Korean Identity Management(KIM)

Tkudos님(http://twitter.com/tkudos)의 포스팅을 통해 TPM 인증을 이용한 OpenID 서비스를 알게 되었습니다. 이번 주에 열린 Digital ID World에 소개된 서비스 입니다. 이 서비스의 이름은 Wave(http://id.wave.com)로, 'No passwords, No compromises'라는 캐치프레이즈가 인상적입니다. 패스워드 대신에 TPM이라는 하드웨어 장치를 이용하기 때문에 상당히 안전합니다.

TPM은 특정 메인보드에 존재하는 보안 칩으로, 보안 정보의 생성 및 보관에 사용됩니다. 일반적으로 공인인증서 등의 중요 보안 정보도 하드디스크에 저장되어 있는데, 제대로 하려면 TPM 같이 안전한 장소에 보관되어야 하죠. TPM이 탑재된 PC는 몇년 전부터 소개되었지만, 도입속도는 생각보다 느립니다. 저도 TPM이 없어서 이 서비스를 테스트 하지는 못했습니다.(혹은, TPM이 있는지조차 모를 수 있습니다)

아래 화면은 Wave 서비스에서 OpenID를 만드는 과정을 보입니다. OpenID는 만들었는데, 이후 과정은 TPM을 설정하는 단계라서 진행하지 못했습니다. 주위에 TPM이 있으면 테스트 해보겠습니다. 웹에서 관련 정보가 있는지 찾아봤는데 아직은 동영상이나 사진 자료도 없군요. 찾게되면 추가 보완하겠습니다.

Wave는 Google의 Wave와 이름이 같습니다. Google Wave 또한 OpenID를 지원하는데 무슨 관계라도 있는지 궁금하군요. Google Wave 프로토콜 스펙(http://www.whatisgooglewave.com/2009/05/31/google-wave-federation-protocol/)에도 @wave.com 이라는 문구를 찾을 수 있어서, 우연히 같은 이름은 아니지 않을까 생각해봅니다.

현재 문제

현재 미국 정부는 500개가 넘는 웹 사이트를 운영중이며, 그 중에 1/3은 독자적인 id/pw 체계를 가지고 있습니다. 즉, 미국 정부의 웹사이트를 제대로 이용하려면 약 170개 이상의 id/pw를 만들어야 한다는 것이죠. 또한 똑같은 개인정보가 흩어져 있지만, 이를 누가 제대로 관리하는지는 아무도 모릅니다. 우리나라의 사례를 살펴봐도 웹사이트의 보안성 평가를 수행할 때마다 정부기관의 웹사이트가 가장 취약하다는 결론을 매번 보게 됩니다. 우리나라도 미국과 별반 차이가 없죠.

Today there are over 500 government websites and about 1/3 of them require a user name and password. Users need to be able to register and save information and preferences on government websites the same way they do today with their favorite consumer sites, but without revealing any personally identifiable information to the government.[3]

가능한 해결책

이는 전통적인 id 관리 문제입니다. id/pw를 독자적으로 유지하는 기존의 silo 방식은 centralized, federated, user-centric 방식으로 대체될 수 있습니다. centralized는 간단하고 신뢰있지만 SPF(Single Point of Failer)문제가 있고, federated 방식은 기관간의 agreement 및 확장 문제, user-centric은 신뢰/보안 문제가 있습니다. 용도에 따라 각각의 장단점이 있기 때문에 어느 방식이 가장 좋다고는 말할 수 없습니다.

The challenge is that supporting this kind of citizen interaction with government via the web means that identity needs to be solved. On the one hand you can’t just ask citizens to get a new user-name and password for all the websites across dozens of agencies that they log into. On the other you also can’t have one universal ID that the government issues to you and works across all government sites.Citizens need a way to interact with their government pseudononymously& in the future in verified ways.[6]

미국 정부의 user-centric 모델 선택

미국 정부는 user-centric 모델을 사용하기로 했습니다. 이번주에 열린 Gov 2.0 Summit에서 미국 정부 웹사이트는 OpenID와 InfoCard를 지원하는 파일럿 프로그램을 시작한다고 발표하였습니다. 예전에 오바마 대통령이 당선되자 마자, 인수위원회 사이트에 OpenID를 지원한 사례[7]가 있었지만, 이렇게 정부 차원에서 지원할 줄은 몰랐습니다. 이는 오바마 대통령이 주장한 Open Government를 실현하는 매우 중요한 첫걸음입니다.

