Korean Identity Management(KIM)

title; Simon Willison: OpenID phishing demo
link; http://feeds.feedburner.com/~r/PlanetIdentity/~3/299657206/

http://idtheft.fun.de/ 라는 사이트를 방문해 보세요. OpenID를 악용한 피싱(Phishing) 공격을 보여줍니다. MITM(Man In The Middle) 으로 사용자의 ID/PW를 가로채는데, 실제로 제 패스워드를 넣으려니 너무 찝찝하네요. 

OpenID에서 피싱 공격은 예전부터 인식된 문제입니다. 이미 이를 해결하는 방안이 상당수 제시된 상태입니다.

1. SSL 인증서를 사용한 방식
2. BHO(Browser Helper Object)를 이용한 방식
3. 별도의 검증용 어플리케이션을 이용한 방식
4. 북마크를 이용한 방식
5. 쿠키를 이용한 방식
6. 또 뭐가 있죠? ㅎㅎ

MyID, IDTail, Daum은 모두 SSL 인증서를 사용한 방식을 채택하고 있습니다. 그러니 걱정하지 않으셔도 됩니다.

한가지 재미있는 점은, 국내의 OpenID 프로바이더들이 제일 위에 보이는 것입니다. IDTail, MyID가 보이시죠? Daum이 없어서 아쉽네요. 

title; myID 의 제한적 본인확인, 제한적 적용 소개
link; http://openid.or.kr/73

2007년 9월 경에도 OpenID 커뮤니티 에서 kay님이 OpenID와 실명제, i-PIN에 대해 고민하는 글을 포스팅 하셨습니다. 그 때는 i-PIN 업체가 OpenID를 지원하면 좋겠다는 수준이었죠. 하지만 스프링노트, 레몬펜 등의 RP 사이트를 운영하는 myID 입장에서는 어떻게는 빨리 해결해야 하는 내용이었습니다. 어느 사이트의 사용자가 10만이 넘을 지는 모르는 상황이었지만 말이죠.

7개월 정도 흐른 지금, i-PIN 사이트들은 미적지근한 반응을 보이고 있고, 레몬펜 서비스가 적용된 조인스 총선 섹션에서는 당장 실명확인을 요구하고 있습니다. 그래서 myid는 '실명확인' 필드를 추가하는 방안을 선택했습니다.

먼저, 이미 로그인 되어 있다 하더라도, 아직 본인 확인이 안된 사용자가 본인확인 요청 사이트 접근시 다시 로그인을 하게됩니다. 이때, 레몬펜의 기존 기본적인 SREG 항목이외에도 추가적인 정보요청이 발생한 것이므로, myID 는 사용자에게 사이트 인증 승인을 요청을 다시 하게됩니다. 이때, 본인확인 필드가 추가됩니다.

출처: http://openid.or.kr

괜찮은 방안이고, 국내 표준으로 제안하여 확산되는 것은 좋은 흐름입니다. OpenID를 선뜻 확신하기 어려운 점이 바로 본인확인의 어려움입니다. 또한 RP입장에서는 OP에 대한 신뢰 여부도 중요한 이슈이죠.

일단, myID 와 레몬펜 모두 오픈마루의 서비스 이기 때문에 정책상의 문제는 없습니다. 그리고, 기술적으로도 OpenID 1.1 프로토콜을 확장해서 적용했으며, 2.0 프로토콜에 대해서도 고려했습니다. 오픈아이디 커뮤니티에서 이 프로토콜에 대한 피드백을 수렴하여, 국내 표준으로 제안드리고자 합니다. 일단, 레몬펜을 비롯한 오픈마루의 RP 들은 이 프로토콜을 따르게 되므로, 다른 IDP 라도 이 프로토콜 상의 본인인증 요청을 처리해 주시면 적용 가능합니다. 물론, 모든 IDP 의 답변이 신뢰되는 것은 아니겠지만, 그것은 이후의 문제로 남기겠습니다.

하지만 몇 가지 궁금한 점이 있군요.

1. OP의 신뢰문제
매우 중요한 문제입니다. 그래서 쉽게 해결하기 어렵죠. 만일 레몬펜이나 다른 OpenID 적용 사이트에 악의적인 목적으로 임의의 OP를 만들어 공격한다면(아시겠지만, 매우 쉽게 할 수 있습니다.) 그 책임은 누가 져야 하나요? RP가 져야할 것입니다. 이를 막기 위해서는 SUN이나 AOL처럼 신뢰 OP 리스트를 운영하는 방안이 최선이죠. 하지만 OpenID의 기본 철학은 포기해야 됩니다. 현재는 OP의 프라이버시 위협에 대해 누구나 원하는 OP를 선택, 생성할 수 있다는 점을 강조하지만, 이제는 그 점을 포기해야 합니다. 

