Korean Identity Management(KIM)

• Lift09 둘째날

channy님께서 lift09의 참관기를 올려주셨습니다. 제가 직접 가는 것보다 더 많은 것을 볼 수 있었습니다. 세션 동영상이 공개되어 있으니 관심있는 주제는 꼭 봐야겠습니다.

그 밖에 RFID 보안 이슈 등 여러 가지 세션이 있으니 Lift 09 모든 세션의 동영상이 영어/프랑스어로 공개되어 있으니 프로그램 목록을 보시고 관심있는 분들은 참고하시길 바랍니다.

• Data Pollution and our age

유명한 보안 전문가인 브루스 슈나이더의 에세이에 대한 내용입니다. Data를 쓰레기에 비유했는데, 현대 정보사회에는 Data가 쓰레기처럼 넘치고, 재사용하면 유용하지만 잘못 사용할 경우에는 치명적일 수 있다고 합니다.(toxic) 프라이버시는 Data를 잘 관리하고, 부가적인 수익을 얻기 위한 기본권이라는 주장이 신선하네요. 산업시대의 이슈가 정보화시대에도 이렇게 적용되다니.. 세상은 돌고 도는 것 같습니다.

Privacy isn’t just about having something to hide; it’s a basic right that has enormous value to democracy, liberty, and our humanity.

• XACML and SAML - a Match Made in... 2005

누군가 XACML과 SAML을 같이 사용하려면 문제가 많다는 의견을 냈습니다. 이에 대한 반박글로 이미 2005년에 XACML v2.0의 SAML 2.0 프로파일 문서가 나왔다는 내용입니다.
 

Four years ago, OASIS defined the interaction between XACML and SAML in SAML 2.0 profile of XACML v2.0 [PDF] , part of the XACML 2.0 specification set .

• The password anti-pattern

site-scrapping 같이 타 사이트의 id/pw를 직접 입력받는 패턴은 피싱 공격을 초래할 수 있으므로 피해야 한다는 내용입니다. 대신 OAuth 서비스를 이용하는 방안을 제안했습니다.

리플을 보니, 많은 사이트들이 사용하는 방식인 session key와 유사한 기술은 어떨까라는 의견이 몇 개 있네요. 아직 외국에서는 이 방식도 드문가봅니다.

다른 리플 중에서는 OAuth는 아직 성숙되어 있지 않기 때문에 도입하기에는 시기 상조이며, OAuth 같은 공개 스펙은 사이트의 정보를 다른 사이트와 공유하겠다는 마인드를 가정하고 있기 때문에 비즈니스 관점에서는 널리 받아들여지기 어렵다는 의견입니다.

저도 동감입니다. 여전히 id/pw 식의 site-scrapping 방법이 사용될 수 밖에 없겠죠.

• 웹2.0 엑스포 유럽2009' 취소 소식

웹2.0의 거품이 빠지는 것 같습니다. 제가 있는 ID 관리 쪽도 얼마전에 유럽 컨퍼런스가 연기되었다는 소식이 들렸는데, 다행히 하반기로 일정이 잡혔더군요.

• RSA® Conference 2009 Agenda and Sessions

RSA는 ID 관리 기술을 중요하게 다루는 컨퍼런스 중의 하나입니다. 4월 중순이라 참석할 수 있을지는 모르겠지만, 주위 분들이 자료를 얻어오시면 한동안 즐거운 시간을 보낼 수 있을 것 같군요. 아래는 agenda 중에서 제가 관심있는 부분입니다.

키노트
- The Transformation of Identity and Access Management
- Moving Towards ‘End to End Trust’: A Collaborative Effort

1-day 튜토리얼
- TUT-M21 - Building an Enterprise-Strength Identity & Access Management Architecture
- TUT-M31 - The Evolution of Authentication

세션
XML Attacks and Prevention in a Web 2.0 World
Case Study: Five Web Services Security Examples
Fostering Collaboration and Opportunities in Identity Management
Building Authorization Into The Enterprise Identity Metasystem
Drafting Identity Management Contracts: Understanding the Legal Challenges
Protecting User and Corporate Data Privacy in the Browser
Social Networks: The New Frontier for Malware, Spam and Identity Theft
The Seven Most Dangerous New Attack Techniques, and What's Coming Next
Identity Management for the Cloud: Challenges, Opportunities and Best Practices
Harnessing the Power of Digital Identity: 2009 and the Promising Road Ahead

• Long Trip & Three Identity Dinners

Identity Woman, Kaliya는 이 분야에서 매우 활발하게 활동하는 여성입니다. 수많은 프로젝트에서 중요한 기능을 담당하고 있습니다. 이번에도 장거리 출장을 다녀와서 어떤 이야기를 주고 받았는지 소개합니다. 그 중에 Information Card와 관련된 부분이 인상적이네요. 기업 위주로 진행되기 때문에 여러가지 우려가 존재하지만, 기업 위주로 진행되기 때문에 이 분야가 그만큼 성장했고 더욱 발전할 수 있다는 내용에 동감합니다. 지금은 경쟁보다는 파이를 키우는데 집중해야겠죠.

