Korean Identity Management(KIM)

내가 가입한 사이트에 저장된 개인정보, 사이트에 활동하면서 쌓인 정보들(ex. UCC, 글, 활동 기록)은 누구의 소유일까요? 사이트 입장에서는 무료로 서비스를 제공해주었으니 그 데이터는 사이트 소유라고 주장할 것입니다. 반대로 사용자는 자신이 생성한 데이터이므로 당연히 사용자 소유라고 주장할 수 있습니다.

새로운 서비스를 제공하는 사이트가 많아질수록 사용자는 더 나은 서비스를 향해 이동하려하지만, 사이트에 축적된 사용자 데이터가 방대해 질 수록 다른 사이트로 옮기기 어려워집니다. 다른 사이트로 잘 가라고 데이터를 포장해주는 사이트는 없기 때문입니다.

그래도 사용자들은 다른 사이트로 옮기면서 데이터를 가지고 가려고 스크립트를 짜거나 copy&paste 하는 등 여러가지 편법을 쓰려고 합니다. 데이터 이동성(Data Portability) 프로젝트는 바로 이런 사용자의 욕구를 채워주기 위한 서비스를 지향하는데, 대다수는 소규모 사이트이나 Google, Facebook 같은 큰 사이트도 가입했었습니다.

Google은 이미 2008년 1월 데이터 이동성 프로젝트에 참여하였고 OpenSocial이라는 사이트 독립적인 어플리케이션 개발 플랫폼을 제시하였습니다. OpenSocial은 해외에서 Google, Facebook, MySpace, 국내에는 Daum, Paran 등이 사용중 도입을 발표했습니다. 네이트에서 30일 오픈소셜을 적용한 앱스토어를 오픈할 예정이고, Naver 또한 이번 Deview 2009에서 오픈소셜을 적용하기로 결정했습니다.


그러나 Google은 데이터 이동성 프로젝트의 진행과는 무관하게 독자적으로 진행하고 있었습니다. 처음부터 데이터 이동성 프로젝트는 '대인배'나 할 법한 일인데도, Facebook 같이 독자적인 플랫폼을 밀고 있는 업체가 끼어서 생색만 내고 있습니다. 데이터 이동성 프로젝트 또한 실제적인 스펙이나 Best Practice를 제시하기 보다는 메인이 아닌 일들을 처리하는 Working Group만 만들고 진행하고 있습니다.

Data portability on the social web is enough of a conundrum that it has its own open workgroup,which, unfortunately, despite having good intentions, has not thus farmanaged to produce a consensus among its members (which include Google, Facebook and other big name social web services).[1]

그래서 Google은 2006년부터 자사의 제품에 대해서 데이터 이동성을 제공하려는 작업을 진행하고 있습니다. 현재 2/3 정도 제품들에 대해 진행이 완료되었다고 합니다. 왜 이전에는 몰랐을까요..

Are you done?  Are all of Google's products liberated?

No.  While users can get data out of our products one way or another, we're about two thirds of the way through and we continue to work to make it easier to get data in and out of our products. [2]

별도의 컨소시엄을 구성할 생각은 없지만, 타 기업을 배제할 생각도 없습니다. Google의 각 제품에 대해 개별적인 방법을 취하는 것 같은데, 컨소시엄을 구성한다고 해서 하나의 스펙을 만들 수 있을지 의문입니다. 역시, 새로운 표준이나 데이터 포맷을 만들 계획은 없다고 합니다. 하지만 방법론이나 Best Practice를 공유하는 정도는 가능할 것 같군요.

Are you trying to start a consortium?

No, but we'd be thrilled if other companies followed our lead.[2]

Are you creating new standards and formats for data?

No. We're working to use existing open standards formats wherever possible,and to document how we use those formats in a clear simple manner.[2]

Naver는 며칠전 열린 Deview 2009에서 OpenSocial을 채택하고 서비스를 개방하겠다고 발표했습니다. 단순히 생색을 내고 최대한 자신들의 이익을 위해 데이터이동성 개념을 사용하는 Facebook 같이 될 것인지, Google 처럼 자사의 서비스마다 실제로 데이터 이동성을 지원할지 궁금합니다. 저는 전자를 예상하지만, 그 예상이 틀리길 바랍니다.

레퍼런스
[1] http://www.webmonkey.com/blog/Google_s__Data_Liberation_Front__Aims_to_Make_Your_Data_Portable
[2] http://www.dataliberation.org/home/faq

OpenID, the identity landscape, and social networks

Facebook이 OpenID RP(Relying Party)가 되었다는 내용입니다. 거의 모든 사람들이 Facebook 같은 대기업은 OpenID RP가 될 리가 없다고 말했었는데, 이제 틀린 얘기가 되었습니다. 물론 저도 틀렸죠.

왜 Facebook이 OpenID RP가 되었을까요? 이 블로거는 Facebook이 데이터 이동성을 위해 OpenID를 도입해야 하는 상황에서 굳이 OP(OpenID Provider)가 될 필요성을 못느꼈기 때문이라고 말합니다. OP가 되면 id 정보를 얻을 수 있지만, 그 정보로 돈을 벌기는 어렵습니다. 하지만 RP가 되어 사용자에게 데이터 이동성을 제공하고 쉽게 서비스를 사용할 수 있게 해준다면 돈이 됩니다.

