2006-12-29

하드웨어는 소프트웨어보다 안전하다(?)


사람들은 일반적으로 하드웨어는 소프트웨어보다 안전하다고 생각합니다.
가령, ATM기를 이용하는 것이 집에서 인터넷뱅킹을 하는 것보다 안전하다고 생각하는 것이지요.

하지만, "무인발급기 해킹" 기사를 보면 특정 목적의 하드웨어는 소프트웨어와 전혀 다르지 않으며 오히려 더 위험할 수 있다는 것을 알 수 있습니다. 이런 사태는 물리적 보안만을 고려하고 논리적보안을 고려하지 않았기 때문입니다. 즉, 물리적으로 보면 안전한 장소에서 운용되고 있고 감시카메라도 있으니 문제없을 수 있지만, 논리적으로보면 그냥 윈도우 PC라는 사실입니다.

이와 관련해서 캠브리지 대학의 연구원은 테트리스를 실행하는 신용카드 조회기를 만드는 재미있는 을 했네요...
특정 목적의 하드웨어라고해서 안전한 것은 아니다라는 것을 너무 재미있게 가르쳐주는 동영상이네요.

2006-12-26

OpenID 커뮤니티 블로그 탄생



OpenID 활성화 모임 이후에 오픈마루 Kay 님의 봉사를 통해서 OpenID 커뮤니티 블로그가 탄생했습니다.

수고해주신 Kay님 감사드리고, 앞으로 Kay, steve 님과 함께 OpenID 커뮤니티를 활성화하기 위해서 노력하겠습니다.



OpenID에 관심이 있는 많은 분들의 참여도 부탁드리겠습니다~

2006-12-15

SAML 2.0과 OpenID, i-name



Sun의 Identity 제품 설계자인 Pat Patterson씨가 IIW2006b에서 Yadis/XRI resolution과 SAML 2.0을 결합하는 방법을 데모했습니다.

즉, SAML이 연동되어 있는 서비스 제공자와 SAML identity provider 간에 identifier로써 OpenID URL 또는 i-name을 사용할 수 있고 이것을 어떻게 구현해야 하는 지를 설명하는 자료입니다.



국내에서도 정통부 아이핀, 행자부 통합 ID 등의 ID 관리 서비스가 논의되고 있는데요, identifier와 Service Discovery와 관련된 얘기는 없는 듯 합니다. 내년 OpenID 모임들을 준비하면서, 이런 부분들도 고민해봐야겠네요...

2006-12-08

OpenID 활성화 모임


몇일 전에 OpenID에 관심이 있는 몇 분들과 간단한 미팅을 했습니다.

앞으로 OpenID를 국내에서도 활성화시켜보자, 이를 위해 내년 3월까지 OpenID 제공서비스 2-3개를 오픈하고, 신규서비스를 중심으로 OpenID를 채택하도록 권고해보자. 그리고, 채택한 사이트를 OpenID 한글페이지에 게시해서 타의 모범으로 삼자등의 얘기들이 오갔습니다.

이제까지 열심히 id 2.0 떠들고만 다녔는데, 실제 서비스를 여기저기서 준비하고 계신분들을 만나니 기분이 좋았습니다. 이제 저도 본격적으로 준비를 해야할 때가 된 것 같네요.

2006-11-16

OpenID korean mirror



openid.co.kr을 소유하고 계신 kayflow 님께서 openid.net의 mirror 사이트를 만드시고, openid.co.kr 도메인을 기증하셨네요.

한동안 여기저기 id2.0에 대해서 떠들고 다녔는데, 이렇게 좋은 일을 해주시는 분들이 있으니 조만간 한국에서도 OpenID가 활성화될 것 같습니다.

2006-11-15

패스워드 강화 및 피싱관련 논문


이번에 논문쓰면서 참고했던 논문리스트입니다. 참고하시고, 도움이 될만한 다른 논문이 있으면 코멘트로 추가해주세요.

2006-11-09

패스워드 강화방법

이번에 정보처리학회 추계학술발표대회에 논문을 발표하게 되었습니다.
패스워드 강화방법이란 하나의 약한 패스워드로부터 강한 패스워드를 생성하는 방법입니다.

대부분의 사용자들이 여러 웹 사이트에 동일한 패스워드를 사용하는 데, 이러한 점을 악용하여 보안이 낮은 사이트를 공격하여 얻는 패스워드를 다른 사이트를 공격하는 데 사용할 수 있습니다.
이러한 공격을 막기 위한 방법이 패스워드 강화방법(Password Stretching method)입니다.