Later this morning at the Gov 2.0 Summit, Federal Government CIO Vivek Kundrawill talk about data.gov and other governmental transparency initiatives, and will also be making an announcement regarding the launch of a open identity initiative featuring the use of both OpenIDand InfoCards in a special pilot program.[1]

사전 작업: 백서

OpenID와 InfoCard 측은 몇 달전부터 이 작업에 매달리고 있었습니다. 이들이 지난 달에 공개한 백서에서는 Open Government에서 신뢰 프레임워크를 구축하기 위한 방안으로 OpenID와 InfoCard를 사용하는 내용을 담고 있었습니다. 저는 단순히 OpenID와 InfoCard가 자신들의 기술이 이런 식으로 활용될 수 있다는 가능성을 정부에게 어필하기 위한 용도라고 생각했는데, 실제로 이루어졌습니다.

The OpenID Foundation has recently published a letter from executive director Don Thibeau as well as a fairly detailed white paper(PDF) on the subject of open frameworks for open governments that youmight want to read for background. While the ‘Participating Providersin the U.S. Government Pilot Program’ section on the OpenIDFoundation’s website hasn’t gone live yet, the Information Card Foundation provides more details about the pilot program on its blog.[1]

해당 백서에는 TFPAP(Trust Framework Provider Adoption Process)라고 하여 ID 프로바이더가 정부 웹사이트에 신뢰받기 위한 절차를 언급하고 있습니다. 즉, 새로 신뢰 프레임워크를 구성하고 정부 기관에서 사용할 ID 프로바이더를 만드는 대신, 외부의 OpeniD/InfoCard 프로바이더는 누구나 제시된 기준만 만족하면 정부 기관에서 신뢰하겠다는 의미입니다. 정부는 ID 관리 부담을 덜게 되고, 사용자는 id를 재사용할 수 있으며, ID 프로바이더는 많은 사용자와 웹사이트를 확보하게 됩니다.

The government is looking to leverage industry based credentials that citizens already have to provide a scalable model for identity assurance across a broad range of citizen and business needs – doing this requires a trust framework to assess the trustworthiness of the electronic credentials. see    Trust Framework Provider Adoption Process (TFPAP).  A Trust Framework Provider is an organization that defines or adopts an online identity trust model involving one or more identity schemes,has it approved by an government or community such as ICAM,and certifies identity providers as compliant with that model. The OIDF and ICF will jointly serve as a TFP operating an Open Trust Framework as defined in their joint white paper, Open Trust Frameworks for Open Government.[3]

프로그램 내용

이번에 수행할 프로그램의 내용은 외부의 OpenID/InfoCard 프로바이더를 'Assurance Level 1'의 기준으로 평가하고 해당 보증 레벨을 부여하는 것입니다. 자세한 내용은 다음 문서("Trust Framework Provider Adoption Process for Levels of Assurance 1, 2, and non-PKI 3")를 참고하시기 바랍니다.

The draft process for selecting approved Trust Framework Providers that will then certify individual identity providers is titled "Trust Framework Provider Adoption Process for Levels of Assurance 1, 2, and non-PKI 3" and is available for download as a PDF.

That draft includes requirements that OpenID or related Info Card identities not be used to authenticate people who are physically present (it's just for remote online access), that they not be used to transmit activity data or anything else beyond what is specificallyrequested by a government agency and that there be measures taken tocontinue protecting personal information if the identity provider goesout of business.

이번 시범서비스에 참여하는 10개의 ID 프로바이더는 Google, Yahoo, PayPal, AOL, VeriSign, Citi, Equifax, Acxiom, Privo, Wave Systems입니다. Microsoft가 없는게 의야하네요. 이전 포스트에서 언급했듯이, Microsoft가 아직 정식으로 OpenID 프로바이더가 되지 않았기 때문인 것 같습니다. Microsoft는 InfoCard 프로바이더도 없죠.

Google, Yahoo, PayPal, AOL, VeriSign, Citi, Equifax, Acxiom, Privo and Wave Systems will be the ten organizations to act as digital identity providers using OpenID and Information Card technologies in the first pilot programs designed for the American public to engage in open government. Representatives from the companies had met with governmen tIT officials early August to engage in talks about the initiative,which ReadWriteWeb caught wind of at the time.[1]

해당 프로그램이 현재 적용된 사이트는 NIH(National Institute of Health, http://www.nih.gov)입니다. 보증 레벨 1 수준으로 NIH 내의 사이트에 SSO 서비스를 제공하며, 베타테스트 기간입니다. 완전한 기능은 몇 주 지나야 합니다. 흥미로운 점은 NIH에서 사용하는 OpenID 토큰으로 InCommon의 것을 사용할 예정이라는 것입니다. InCommon은 Shibboleth 프로젝트로 잘 알려진 교육용 ID 관리 Federation 사이트입니다.

