Korean Identity Management(KIM)

1. 오픈소셜 컨퍼런스 코리아 2008 - 6월 13일, http://hedgeplus.net/206

OpenID와 SNS를 결합한 서비스를 제공하는 IDTail이 오픈소셜을 주제로 컨퍼런스를 개최합니다. 몇 개월 전에 개최되었던 IDTail의 오픈소셜 세미나에서도 많은 분들이 참석하셨습니다. 이번 컨퍼런스도 특히 많은 분들이 참석하셔서 즐거운 행사가 될 것 같습니다.

세션1: 소셜 웹과 개방화
세션2: 오픈 플랫폼 트렌드
세션3: 오픈소셜 기반의 플랫폼 전략
세션4: 오픈소셜 기반 어플리케이션의 가치
세션5: 오픈소셜 기반의 어플리케이션 개발과 적용

그러나 국내에서의 오픈소셜이란, 아직은 어렵고 생소한 개념이기에 보다 많은 분들과
쉽고 재미있는 오픈소셜을 이야기할 수 있는 자리를 마련하게 되었습니다.
그리고 그 자리에 바로 "선착순 100분을 무료 초대합니다!"

http://www.idtail.com/event_conferences/request

2. 글로벌 웹 기술 워크샵 - 6월 19일,  http://channy.tistory.com/266 

미래웹포럼에서 개최하는 워크샵입니다. Google의 Vint Cerf 부회장이 21세기의 차세대 인터넷 발전 방향을, Mozilla 재단 의장인 Mitchell Baker이 Firefox 3와 개방형 웹에 대해 이야기합니다. 그 뿐만 아니라 해외의 유명 인사들의 강연을 들을 수 있습니다. 제 입장에서는 그 강연도 좋지만, 국내 패널들이 토론할 공인인증대안기술, 지불대안기술 등이 기대됩니다.

뿐만 아니라 이러한 논의를 바탕으로 국내의 상황을 점검할 수 있는 발제와 토론도 진행한다. 공인 인증에 대한 웹 브라우저 차별 대안 기술을 요구하는 소송을 진행 중인 김기창 교수(고려대 법대)가 주관하는 패널에서는 오픈 웹 소송 진행과정, 공인 인증 대안 기술, 지불 대안 기술, 웹 표준 진행 이슈 등 산적한 국내 웹 기술 이슈들에 대해 신현석(시도우), 옥상훈(어도비시스템즈), 이동산(페이게이트)씨 등이 함게 토론할 예정이다.

이 행사는 700명에 한해 무료로 제공하고 있으며 미래웹포럼 홈페이지(http://webappscon.com/fwf)에서 선착순으로 등록 가능하다.

title; Simon Willison: OpenID phishing demo
link; http://feeds.feedburner.com/~r/PlanetIdentity/~3/299657206/

http://idtheft.fun.de/ 라는 사이트를 방문해 보세요. OpenID를 악용한 피싱(Phishing) 공격을 보여줍니다. MITM(Man In The Middle) 으로 사용자의 ID/PW를 가로채는데, 실제로 제 패스워드를 넣으려니 너무 찝찝하네요. 

OpenID에서 피싱 공격은 예전부터 인식된 문제입니다. 이미 이를 해결하는 방안이 상당수 제시된 상태입니다.

1. SSL 인증서를 사용한 방식
2. BHO(Browser Helper Object)를 이용한 방식
3. 별도의 검증용 어플리케이션을 이용한 방식
4. 북마크를 이용한 방식
5. 쿠키를 이용한 방식
6. 또 뭐가 있죠? ㅎㅎ

MyID, IDTail, Daum은 모두 SSL 인증서를 사용한 방식을 채택하고 있습니다. 그러니 걱정하지 않으셔도 됩니다.

한가지 재미있는 점은, 국내의 OpenID 프로바이더들이 제일 위에 보이는 것입니다. IDTail, MyID가 보이시죠? Daum이 없어서 아쉽네요. 

title; myID 의 제한적 본인확인, 제한적 적용 소개
link; http://openid.or.kr/73

2007년 9월 경에도 OpenID 커뮤니티 에서 kay님이 OpenID와 실명제, i-PIN에 대해 고민하는 글을 포스팅 하셨습니다. 그 때는 i-PIN 업체가 OpenID를 지원하면 좋겠다는 수준이었죠. 하지만 스프링노트, 레몬펜 등의 RP 사이트를 운영하는 myID 입장에서는 어떻게는 빨리 해결해야 하는 내용이었습니다. 어느 사이트의 사용자가 10만이 넘을 지는 모르는 상황이었지만 말이죠.

7개월 정도 흐른 지금, i-PIN 사이트들은 미적지근한 반응을 보이고 있고, 레몬펜 서비스가 적용된 조인스 총선 섹션에서는 당장 실명확인을 요구하고 있습니다. 그래서 myid는 '실명확인' 필드를 추가하는 방안을 선택했습니다.