제가 제안한 방법은 사용자들이 가지고 있는 매체(신용카드, 신분증)의 정보를 이용하여 salting을 하는 방법입니다.

앞으로 브라우저 확장모듈에 붙이고, 영문으로 작성해서 WWW2007에 포스터를 내보려고 합니다.

2006-10-27

NHN R2 OTP

NHN의 새로운 게임 R2의 로그인 시스템에 OTP 서비스를 제공하게 되었습니다.
올해 초에 엔씨소프트와 린OTP 서비스를 오픈한 후에 좀 오래걸렸네요..

참고로, OTP 서비스는 Two-factor 인증 아웃소싱 서비스입니다. 아직까지는 게임사들이 주로 사용하고 있지만, 언젠가는 금융계열도 핸드폰을 이용한 OTP 서비스를 사용할 것이라 믿습니다.

2006-10-24

Technorati, OpenID 지원

Technorati가 OpenID를 지원합니다.
앞으로 Technorati 사용자들은 자신의 계정에 자신의 블로그를 등록하는 과정에서 OpenID를 사용할 수 있게 된다는 내용의 발표입니다.
이것이 OpenID 확대의 계기가 될 것이라는 zdnet의 글Firefox에 OpenID를 채택하고자 하는 노력들도 참고하세요.

Technorati Tags: , ,

RFID 신용카드 공격

교통카드 등에서 많이 사용하고 있는 RF신용카드(비접촉식 카드)로부터 사용자명, 신용카드 번호, 유효기간, 카드종류, 지원 프로토콜 종류 등을 얻을 수 있다고 하고, 복사한 카드로 거래를 할 수 있다고 합니다. 관련 공격에 대한 논문기술보고서입니다.

Technorati Tags: ,

2006-10-09

구글 코드 검색과 Bugle


구글 코드 검색의 위험에 대해서 여기, 저기서 경고하고 있습니다.
Bugle은 이러한 위험한 코드들의 모음입니다. 자신의 사이트가 위험한 지 아닌지를 역으로 추적해볼 수 있으니 많은 도움이 되실 듯 합니다.


Technorati Tags: , ,

2006-09-18

Google Search API Worms


Web worm이 구글 검색을 이용해서 전파될 수 있다는 내용의 입니다.
정리하면, Worm이 스스로 SQL Injection, XSS 등의 공격에 취약한 사이트를 구글 검색 API를 이용해서 찾고 해당 사이트를 공격하여 컨텐츠에 스스로를 복제하는 방법으로 botnet을 만들 수 있다는 내용입니다.

Technorati Tags: ,

2006-09-11

i-name 이벤트


알립니다.

i-name GRS에서 가격이 USD $20/year인 개인용 i-name을 $5에 판매합니다. 관심있는 분들의 많은 참여를 바랍니다.
본 행사는 Digital ID World 컨퍼런스 개최를 기념하는 행사이며, 컨퍼런스 기간인 9월 10일 22:00 (GMT) ~ 9월 14일 2:00 (GMT) 사이에만 신청된 건에 한해서만 유효합니다.

정식 기사는 월요일 아침 8시 (Eastern Time)에 배포될 예정이며, 해당 시간 이후 inames.net에서 자세한 내용을 참고하시기 바랍니다.

7월 12일 i-broker 서비스를 시작한 후 미국, 중국, 한국, 러시아까지 예상보다는^^ 많은 분들이 다양한 관심을 보여주셨고, i-name 서비스도 신청해주셨습니다. 덕분에 openid.cn을 운영하고 계신 중국 분도 알게 되었습니다^^. 저에게는 이렇게 적은 비용으로(그러니까 허접하지~ 하는 분도 있겠으나...ㅋ), 서비스를 할 수도 있겠구나를 스스로 시험해본 좋은 계기였습니다.

그리고, 또 다른 소식으로 9월 12일 이후 i-name과 OpenID authentication이 호환이 됩니다. 즉, janrain의 openid library 버전 1.1 이상으로 openid 로그인을 구축한 모든 사이트에서 i-name을 입력해서 로그인할 수 있습니다.
(점점 더 i-sso가 편리한 서비스가 되어가는 듯 하네요...ㅋ)

아뭏든, 1년 후에 다시 한 번 되짚어보면 재미있겠네요...