Dr. Jack Jones, NIH CIO and Acting Director, CIT, notes, “As a world leader in science and research, NIH is pleased to participate in this next step for promoting collaboration among Assurance Level 1applications. Initially, the NIH Single Sign-on service will accept credentials as part of an “Open For Testing” phase, with full production expected within the next several weeks. At that time, OpenID credentials will join those currently in use from InCommon, the higher education identity management federation, as external credentials trusted by NIH.”[1]

User Interface

UI는 기존의 OpenID와 유사할 것 같습니다. RPX처럼 웹사이트가 지원하는 여러 ID 프로바이더의 로고가 출력되고, 이를 클릭한 뒤에 해당 사이트의 id/pw를 입력하는 것이죠. 관련 기사를 통틀어서 언급은 안되었지만, InfoCard는 조금 다른 방식으로 제공됩니다. InfoCard 구동 버튼을 누르거나, 혹은 html tag를 이용하여 자동으로 identity selector를 구동시키겠죠.

Most likely users will be presented with an array of logos to click on,launching a new window to communicate just with the identity provider. Once a user proves who they are to the identity provider, that companywill then vouch for the user to the government site.[2]

보안/프라이버시 문제

가장 많이 걱정되는 건 보안 문제입니다. 외부 기관, 그것도 일반 상용사이트의 안전성을 어떻게 신뢰할 수 있을까요? 더구나 상용 사이트의 인증 정보를 정부 기관에 사용하는 건 더 큰 신뢰를 요구하는 일입니다. 만일 사이트가 해킹당하거나 악의적인 내부자의 소행으로 계정정보가 노출된다면 그 피해는 상상을 초월할 것입니다.

OpenID/InfoCard 측에서도 보안과 프라이버시를 가장 중요한 항목으로 두고 이번 작업을 진행한다고 합니다. 보증 레벨을 1로 설정하고, 인증 토큰을 제외한 개인정보는 이번 단계에서는 주고 받지 않습니다. 향후에 안전성이 보장되면, 개인 정보를 주고 받게 될 것입니다.

OpenID board member and Facebook employee David Recordon explainedto ustonight that participating government sites are not allowed to passpersonal information about users from one site to another, even thoughwe'll be logging in with the same accounts. Instead, when weauthenticate ourselves with Google, Yahoo, Verisign or whoeverourIdentity Provider of choice is, that website will pass adifferent,unique URL to the government site we're logging in to.[2]

Don't worry, your doctor will not store your medical records underyourTwitter handle yet. The pilot program is stepping first into aphase of public discussion, it is participated in only by IdentityProviders that have undergone extensive scrutiny (Twitter's notincluded) and participants say that individual privacy is being treatedwith the utmost regard. If they can pull it off, these organizationscould makeusing the .gov web easier and more effective than it's everbeen before.[2]

또한 정부 기관의 보안인력은 거의 없기 때문에, 차라리 ID 관리를 위탁하는 이 방식이 좀 더 안전할 지도 모릅니다. 물론 인력을 확충하는게 최선이지만, 그게 아니라면 제대로 진행되는지 감시하는 역할에 충실해야겠죠.

ID 프로바이더의 역할이 더욱 중요해지고 공격 대상이 될 것입니다. 왜냐하면 ID 프로바이더에는 해커들이 좋아할 정보가 모두 들어가있고, 이를 이용하여 다른 사이트를 쉽게 공격할 수 있기 때문입니다. 또한 ID 프로바이더는 사용자가 해당 계정으로 어느 웹사이트를 언제/어떻게/왜 방문했는지의 정보를 기록하기 때문에 사용자의 행동 패턴이 그대로 노출될 수 있습니다. 이 또한 내부자에게 악용될 소지가 큽니다. 따라서 ID 프로바이더는 해당 정보의 관리에도 내/외부 모두 철저해야 할 것입니다.

The identity providers will keep track of all the unique URLs used toidentify us to different government sites and we'll just need toremember one log-in. That means you'll need to trust your identityprovider to keep your private information separated between agencies-it won't be up to the government sites themselves to do so.[2]

그래도 여전히 걱정되는 부분이 있습니다.[5] 이 부분은 별도로 정리해서 포스팅하겠습니다.