먼저, 이미 로그인 되어 있다 하더라도, 아직 본인 확인이 안된 사용자가 본인확인 요청 사이트 접근시 다시 로그인을 하게됩니다. 이때, 레몬펜의 기존 기본적인 SREG 항목이외에도 추가적인 정보요청이 발생한 것이므로, myID 는 사용자에게 사이트 인증 승인을 요청을 다시 하게됩니다. 이때, 본인확인 필드가 추가됩니다.

출처: http://openid.or.kr

괜찮은 방안이고, 국내 표준으로 제안하여 확산되는 것은 좋은 흐름입니다. OpenID를 선뜻 확신하기 어려운 점이 바로 본인확인의 어려움입니다. 또한 RP입장에서는 OP에 대한 신뢰 여부도 중요한 이슈이죠.

일단, myID 와 레몬펜 모두 오픈마루의 서비스 이기 때문에 정책상의 문제는 없습니다. 그리고, 기술적으로도 OpenID 1.1 프로토콜을 확장해서 적용했으며, 2.0 프로토콜에 대해서도 고려했습니다. 오픈아이디 커뮤니티에서 이 프로토콜에 대한 피드백을 수렴하여, 국내 표준으로 제안드리고자 합니다. 일단, 레몬펜을 비롯한 오픈마루의 RP 들은 이 프로토콜을 따르게 되므로, 다른 IDP 라도 이 프로토콜 상의 본인인증 요청을 처리해 주시면 적용 가능합니다. 물론, 모든 IDP 의 답변이 신뢰되는 것은 아니겠지만, 그것은 이후의 문제로 남기겠습니다.

하지만 몇 가지 궁금한 점이 있군요.

1. OP의 신뢰문제
매우 중요한 문제입니다. 그래서 쉽게 해결하기 어렵죠. 만일 레몬펜이나 다른 OpenID 적용 사이트에 악의적인 목적으로 임의의 OP를 만들어 공격한다면(아시겠지만, 매우 쉽게 할 수 있습니다.) 그 책임은 누가 져야 하나요? RP가 져야할 것입니다. 이를 막기 위해서는 SUN이나 AOL처럼 신뢰 OP 리스트를 운영하는 방안이 최선이죠. 하지만 OpenID의 기본 철학은 포기해야 됩니다. 현재는 OP의 프라이버시 위협에 대해 누구나 원하는 OP를 선택, 생성할 수 있다는 점을 강조하지만, 이제는 그 점을 포기해야 합니다. 

2. 가입자 10만이 넘는 모든 RP는 본인확인제를 따라야 하는가?
블로그 사이트에는 제외되는지 궁금하군요. 만일 블로그 사이트도 해당된다면, 이제 익명 덧글은 없어지고 누구나 해당 사이트의 계정을 가지고 있어야 할 것입니다. 아니면 실명확인 서비스를 제공하는 OP의 OpenID를 사용하던가요. 그런데 현황을 보면 블로그 까지는 아닌 것 같습니다. 그럼, 본인확인을 해야하는, 레몬펜 같이 임베딩되어 동작하는 서비스만 문제인가요?

3. myID가 제안한 방식을 다른 OP가 따를까?
myID가 제안한 방식은 국내에서만 중요한, OpenID의 기본 스펙을 벗어나는 내용입니다. 다른 OP가 따르지 않으면, 이 또한 문제입니다. 비현실적인 이야기겠지만, OP들 간의 싸움 때문에 사용자들이 피해를 볼 수도 있습니다. 국내표준이라고 하지만, 굳이 따르지 않으면 어떻게 될까요? 당장, IDTail로 로그인한 경우, 조인스 사이트에서 레몬펜을 사용할 수 없었습니다. 직설적으로 얘기하자면, OP에 차별을 두는 것이죠.

title; 야후, 마이스페이스, 구글 3사 비영리 오픈소셜 재단 설립
link; http://googlekoreablog.blogspot.com/2008/03/3.html

아래 포스팅에 적었던 오픈소셜 프로젝트와 관련하여 야후(Yahoo!)가 드디어 합류했다고 합니다. 앞으로 오픈소셜의 힘이 더욱 커질 것 같군요.

야후, 마이스페이스, 구글은 커뮤니티 주도의 개방적 소셜 애플리케이션을 구축하는 오픈소셜(OpenSocial)의 스펙과 관련, 오프소셜이 중립적이고 장기적으로 이용될 수 있도록 오프소셜 재단을 설립해 운영하기로 했다고 발표했습니다. 오픈소셜 재단은 독립적인 비영리기관으로 정식으로 지적재산과 거버넌스 기능을 갖추며 재단에 출연할 자산은 2008년 7월 1일까지 이관될 예정입니다.