Technorati Tags: , ,

2006-08-28

Barclays 은행 OTP 채택


그동안 피싱공격의 대상이 되어왔던 Barclays 은행이 OTP를 채택한다고 하는군요.
계산기만한 카드 리더기가 직불카드를 읽어서, 인터넷뱅킹 로그인에 필요한 OTP 값을 생성한다고 하는군요.

인터넷 뱅킹에 OTP를 채택하는 것은 대세가 되어가고,
누가 먼저 Man-in-middle Attack을 해결하느냐가 그 다음 연구과제가 되겠군요.

271,712개의 Malware 데이터베이스


보안 시스템과 악성코드 탐지 시스템을 개발하시는 분들 참고하세요.
Malware Distribution Project

2006-08-01

OpenID 보조금

OpenID를 채택하는 첫번째 10개의 프로젝트 각각에 US$5,000를 지원한다고 합니다. 지원자격은 다음과 같습니다.

  • OSI-approved license로 배포
  • 최소 200,000명의 사용자와 월 5천 다운로드 이상이어야 함
  • OpenID 2.0을 인증시스템 또는 identity Provider에 사용해야 함
  • 8월에 발표될 OpenID 호환성 테스트를 만족해야 함
  • OpenID를 가능한 적은 설정변경으로 동작시킬 수 있도록 해야함
  • 로그인 폼에 OpenID 로고를 표시해야 함.
  • 로그인 폼 옆에 "What is OpenID?"의 답변에 대한 링크를 달아야 함.
자세한 것은 여기를 참고하시고, WebCalendar, Socialtext, DSpace, Fedora 프로젝트가 관심을 보이고 있네요.

조건에 비하면 보조금이 작은 것 같기도하고^^, 아뭏든 관심있는 분들 참여해보시길.
(앗! 아니군요...각 프로젝트에 $5,000 씩 지원한다고 합니다.)

Technorati Tags: ,

2006-07-21

IETF66에서 열린 Identity 2.0 BOF


정확한 이름은 WAE(Web Authentication Enhancements) BOF였습니다.
왜 이런 BOF가 열리게 되었는 지는 WAE Requirement를 보시면 도움이 되실 것 같고, BOF에 대한 보고서는 여기에 있으니 같이 보시면 피싱 연구하시는 분들께는 도움이 되겠습니다.

Technorati Tags: ,

2006-07-20

Apache Heraldry 프로젝트 승인


여기서 소개했던 Apache Heraldry 프로젝트가 승인되었습니다.
이것은 조만간 i-name, OpenID, Yadis 등을 지원하는 아파치 서버가 생긴다는 것을 의미합니다.
ID2.0 아파치 모듈이 설치된 두 개의 서버 간에 SSO, Profile Exchange 등을 지원할 수 있다는 얘기가 됩니다.
이런 모듈이 활성화될 쯤에는 매쉬업의 영역이 넓어지는 것을 볼 수 있겠군요...


Technorati Tags: ,

2006-07-14

i-broker 서비스 시작

2006 7 12, 저희 회사가 세 가지 i-service를 제공하는 최초의 i-broker가 되었습니다. 그동안 i-name 등록, i-services 연동, 지불서비스 연동하느라 고생 좀 했네요...

이제 여기서 i-name을 등록하시면 바로 ISSO, Contact, Forwarding 서비스를 받을 수 있습니다.

블로그에 연락처 남기실 때 메일주소 바로 남기지 마시고, i-name을 사용해보세요. i-name 연락페이지(예: http://xri.net/=changhee.lee)로 메시지를 받고서 상대방에게 메일주소를 알리고 싶지 않은 경우에는 계속해서 i-name 연락서비스를 이용해서 메시지를 주고받을 수 있습니다. 물론 메일주소를 알려도 상관없는 사람에게는 직접 메일로 연락하시면 되겠구요. i-name 등록하시고 스팸방지 연락서비스를 받으시기 바랍니다.

또 한 가지 좋은 점은 블로그를 옮기실 때입니다. 블로그 주소를 직접 알리지 마시고 i-name 만 알려주세요, 그러면 구독자들은 =changhee.lee/(+blog) 를 통해서 블로그에 방문할 수 있고, 주인장께서는 위 URL에 해당되는 변경된 주소를 연결해두면 됩니다. 피드주소는 =changhee.lee/(+feed) 로 등록하시면 되겠구요. 이런 식으로 태그들을 만들어서 i-name으로 모두 연결할 수 있습니다.

ISSO 서비스는 모든
Identity
및 인증을 i-name과 연결하는 서비스입니다. 현재는 SAML을 이용한 인증만을 제공하지만, 9월에는 OpenID 인증도 제공할 것입니다. 즉, i-name을 아이디로 SAML 인증 사이트 및 OpenID 인증사이트에 접속하실 수 있게 되는 것이지요.