2. 가입자 10만이 넘는 모든 RP는 본인확인제를 따라야 하는가?
블로그 사이트에는 제외되는지 궁금하군요. 만일 블로그 사이트도 해당된다면, 이제 익명 덧글은 없어지고 누구나 해당 사이트의 계정을 가지고 있어야 할 것입니다. 아니면 실명확인 서비스를 제공하는 OP의 OpenID를 사용하던가요. 그런데 현황을 보면 블로그 까지는 아닌 것 같습니다. 그럼, 본인확인을 해야하는, 레몬펜 같이 임베딩되어 동작하는 서비스만 문제인가요?

3. myID가 제안한 방식을 다른 OP가 따를까?
myID가 제안한 방식은 국내에서만 중요한, OpenID의 기본 스펙을 벗어나는 내용입니다. 다른 OP가 따르지 않으면, 이 또한 문제입니다. 비현실적인 이야기겠지만, OP들 간의 싸움 때문에 사용자들이 피해를 볼 수도 있습니다. 국내표준이라고 하지만, 굳이 따르지 않으면 어떻게 될까요? 당장, IDTail로 로그인한 경우, 조인스 사이트에서 레몬펜을 사용할 수 없었습니다. 직설적으로 얘기하자면, OP에 차별을 두는 것이죠.

요즘 한동안 출장이 많아서 블로그 관리가 뜸했습니다. 읽고 있는 글은 많은데 정작 포스팅 하려니 시간이 많이 걸리더군요. 너무 쉬는 것 같아 간단히 하나 올립니다.

openID url에 대해 두가지 상반된 견해가 있습니다. 

1. 프라이버시 보호

openID를 통해 개인의 다른 정보까지 추적할 수 있게 됩니다. 어떤 사람은 단순히 가입없이 블로그 덧글만 달고 싶은데, openID로 자신의 신원까지 노출될 수 있는 문제가 생깁니다.

2. 평판(reputation) 관리

어떤 사람은 온라인에서의 평판을 유지하기 위해 openID를 이용할 수 있습니다. 저도 openID를 제 블로그인 ayo79.egloos.com 으로 사용하는 것처럼 말이죠. 이 경우, 자신이 보여주고 싶어하는 정보를 openID url을 통해 타인에게 보여줄 수 있고, 타인은 나의 정보를 얻기 위해 openID url을 방문할 수 있습니다.

I cringe when I think about people clicking through to my OpenID user page. There's almost nothing there about me. It's nearly a dead end.
출처: http://www.readwriteweb.com/archives/the_troubles_with_openid_20.php

얼마 전만 해도 myID와 IDtail은 상반된 행동을 보였습니다. myID는 openID url에 아무런 정보가 없었지만, IDtail은 소셜 네트워크 사이트 처럼 화려하게 치장했죠.(사진을 클릭하시면 큰 화면으로 보실 수 있습니다.)

        

그런데, 제가 이 글을 올리면서 myID 사이트에 가보니 어느새 프로필 페이지가 생겼습니다.


해외 사이트는 어떤지 궁금해졌습니다. 가장 유명한 OP(OpenID Provider)인 MyOpenID는 어떨까요? 무난한 소개 화면을 보여줍니다.


마지막으로 Daum의 프로필 화면을 보시겠습니다. 제가 Daum의 화면을 가장 마지막에 배치한 것은 무슨 의도가 있어서겠죠? ㅎㅎ


마지막으로..

openID를 통해 자신을 가장 많이 드러낼 수 있는 방법은 자신이 운영하는 블로그의 url을 openid로 사용하는 것입니다. openID의 delegate 기능 을 이용하면 가능하죠.

title; 야후 그리고 야후 코리아의 OpenID 도입, 조금 헷갈린다
link; http://nopdin.tistory.com/95

Yahoo! 코리아에서 NC소프트의 오픈마루가 제공하는 MyID 및 OpenID 지원 서비스들의 탑재를 발표했습니다. 2008년 1월 29일에 전략적 제휴를 맺고, 스프링노트/레몬펜/롤링리스트 + 1 서비스를 순차적으로 Yahoo! 코리아에 선보일 예정이라고 합니다.

또한 Yahoo! 코리아는 myID 마케팅에 집중할 계획입니다. 다양한 파트너 사이트드르이 OpenID를 적용할 수 있도록 'myID'의 대충화를 위해 공동 마케팅을 펼칠 예정입니다. Yahoo! 코리아의 메인페이지 하단을 보시면 이미 myID를 소개하는 페이지를 확인할 수 있습니다.

        출처: http://kr.yahoo.com/r/li/myid

하지만 의야스러운 점은 이미 Yahoo!는 'OpenID 프로바이더'라는 사실입니다. 자사의 OpenID가 있는데 왜 굳이 타사와의 협력을 통해 OpenID 서비스를 구축하고, 오히려 타사의 경쟁 서비스를 홍보하는 것일까요?