Similarly, major identity providers like Google, Facebook are stuck at sharing a few hundred million users between them, they shift their attention to somehow involving all those users that didn’t sign up withthem. Pretty much all of them are OpenID providers already. Facebookjust took the obvious next step in becoming a relying party as well.The economics are mindbogglingly simple: Facebook doesn’t make money from verifying peoples identity but they do make money from people using their services.

OpenID 진영에서 RP의 이점으로 얘기하던 항목이었는데, Facebook이 RP의 이점을 취할지는 생각하지 못했었죠.

하지만 일반인들이 모두 OpenID를 가질만큼 OpenID가 확대되지는 못할 것으로 예상합니다.

Facebook in 2010: no longer a walled garden

현재 Facebook은 자사의 플랫폼을 만들어 사용하고 있습니다. Facebook Connect는 OpenID, OAuth 같은 기능을 제공하지만, 후자의 표준과는 달리 Facebook 플랫폼에서만 동작 가능하다는 한계가 있습니다. 그래서 OpenID, OAuth 측에서는 Facebook의 방향을 비판하고 조만간에 굴복하리라는 예측을 하기도 합니다.

Social networks have largely been built on the premise of being  walled gardens in such a way that users can't communicate or share content or friends across networks;

작년 말에는 Facebook이 OpenID 진영에 합류하는 등 긍정적인 움직임을 보이기도 했습니다. 하지만 Facebook Connect를 iPhone에 적용하는 등, 여전히 자사의 플랫폼을 확장하고 있습니다.

OpenID 측의 David Recordon은 2010년에 Facebook이 가장 오픈된 소셜 네트워크가 될 것으로 예상했습니다. 2010년이라서 멀게 느껴지지만 9개월도 채 남지 않은 미래입니다.

My prediction is that by the end of the year Facebook will become the most open social network on the social web.

OpenID, XRDS, OAuth, PortableContacts, OpenSocial을 조합한 Open Stack이 Facebook 플랫폼을 대체할 수 있습니다.



과연 9개월만에 Facebook이 자사의 플랫폼을 버릴까요? 저는 회의적인 입장이지만, Open Stack을 통해서만이 소셜 네트워크 사이트가 궁극적으로 상생할 것입니다.

title; Comcast Property Sees 92% Success Rate With New OpenID Method
link; http://www.readwriteweb.com/archives/comcast_property_sees_92_success_rate_openid.php

OpenID의 큰 문제점 중 하나는 일반인들이 받아들이기 어렵다는 것입니다. 어렵다기 보다는 기존의 id/pw 방식에 익숙한 사용자가 발상을 전환하기 쉽지 않다는 뜻입니다. 국내의 미투데이도 처음에는 OpenID로만 가입을 받아서 주목을 받았지만, 얼마지나지 않아 OpenID를 포기하고 일반가입으로 전환했던 사례가 있습니다. Google, Yahoo!, Microsoft 등 OpenID를 지원하는 해외 사이트가 많아졌지만, 사용성 문제는 여전히 이슈였습니다. 그래서 다각도로 사용성을 높이기 위한 시도가 있었습니다.

얼마전 Plaxo는 OpenID와 OAuth를 사용하여, 이미 다른 OpenID 사이트에 로그인한 경우, 2번의 클릭(사이트 선택, oauth 동의)만으로 가입과 인증을 처리하는 방법을 제시하였습니다.

This experimental method refers to big, known brands where users were already logged in, it requires zero typing - just two clicks - and it takes advantage of the OpenID authentication opportunity to get quick permission to leverage the well established OAuth data swap to facilitate immediate personalization - at the same time, with nothing but 2 clicks required of users.

예전에는 Plaxo 같은 사이트는 Gmail과 같은 사이트의 id/pw를 입력받았습니다. 사이트 내용을 파싱한 뒤 친구를 자동으로 추가하거나 새로운 개인화 서비스를 제공하였죠. 해외에서는 사이트 내용을 파싱하는 방식을 site scraping이라고 부릅니다. 물론 개인정보가 노출된다는 우려를 할 수 있었죠.

No new accounts, no disclosure of Gmail passwords to Plaxo, no risky account scraping and no need to import or find friends on the new service before immediate personalization could be offered.

Plaxo는 id/pw를 입력받는 대신, OpenID/OAuth를 사용했습니다. 그 결과 92% 사용자가 Plaxo에서 권한을 부여하는 작업을 성공했습니다. 실패한 8% 사용자는 Facebook connect가 제공하는 기능을 가정했기 때문이 아닐까 추측됩니다.

Only 8% of the people who clicked to log in with a standards based 3rd party authentication ended up deciding to bail instead. That's the kind of ease-of-use that people presumed only Facebook Connect could provide.

실제로 동작하는 예제를 살펴보면, Plaxo 사이트에서 새 창이 떠서 사용자에게 OAuth로 정보 제공에 대한 동의를 받습니다. 만일 새 창에서 OpenID로 로그인하는 경우는 피싱같은 문제가 우려될 수 있습니다. OAuth처럼 동의/거부만 선택하는 경우는 괜찮을 것 같네요.