2008년 04월 14일

OpenID의 제한적 본인확인 확장에 대한 DAUM 백주성님의 의견

다음의 백주성님이 OpenID의 제한적 본인확인 확장에 대한 의견을 포스팅 하셨습니다. 대부분의 의견에 동의하고, 우려하셨던 부분에 대해서도 공감합니다. 하지만 몇 부분은 다르게 생각할 수 있을 것 같네요.

2. OpenID의 유일성 문제

본인확인된 OpenID에 대한 공격을 우려하셨는데, 구체적으로 어떤 공격이 있을까요? 주민번호/이름' 조합은 id/pw와 마찬가지지만, 본인확인된 openid는 id라고 볼 수 있습니다. 물론 유일한 id인 OpenID를 사용하기 때문에 사용자의 온라인 활동이 노출되기는 하지만, 그건 OpenID의 태생적 한계죠. 편법으로 여러 OpenID를 사용할 수 밖에 없습니다. 

예로 드신 SAML과 OpenID의 비교는 약간 이해하기 어렵습니다. OpenID에서도 RP a에 실명확인을 했다고 해서, RP b에 실명확인을 한 건 아니죠. RP b가 해당 사실을 안다고 해서 달라지는 건 없지 않나요? 본인확인된 OpenID는 프라이버시에 대한 우려는 존재하지만, 리스트가 노출되었다고 해서 다른 목적에 악용되기는 어렵다고 생각합니다. OP가 OpenID의 사용 내역을 보증해줄 수 있으며, OP에 접근하기 위해서는 pw를 알아야 하기 때문입니다. 

5. 사후 본인확인 정보 제공 프로세스. 공공기관의 협조요청.

여기서 언급하신 경우는, i-pin 업체의 경우에도 동일하게 적용되는 것 같군요. 그렇다면 충분하지 않을까요?

7. 비즈니스 모델
 
DAUM은 이 문제와는 별 상관없다고 생각했습니다. DAUM의 OpenID 서비스는 이미 본인확인을 받은 사용자에게 제공되기 때문이죠. 주성님이 언급한대로, DAUM은 자사가 운영하는 서비스에서 필요한 실명확인용도로 본인확인기관과 계약했습니다. OpenID도 DAUM이 제공하는 서비스 중의 하나에 포함되겠죠.


마지막으로, 주성님도 OpenID의 장점이 사라지게 되는 문제를 고민하고 계시군요. 특정 사이트에서만 사용할 수 있다면 OpenID의 이점은 갈수록 줄어듭니다. 개인이 OP를 운영하지도 못합니다. 서로 윈윈하는 방법은 어디 있을까요?

이 글과 관련있는 글을 자동검색한 결과입니다 [?]

by S_H_Kim | 2008/04/14 22:10 | CardSpace | 트랙백 | 덧글(6)

Commented by kayflow at 2008/04/16 22:55
음. 마지막의 오픈아이디의 장점 부분에 대해서는 실용적인 대안이 가능합니다. 사실, 누구나 본인확인을 할 수는 없지요. 마찬가지로, IDP 가 본인확인에 대한 프로토콜 수준의 처리를 하는 것과 그것을 신뢰하는 것은 별개자나요, 음... 그렇다면, 결국 몇몇 IDP 의 대답이 본인확인으로써 공신력이 있을 것인데요. 그렇다고, 그 IDP 만 써야할 필요는 없을 것 같습니다. 사실 본인확인이 필요한 경우는 드믈 것이구요, 따라서, 본인확인 목적의 ID 와 대표 ID 는 다를 수 있을 것이구요, 예를 들면, 대표 ID 는 이글루스 주소를 쓰되, delegation ID 는 본인확인까지 가능한 IDP 를 사용하는 것도 일례일 듯 합니다.
이런 경우, 오픈아이디는 본인확인이라는 신뢰정보를 교환하는 프로토콜 역할을 충분히 할 수 있을 것 같습니다. 필요하다면, 국가가 본인확인서비스를 오픈아이디 프로토콜로 하는 것도 바람직 할 것 같습니다.
최악의 경우, 서비스 로그인은 개인 OP 를 운영하지만, 본인확인을 위해서 제한적인 IDP 에 가입하는 경우에도, 현재 본인확인 방법 (주민번호를 RP 에 계속 노출시키는 방식) 보다는 안전하고 또 편할 것 같습니다. 사실, 현재 본인확인은 남의 주민번호/실명만 알면 되자나요? ㅎㅎ
물론, myID 도 그방식으로 본인확인을 하지만, 공신력 있는 IDP 몇개로 제한하되, 각 IDP 에서의 본인확인 방법을 좀더 안전한 방식 (현재 i-pin 인증처럼)으로 한다면, 가능할 것 같아요.
Commented by S_H_Kim at 2008/04/18 19:49
/kayflow님, 말씀하신대로 상황에 맞게 쓰면 별 문제가 없겠죠. 대안은 있지만, 갈수록 OpenID를 설명하기가 복잡해지는 것 같아서 걱정입니다. 그래서 표준화 같은 작업이 필요한 것이겠죠.
Commented by Kay at 2008/04/18 22:02
전에 모임에서도 잠깐 정리됬듯이, 설명하려면 한없이 어려워 지더라구요.
걍, 이렇게 이렇게 쓰세요. 라고 전달하는 것이 최선일듯 해요. ㅎㅎ
Commented by S_H_Kim at 2008/04/18 23:32
/Kay님, OpenID가 제대로 쓰이기도 전에 난관들이 가득하네요.. OpenID의 성장세는 전세계적으로 소강상태인듯 보입니다.
Commented by kayflow at 2008/04/20 23:57
그러게요,... 그 비전은 강력하지만,... 사용자들의 습관이 저절로 바뀌길 기대하긴 어려운 것 같습니다. 결국, 업계의 공동 움직임이 관건이 아닐지... 정부가 결단을 내려, 실명확인 표준기술로 채택만 되도. ㅎㅎ
Commented by S_H_Kim at 2008/04/22 22:31
/kay님, i-pin은 실명확인 표준으로 더욱 확산될 전망인 것 같더군요. 일단은 OpenID를 사용하는 인구가 많아져야겠죠. 서비스도 많아지구요.
※ 이 포스트는 더 이상 덧글을 남길 수 없습니다.

◀ 이전 페이지다음 페이지 ▶