Yahoo! 저팬은 Yahoo! 본사와 동일한 전략을 수행합니다.

            출처: http://openid.yahoo.co.jp

하지만 Yahoo! 중국, 한국은 http://openid.yahoo.xx 서비스가 구동하지 않는군요.
NC소프트 입장에서는 상당히 좋은 결과지만, Yahoo! 코리아 측은 무슨 의도인지 궁금합니다.

전세계적으로 소셜 네트워크 사이트가 우후죽순처럼 생겨납니다. 소셜 네트워크의 특성상, 사용자들은 좀 더 편한 서비스, 친구들이 많이 사용하는 서비스를 선호하기 마련이죠. 간혹 다른 사이트로 옮기는 경우가 생기는데, 옮기는 절차가 매우 번거롭습니다. Portable Social Network는 사용자가 사이트에 등록해야 하는 기본 정보나 사용자의 친구 목록 등을 사이트에 직접 전달해 주는 방법들로, 사용자의 시간과 노력을 덜어줍니다.

Brian Suda라는 사람이 아주 깔끔하게 Portable Social Network에 대한 기사[1]를 작성했습니다. 인증 기술로는 OpenID, 데이터 공유를 위해서 XFN, hCard가 소개되었습니다. XFN이나 FOAF, hCard는 기본적으로 공개된 환경을 가정하기 때문에 프라이버시 침해 우려가 있습니다. 그래서 이 기사 뿐만 아니라 다른 블로거들 또한 OpenID의 Whitelist 같은 기술을 적용한 보안을 제시합니다. 자세한 설명을 원하시면 Making a list: Whitelisting with OpenId and XFN 를 방문하시기 바랍니다.


출처: http://microformats.org/wiki/openid-brainstorming#OpenID_whitelist_authentication_for_private_hCard

기사에서는 Portable Social Network에서 우려되는 몇 가지 요소를 언급합니다. 가장 큰 문제는 프라이버시 이슈입니다. 자신의 모든 온라인 활동이 노출됩니다. 어떤 사이트에 어떤 id로 활동하고 있는지가 노출되면, 정보를 결합하여 중요한 개인정보를 노출시킬 수 있습니다. 또한 친구의 가입여부를 확인하기 위해 제공한 email 정보가 스팸으로 활용될 수도 있습니다.
그리고 일반적으로 데이터 공유를 위해 로그인 정보를 제공하거나 OpenAPI key를 타 사이트에 제공하는 것도 문제입니다. 한번 제공된 로그인 정보를 이용하여 해당 사이트가 어떤 행동을 할 지 모릅니다. 해당 사이트가 해킹을 당한다면, 해커는 해당 사이트 뿐만 아니라 로그인 정보를 이용하여 다른 사이트에 있는 사용자 정보를 악용할 수 있습니다. 예를 들어 Mint라는 해외 재무 사이트나 국내의 여러 온라인 가계부가 해킹당한다면 어떤 일이 발생할지 상상해 보세요.

I think they are being naive and overly simplistic about the complexity of me and my persona’s and my contexts and the nature of the social links I have with my ‘friends
- http://www.identitywoman.net/?p=676

해결책으로는 OpenID나 OAuth를 XFN, hCard와 결합하는 방법이 제시됩니다. OpenID Provider가 Potable Social Network 정보를 보관하는 것이 효과적이죠. 물론 사용자가 Relying Party를 구축하여 자신의 정보를 직접 관리할 수 있지만 비효율적입니다. 이미 국내에서도 OpenID 프로바이더들이 적극적인 자세를 보이고 있습니다. 지난 주에 참석한 OpenID 커뮤니티 모임에서도, 이 내용이 등장했었죠. myID에서는 주소록을 XFN로 유지한다 고 하고, IDtail에서도 이와 관련된 작업을 하고 있습니다.

XRI/XDI 기술은 Portable Social Network와 관련하여 국제적인 표준이 될 수 있는 잠재력을 가지고 있습니다. 하지만 생각보다 저조한 활동을 보이고 있어서 아쉬웠는데, 최근에서야 활발한 모습을 보이고 있습니다. 다음 주에 XRI Resolution 2.0 스펙의 공개 리뷰가 시작되고, IIW 2007b에서도 이와 관련하여 많은 논의 가 이루어질 것입니다.

Nat이라는 일본인이 openid에 적용될 수 있는 신뢰 데이터 교환 프로토콜을 IIW 2007b에서 제안한다고 했습니다. 이 발표도 기대되네요.

레퍼런스
[1] Portable Social Networks: Takes Your Friends with You, http://www.sitepoint.com/article/social-networks-take-friends
[2] http://microformats.org/wiki/openid-brainstorming#OpenID_whitelist_authentication_for_private_hCard