니티에서 이 프로토콜에 대한 피드백을 수렴하여, 국내 표준으로 제안드리고자 합니다. 일단, 레몬펜을 비롯한 오픈마루의 RP 들은 이 프로토콜을 따르게 되므로, 다른 IDP 라도 이 프로토콜 상의 본인인증 요청을 처리해 주시면 적용 가능합니다. 물론, 모든 IDP 의 답변이 신뢰되는 것은 아니겠지만, 그것은 이후의 문제로 남기겠습니다.
하지만 몇 가지 궁금한 점이 있군요.
1. OP의 신뢰문제
매우 중요한 문제입니다. 그래서 쉽게 해결하기 어렵죠. 만일 레몬펜이나 다른 OpenID 적용 사이트에 악의적인 목적으로 임의의 OP를 만들어 공격한다면(아시겠지만, 매우 쉽게 할 수 있습니다.) 그 책임은 누가 져야 하나요? RP가 져야할 것입니다. 이를 막기 위해서는 SUN이나 AOL처럼 신뢰 OP 리스트를 운영하는 방안이 최선이죠. 하지만 OpenID의 기본 철학은 포기해야 됩니다. 현재는 OP의 프라이버시 위협에 대해 누구나 원하는 OP를 선택, 생성할 수 있다는 점을 강조하지만, 이제는 그 점을 포기해야 합니다.
2. 가입자 10만이 넘는 모든 RP는 본인확인제를 따라야 하는가?
블로그 사이트에는 제외되는지 궁금하군요. 만일 블로그 사이트도 해당된다면, 이제 익명 덧글은 없어지고 누구나 해당 사이트의 계정을 가지고 있어야 할 것입니다. 아니면 실명확인 서비스를 제공하는 OP의 OpenID를 사용하던가요. 그런데 현황을 보면 블로그 까지는 아닌 것 같습니다. 그럼, 본인확인을 해야하는, 레몬펜 같이 임베딩되어 동작하는 서비스만 문제인가요?
3. myID가 제안한 방식을 다른 OP가 따를까?
myID가 제안한 방식은 국내에서만 중요한, OpenID의 기본 스펙을 벗어나는 내용입니다. 다른 OP가 따르지 않으면, 이 또한 문제입니다. 비현실적인 이야기겠지만, OP들 간의 싸움 때문에 사용자들이 피해를 볼 수도 있습니다. 국내표준이라고 하지만, 굳이 따르지 않으면 어떻게 될까요? 당장, IDTail로 로그인한 경우, 조인스 사이트에서 레몬펜을 사용할 수 없었습니다. 직설적으로 얘기하자면, OP에 차별을 두는 것이죠.
# by | 2008/04/03 00:31 | CardSpace | 트랙백(1) | 덧글(3)
제목 : OpenID 제한적 본인확인 확장에 대한 의견
최근 myID.net 에서 OpenID 기반에서 제한적 본인확인을 할 수 있는 기능을 개발했고, 같은 회사 (오픈마루)의 서비스인 레몬펜 - 중앙일보 총선 사이트 에 적용했습니다. http://openid.or.kr/73이전부터 많은 ......more
#1. 당연히, RP 입장에서는, 공인된 그리고 신뢰할 만한 IDP 인지 목록을 가지고 있어야 합니다. 하지만, 저는 이부분이 오픈아이디 기본철학을 포기하는 것이 아니라, 오픈아이디가 다룰 필요가 없는 부분이며, 그래서 그 바깥의 시스템, 어쩌면 법적/사회적 시스템에서 해결해 줄 수밖에 없는 부분이라고 생각합니다. 스팸 메일러를 차단하는 것과 같은 이치이지요. 오픈아이디가 연결 가능성을 열어둔 것이지, '모두를 믿어야 한다' 는 아니라고 생각해요.
#2. 정부 시책에 따라, 제한적 본인확인 대상이 되는 (아마, 구체적으로 업체들이 명시되어 있는 것으로 압니다.) 서비스가 RP 가 될 경우, 고려해 봐야 겠죠. 제가 알기로는 개별 블로그내에서의 댓글 등은 사적인 공간으로 간주해서 해당되지 않는 것으로 알고 있습니다.
#3. 결국, 각 IDP 의 결정이겠지만, myID 에서는 배타적인 경쟁 목적으로 추진하는 것은 분명히 아님을 말씀드립니다. 결국은, 표준화를 원하구요, 필요하다면, myID 방식을 수정할 수 도 있습니다.
답변이 되었는지 모르겠습니다. 피드백 정말 감사드립니다.
저는, 제안드린 스펙이 더 개선되어 표준이 되기를 희망합니다.
2번에 대해서, 아직까지는 OpenID를 사용하는 열혈 스패머(악플러)는 본 적이 없네요. 만일 문제가 생긴다면 OP들이 어떻게 대처할 수 있을지 궁금합니다. 내부적으로 고민해본 적이 있으신가요?
3번, 주민번호대체수단 마련은 OP의 공통 이슈죠. 여러가지 사정이 있으셔서 myID가 먼저 도입했지만, 다른 OP도 방안을 고민해야 하는 입장입니다. 해결방안을 제시하고 실증까지 마치셨으니, 이제 OP들이 함께 모여 myID 방식을 따를지, 보완할지를 결정하면 되겠죠. 저도 표준화에 도움이 되도록 노력하겠습니다.