마무리

우선, OpenID와 InfoCard가 드디어 주류에 편입하게 되어서 기쁩니다. 특히 InfoCard는 제대로 된 대규모 적용 사례가 없었는데, 첫 사례가 대박이네요. OpenID 또한 더욱 급속도로 계속 확산될 전망입니다.

그리고 이번 사례로 정부 웹사이트가 단순히 브로셔 수준에서 벗어나 사용자와 적극적인 상호작용을 할 수 있다는 점을 보여주게 되었습니다. 업계 주도로 이루어지는 '데이터 이동성' 작업에도 정부가 주도할 수 있는 계기가 되었구요. 팀 오라일리가 Gov 2.0이 새로운 플랫폼이 되라고 주장했는데, 신뢰 프레임워크를 확보함으로써 아주 많은 것을 이루었습니다.[4] 팀 오라일리가 언급한 내용은 차니 님께서 번역하셨으니 참고 바랍니다.[8]

레퍼런스

[1] http://www.techcrunch.com/2009/09/09/us-government-to-embrace-openid-courtesy-of-google-yahoo-paypal-et-al/
[2] http://www.readwriteweb.com/archives/openid_going_mainstream_us_gov_announces_pilot_pro.php
[3] http://www.identitywoman.net/open-identity-for-open-government-explained
[4] http://www.techcrunch.com/2009/09/04/gov-20-its-all-about-the-platform/
[5] http://radar.oreilly.com/2009/08/privacy-and-open-government-co.html
[6] http://netmesh.info/jernst/big_picture/openid-and-government
[7] http://ayo79.egloos.com/3995095
[8] http://blog.creation.net/393

WebFinger는 Email 주소를 이용하여 개인의 identity를 관리하자는 기술입니다. WebFinger라는 작명을 한 이유가 바로 웹에서 나를 가리키는 손가락이 되자는 뜻이겠죠. TechCrunch에서는 아주 긍정적으로 WebFinger 기술을 소개하는데[1], 기본 개념은 매우 간단합니다. OpenID에도 적용되고, OASIS에서도 독자적으로 표준화가 진행된 XRD(eXtensible Resource Description)를 기반으로 합니다. 파일 하나에 자신의 이름, 연락처, 공개키, OpenIDProvider 주소 등 다양한 identity 정보가 포함될 수 있습니다. OpenID인 경우, 그 파일 역할을 URL이 하고, WebFinger는 Email 주소라는 점이 다릅니다.

It’s an extension of something called the “finger protocol”that was used in the earlier days of the web to identify people by their email addresses. As the web expanded, the finger protocol fadedout, but the idea of needing a unified way to identify yourself has not. That’s why you keep hearing about OpenIDand the like all the time.[1]

The problem with it has been that it’s just a string of text, nothing more. You cannot attach information to it to let others know a bit more about you — something vital for true identification. Then idea behind WebFinger is that you should be able to attach any information you choose to your email address.[1]

WebFinger가 며칠전부터 이슈화 되었지만, 실은 2009년 5월에 열린 IIW8에서 논의된 내용이었습니다. [6] 노트까지 뽑아두고는 게을러서 아직도 못보고 있었네요.


위 그림에서도 보이듯이 WebFinger 프로젝트는 구글코드(http://code.google.com/p/webfinger)에 둥지를 틀었습니다.[2] BSD 라이센스를 사용하니 마음대로 가져다 쓸 수 있겠네요. 그리고 OpenID 쪽 사람들이 많이 보입니다. OpenID도 이제 볼륨이 커져서 마음대로 다양한 기술을 시도하기 어렵고, 지난 번 구글이 Email 주소를 OpenID로 사용할 때 논란이 있었습니다. 그래서 아에 이 부분만 별도의 프로젝트로 만들어 다양한 시도를 할 것 같습니다.

WebFinger가 포함하는 identity 정보는 아래와 같습니다.

    * 공개 프로필
    * IDP 위치(identity provider) (e.g. OpenID server)
    * 공개키
    * 해당 Email 주소를 사용하는 서비스 목록 (e.g. Flickr, Picasa, Smugmug, Twitter, Facebook, and usernames for each)
    * 아바타의 URL
    * 프로필 (nickname, full name, etc) - 공개 프로필과의 차이점은 잘 모르겠네요.
    * JID 여부. 검색해보니 JID는 XMPP의 주소같네요. 둘다 something@somewhere.com 형식이기 때문에 모호함을 피하기 위해서 명시합니다.
    * 공개 메타데이터 포함여부, Email 주소는 단순히 엔드포인트로서, 인증 후에 메타데이터를 제공할 수도 있음

WebFinger 기술은 어렵다기 보다는 기업들간의 정치적인 입김이 중요하게 작용할 것 같습니다. 구글이 Gmail에 적용하고 적극적으로 홍보한다면, 그리고 다른 기업들이 자발적으로 참여한다면 OpenID보다도 더 활발하게 사용되고 확장될 수 있습니다. 그게 아니라면, 조용히 사라지겠죠. 야후 개발자도 참여한다는데 실제로 적용될지는 미지수입니다.