Most knew about OpenID they were unfamiliar with information cards.It was interesting to hear people’s deep concern about corporateinvolvement in the development of these standards - the three corporatenames I mentioned in relationship to information cards seemed to raiseparticular ire - Microsfot, Novell and IBM.

 I mentioned Higgins (the open source project) andtalked about the standardization effort at OASIS. This didn’t sway themmuch they “just distrusted” the corporate involvement.

I personally am very clear that corporate involvement is essentialto getting an identity layer to happen. I was re-affirmed in thisexchange in knowing that the corporate perspective is not enough andhaving a trusted space for critical conversations around issues thatarise with identity need a commons for them to occur (that is a spacewhere corporations do note have the ultimate veto about what groups areor are not allowed in the conversation).

If a space like this does notexist to create a dialogue amongst diverse interests and perspectivesthen the risk of it not happening or not getting adoption by people.

차니님이 알려주신 정보입니다. Web 2.0 서밋 자료가 모두 공개되었더군요.

그 중에서 제가 관심있어 하는 Cloud Computing과 Health 분야의 동영상을 포스팅합니다.

더 많은 자료는 http://en.oreilly.com/web2008/public/schedule/proceedings 를 참조하세요.

Cloud Computing





Health

title; Graphing your online identity
link; http://www.networkworld.com/newsletters/dir/2007/0827id1.html?nlhtim2=ts_082707

Brad Fitzpatrick와 David Recordon은 OpenID를 만든 사람들입니다. 그들이 만든 OpenID는 전세계 1억2천만 사용자를 보유하고 있으며, 4500여개의 사이트에서 활용되고 있습니다. 이번에는 그들이 제안한 social graph라는 개념이 블로고스피어에서 이슈가 되고 있죠.

web2.0 시대를 맞아 social network 사이트가 많이 등장하고 있는데요. Facebook이나 MySpace 그리고 국내에는 싸이월드가 대표적이겠군요. 문제는 새롭게 등장하는 social network 사이트마다 기본 정보를 입력하고 친구를 등록하는 작업이 너무 번거롭다는 것입니다. Brad는 이 문제를 해결하기 위해 social graph 개념을 제안[paper,ppt] 하였습니다. social graph는 모든 사람들이 플랫폼 마다 새로 관계를 맺는게 아니라, 범용적으로 사용할 수 있는 관계를 만들어서 재사용 하자는 것입니다.

What I mean by "social graph" is a the global mapping of everybody and how they're related,

범용 프레임워크는 오픈소스 소프트웨어를 이용하여 모든 social network 사이트의 graph를 수집하여 하나의 graph로 통합하고, 재배포할 수 있어야 합니다. 수집 방법으로는 오픈API를 사용하거나 데이터를 다운받는 방법이 가능하겠죠. 마이크로포맷(microformat)을 사용한다고 합니다. 마이크로 포맷의 스펙은 살펴보지 못했는데 한 번 찾아봐야겠군요.

Brad and David’s answer to this problem is to begin to create protocols that will enable “…open source software (with copyrights held by a nonprofit) which collects, merges, and redistributes the graphs from all other social network sites into one global aggregated graph. This is then made available to other sites (or users) via both public APIs (for small/casual users) and downloadable data dumps, with an update stream / APIs, to get iterative updates to the graph (for larger users).” Eventually, they see the system becoming distributed and decentralized.

That said, this project will use open standards, microformats, etc in all data that is republished in, say, widgets (for those users who like widgets)

좋은 생각인 것 같지만, 왠지 상투적인 느낌이 들죠? 사이트 마다 흩어진 데이터를 모아서 재사용할 수 있게 하자는 아이디어는 예전부터 있었습니다. ID 관리 분야에서도 Novell의 DigitalME와 같은 시도가 있었습니다. 하지만 결과적으로는 실패했습니다. 왜냐면, 사용자 데이터를 보유하고 있는 shareholder는 이미 시장에서 지배적인 위치에 있고 그 위치는 그들이 보유하고 있는 사용자 정보에 가치를 두고 있기 때문입니다. 그들이 왜 순순히 자신들의 소중한 자원을 양보하려 할까요? 왜 가입자들이 다른 사이트로 쉽게 이동할 수 있는 방법을 제시해 주려 할까요? 그럴 이유가 전혀 없거든요.

There are enormous economic incentives for companies that run social networks to not let users of other networks access their services. Shareholder value is a function of how many users they have, how they are “monetized” and how hard it is to switch. The harder it is to switch, the more money each user is worth. Any exec that did anything to decrease the number of users they control would probably be fired. So anything that depends on this isn’t very likely to happen, in existing networks.
- http://www.scripting.com/2007/08/20.html

지난 번에 실패했다고 이번에도 실패하리라는 보장은 없죠. 보기좋게 성공할지도 모릅니다. 이미 여러 사람들이 커뮤니티를 만들어 열심히 해결 방안을 논의 중에 있습니다. 하지만 개인적인 생각으로는... 어려울 것 같네요.

They’ve never caught on, but that doesn’t mean they won’t this time. And you can be in on it. See the Google Group that’s been started, or plan to come to the Data Sharing Summit in the San Francisco area, Sept. 7-8. You could help shape the Next Big Thing.