이제 오픈소셜을 지원하는 사이트의 가입자 수가 5억명에 달한다고 합니다. 대단하네요. 한국 야후에서도 본사와 같은 행보를 보일 것인지 궁금합니다.

이 같은 결과는 소셜 애플리케이션을 위한 광범위한 플랫폼으로 사이트가 사진 공유, 게임, 미팅 주선 등 친구나 사람들과 연락하는 내용이 포함된 사이트를 더욱 재미있고 유익하게 만듭니다. 사실상 야후가 오픈소셜을 지지하고 있기 때문에 이제 개발자들은 하나의 API를 배워서 5억만 명의 사용자에게 접근하고 이들을 서로 연결할 수 있는 잠재력을 갖게 됐습니다.

IDtail은 국내의 오픈소셜 분야에서는 앞선 기술력을 이용하여 시장을 선점할 수 있는 위치에 있습니다. 그렇지만, 오픈소셜은 누구나 같은 어플리케이션을 장착할 수 있기 때문에 선점에 따른 이점을 누리기 힘들어지죠. 일단은 파이를 키운다는 점에서 좋지만, 그 다음은 어떤 전략이 좋을까요?

2008년 3월 21일, IDtail이 주관하는 오픈소셜 세미나에 참석했습니다. 늦었지만 후기를 올립니다.

오픈소셜과 IDtail

우선 구글의 오픈소셜(Open Social) 프로젝트에 대해서 설명드려야겠지만, 저  뿐만 아니라 많은 분들이 올린 관련 포스팅을 참고바랍니다.

예전부터 IDtail의 행보를 관심있게 바라보고 있었습니다. OpenID에서 시작하여 소셜네트워킹 사이트로 진화하는 모습은 제가 생각만으로 그쳤던 방향 과 일치했거든요. 

작년 중반부터 소셜 네트워킹 사이트로 변화했고, 작년 말에 나온 구글의 오픈소셜을 전면 도입하여 '마이템'이라는 오픈소셜 플랫폼을 구축했습니다. 제가 참석한 세미나는 오픈소셜과 함께 IDtail의 '마이템'을 소개하는 자리였습니다.

http://www.hedgeplus.net/entry/드디어-아이디테일이-오픈API를-공개합니다
http://www.hedgeplus.net/entry/아이디테일과-오픈소셜을-함께-할-분을-찾습니다

발표자료는 송교석 팀장님이 올려주신다고 했으니 조만간에 추가하겠습니다^^;

장단점

발표를 들으면서 오픈소셜의 장단점을 고민해 보았습니다. 장점은 바로 모든 사람들이 윈-윈 할 수 있다는 것입니다.

사용자: 어디에 있던지 동일한 서비스를 받을 수 있음.
개발자: 어플리케이션 하나만 만들면 어느 사이트에서도 적용할 수 있음
대규모업체: 서비스 부재로 인한 사용자 이탈현상 방지
소규모업체: 초기 서비스 개발 부담 줄어듬

단점은 무엇일까요? 두 가지를 생각해 볼 수 있는데, 하나는 매력적인 서비스를 제공하는 소규모 사이트는 사용자를 끌어오기 어렵게 되고 대규모 사이트는 해당 어플리케이션을 그대로 자사에 적용할 수 있게 되는 것입니다. 즉, 빈익빈 부익부 현상이 커질 수 있습니다. 그리고 두번째는 어플리케이션은 동일하지만 도메인 내의 정보만 사용할 수 있다는 것입니다. 네이버의 사용자와 다음의 사용자가 동일한 어플리케이션을 사용할 수는 있지만, 다른 도메인의 정보에는 접근할 수 없습니다.
 
전망

'데이터는 모두 사용자의 것'이라는 표현을 IDtail의 세미나에서도 들을 수 있었습니다. 언젠가는 사용자가 자신의 데이터를 마음대로 사용할 수 있을 것입니다. 물리적으로는 어디에 있던지, 사용자 입장에서는 전혀 상관없게 될 것입니다. 도메인 간에 데이터를 자유롭게 교환할 수 있고, 사이트 간의 사용자들도 자유롭게 행동할 수 있습니다. 바로 데이터 이동성(Data Portability)이 추구하는 미래입니다.

하지만, 지금은 시기상조입니다. 일단은 오픈 소셜이 더 현실적인 방향이라는 생각입니다. 사람들이 어디서나 동일한 서비스를 제공받게 되면, 언젠가 도메인 간의 정보 공유에 대한 필요성이 생기겠죠. 그 때가 바로 데이터 이동성으로 진화하는 시점이 될 것입니다.

오픈 소셜의 특성상, 참여하는 사람들이 많을 수록 오픈 소셜의 이점이 부각될 것입니다. IDtail 세미나에서 만난 분들은 다들 오픈 소셜을 도입할 수 있는 위치에 있었습니다. IDtail이 좋은 성과를 만들어 내면 다른 업체들도 자발적으로 따라올 것입니다.