OpenID 진영과의 관계 또한 애매합니다. 저는 WebFinger를 보면서 구글이 OpenID보다 WebFinger를 키우리라는 예감이 들더군요. OpenID 진영에서 욕먹느니보다는 구글이 원하는 바로 그 기술만 개발하고 적용하는게 효과적입니다. 좀전에도 언급했듯이 조그만 프로젝트기 때문에 흥미있는 시도 또한 많이 이루어질 것 같구요. 진도도 느리고 모멘텀을 잃어버린 OpenID는 어떻게 진행될지도 궁금합니다.

마지막으로 지적할 부분은 바로 보안, 프라이버시 이슈입니다. 구글의 Email 을 OpenID로 사용한다는 방안을 제시했을 때, 많은 사람들이 프라이버시 문제를 언급했습니다. Email 주소가 노출되기 때문에 스팸이나 피싱 등의 문제가 발생합니다.[4]

WebFinger의 근간으로 언급되는 Finger 프로토콜도 마찬가지 이유로 사장된 기술입니다.[5] 크래커들이 Email , 이름, 전화번호 등을 획득하여 사회공학적 방법으로 해킹을 시도하는 경우가 빈번했습니다. 별다른 보안 요소가 준비되지 않는다면 WebFinger 기술 또한 사장될 수 있습니다. 다행이도, WebFinger 프로토콜에서 인증 후에 메타데이터 정보를 제공하는 기능이 언급되어 있는데, 자세한 내용은 언급되지 않았지만, 이 기능이 보안 문제를 해결할 것으로 기대합니다.

Supplying such detailed information as e-mail addresses and fullnames was considered acceptable and convenient in the early days of Internetworking, but later was considered questionable for privacy andsecurity reasons. Finger information has been frequently used by crackers as a way to initiate a social engineering attack on a company's computer security system. By using a finger client to get a list of a company's employee names, Email addresses,phone numbers, and so on, a cracker can telephone or Email someone at a company requesting information while posing as another employee. The finger daemon has also had several exploitable security holes which crackers have used to break into systems. The Morris worm exploited an overflow vulnerability in fingerd (among others) to spread.[5]

레퍼런스
[1] http://www.techcrunch.com/2009/08/14/google-points-at-webfinger-your-gmail-address-could-soon-be-your-id/
[2] http://code.google.com/p/webfinger/
[3] http://www.hueniverse.com/hueniverse/2009/03/xrd-sneakpeek.html
[4] http://stackoverflow.com/questions/1083948/why-is-it-dangerous-to-use-an-email-address-as-an-openid
[5] http://en.wikipedia.org/wiki/Finger_protocol
[6] http://iiw.idcommons.net/11D:_Webfinger_aka_Personal_Web_Discovery

7월 27-31일에 Burton Group의 Catalyst Conference가 열립니다. 8개의 세션 중에서 1개는 ID 관리여서 항상 좋은 정보를 얻게 되는 행사입니다. 추가로, 올해는 클라우드 어플리케이션을 위한 SSO(Single Sign-On) 상호운용성 데모가 열린다고 해서 더욱 관심이 갑니다.

Burton Group’s Catalyst Conference North America 2009 will be the host of the single sign-on interoperability demonstration for cloud applications July 27-31 in SanDiego, CA. Wednesday night, July 29th. [2]

클라우드 환경에서의 ID 관리를 위해 뭔가 새로운 기술이 사용되는 건 아닙니다. 물론 뭔가 특화된 기능이 추가되면 좋겠지만, 클라우드 기술이 더 활성화되면 요구사항이 나오겠죠. 일단은 기존의 ID Federation 기술이 클라우드 환경을 위한 SSO(Single Sign-On) 서비스에 적합한지를 보여줄 예정입니다. ID 기술로는 SAML, WS-Federation, OpenID, Information Card이 적용됩니다.

이 데모의 목적은 다음과 같습니다.
- Federation 표준이 성숙했고, 다양한 시나리오에서 사용될 수 있음
- SaaS 기업들이 이미 Federation  표준을 준수하고 있음
- 기업들이 SaaS로부터 표준화된 SSO를 요구함

데모 시나리오는 다음과 같습니다. IDP(Identity Provider)가 SAML, WS-Federation, OpenID 기술을 통해 여러 어플리케이션에게 SSO를 제공합니다. IDP는 사용자가 접근하는 시점에 적절한 권한을 부여해줍니다.

다른 시나리오는 SAML 2.0과 OpenID를 결합하여 NIST의 ID 보증 가이드라인에 따라 1-3 레벨을 지원합니다. 그 시나리오는 JanRain이 만든 어플리케이션이 사용됩니다.

Interop participants have agreed upon the base scenario for the demo. In this case, identity provider instances will demonstrate single sign-on to several application environments – using SAML, WS-Federation and OpenID. Where supported, identity providers will also demonstrate just in time provisioning of user access. There will be an advanced scenariois being developed that combines SAML 2.0 and OpenID to meet NIST’s Level 1 through Level 3 identity assurance guidelines. This scenario is being built around a sample application, led by JanRain.[2]

그러면 이 데모에 얼마나 많은 기업이 참여할까요? 이름없는 몇 기업이 참석한다면 아직 클라우드 환경의 ID 관리는 시기상조라고 생각할 수 있겠죠. 하지만 Google, Microsoft, Yahoo!, MySpace, Sun, Novell, IBM 등등 대기업들이 다수 참여했습니다. 클라우드 서비스를 지원하는 Microsoft의 Azure, Google의 AppEngine, Amazon의 EC2 중에 2개의 기업이 참여하니 나름대로 의미가 있는 행사라고 봅니다.

• SaaS 업체; Cisco, Google, SalesForce 등
• Federation 업체; CA, IBM, Novell, Sun 등
• OpenID 업체; JanRain, MySpace, Plaxo, Yahoo! 등
• Information Card 업체; Microsoft 등

thanks to participants such as Cisco WebEx, Exostar (hosted SharePoint),eXpresso Corp, Google Apps, PivotLink, SalesForce, and even BurtonGroup's client web site. Other participants contributing from thefederation software side include Arcot, CA, Cloud Identity, FuGenSolutions, IBM, Microsoft, Novell, OpenIAM, Ping Identity, RSA,Siemens, Sun Microsystems, Symplified, and TriCipher. FuGen Solutionsand JanRain have also been developing some advanced scenarios todemonstrate how higher levels of assurance can be achieved in afederated authentication. Other organizations that have alsoparticipated include Azigo, Information Card Foundation, Microsoft LiveID, MySpace, Plaxo, and Yahoo!.[1]

레퍼런스
[1] http://identityblog.burtongroup.com/bgidps/2009/07/cloud-sso-interop-demonstration.html
[2] http://www.burtongroup.com/AboutUs/newsdetail.aspx?id=27

OpenID, the identity landscape, and social networks

Facebook이 OpenID RP(Relying Party)가 되었다는 내용입니다. 거의 모든 사람들이 Facebook 같은 대기업은 OpenID RP가 될 리가 없다고 말했었는데, 이제 틀린 얘기가 되었습니다. 물론 저도 틀렸죠.

왜 Facebook이 OpenID RP가 되었을까요? 이 블로거는 Facebook이 데이터 이동성을 위해 OpenID를 도입해야 하는 상황에서 굳이 OP(OpenID Provider)가 될 필요성을 못느꼈기 때문이라고 말합니다. OP가 되면 id 정보를 얻을 수 있지만, 그 정보로 돈을 벌기는 어렵습니다. 하지만 RP가 되어 사용자에게 데이터 이동성을 제공하고 쉽게 서비스를 사용할 수 있게 해준다면 돈이 됩니다.

Similarly, major identity providers like Google, Facebook are stuck at sharing a few hundred million users between them, they shift their attention to somehow involving all those users that didn’t sign up withthem. Pretty much all of them are OpenID providers already. Facebookjust took the obvious next step in becoming a relying party as well.The economics are mindbogglingly simple: Facebook doesn’t make money from verifying peoples identity but they do make money from people using their services.

OpenID 진영에서 RP의 이점으로 얘기하던 항목이었는데, Facebook이 RP의 이점을 취할지는 생각하지 못했었죠.

하지만 일반인들이 모두 OpenID를 가질만큼 OpenID가 확대되지는 못할 것으로 예상합니다.