1년에 $20 인데요, 공개적인 연락처나 공개된 사이트를 많이 운영하고 계신 분들은 많은 도움이 되리라 생각됩니다.
(써보고 싶으신 분은 제 연락처에 Email, Name 적으시고, message 란에 운영중인 블로그와 원하는 i-name을 적어주시면, 서포터 모집 추가 건의하지요)

2006-07-13

User-centric Identity는 ... 지갑이다

ayo님께서 What is user-centric identity? 라는 Dick Hardt의 글을 소개하고 '사용자의 자유'를 추가했습니다.
그리고, 사용자 중심의 ID관리는 도메인 중심의 ID 관리를 포함한다에서는 user-centric identity도 domain-centric(or enterprise-centric) 처럼 복잡해질 것이다라는 예측을 하셨습니다.

User-centric Identity에 대한 논의가 시작된 처음으로 돌아가봐야할 것 같습니다. Kim cameron 씨의 Law of Identity(번역)를 다시 살펴보지요.

  1. User Control and Consent
  2. Minimal Disclosure for a Constrained Use
  3. Justifiable Parties
  4. Directied Identity
  5. Pluralism of Operators and Technologies
  6. Human Integration
  7. Consistent Experience Across Contexts
위 법칙들을 하나하나 읽다가 보면, 위 조건을 모두 만족하는 것은 다름아닌 지갑입니다. 어디한번 살펴볼까요?
  1. User Control and Consent : 얘기하지 않아도 자명합니다. 지갑에서 뭘 꺼낸다는 것은 이미 정보제공 동의를 한 것입니다.
  2. Minimal Disclosure for a Constrained Use : 필요한 곳에 필요한 카드/신분증 만을 꺼내며, 받는 사람은 필요한 정보만을 확인합니다. 카드/신분증에 필요하지 않은 정보는 아예 적혀있지도 않구요.
  3. Justifiable Parties : 제가 제시한 카드/신분증을 다른 사람에게 전달하면 기분나쁘겠지요? 당연히 Identity 소유자와 사용자에게만 정보가 공개됩니다.
  4. Directed Identity : 지갑에는 공개할 수 있는 카드와 그렇지 않은 신분증 등 모두다 함께 공존합니다.
  5. Pluralism of Operators and Technologies : 지갑에 포함된 카드/신분증의 발급/인증/확인 절차는 모두 다르지만 모두 같은 지갑안에서 공존합니다.
  6. Human Interaction : 지갑과 사람 사이에는 "꺼낸서 사용한다"라는 메커니즘이 있으며, 인간은 명확하게 Identity 시스템의 일부입니다.
  7. Consistent Experience Across Contexts : 지갑에 포함된 카드/신분증은 모두 다르지만 어디서 사용하든 동일하게 "호주머니에서 꺼내서 제출하는" 인터페이스를 가집니다.
저는 다음과 같은 정의를 내리겠습니다.
"User-Centric Identity는 Identity 법칙을 만족하는 온라인 지갑이다"
이런 온라인 지갑을 만들기 위한 노력이 Identity 2.0이 아닐까합니다. 기술이 복잡하냐, 간단하냐가 아니고 지갑의 카드처럼 서로 다른 Identity들이 공존하며, 쉽게 버릴 수도 만들 수도 있으며, 이러한 통제권이 모두 나에게 있는 그런 Identity 시스템을 어떻게 만들 수 있을까가 논의의 출발점이 되어야한다고 생각합니다.

우리의 지갑안에는 멤버쉽카드, 신용카드, 포인트카드, 신분증 등 수많은 Identity들이 새로이 생기고 없어지고 했지만, 언제나 동일한 방식으로 카드를 꺼내서 제출하고있습니다. 이렇게 이기종의 Identity 들이 공존하며, 자유롭게 주고 받을 수 있는 시스템이 필요합니다.

Technorati Tags: , , ,

2006-06-30

i-name 서포터 모집


제 블로그를 보시는 분들 중, i-name을 써보시고 자신의 홈페이지에 i-name 연락처 페이지를 링크해서 홍보해주실 분들을 10명 정도 모집하고자 합니다.
(현재 준비중인 i-name 등록 서비스의 개인 iname 가격은 $20/Year입니다.)

제공받게될 서비스는 SAML 인증 서비스, Contact 서비스, Forwarding 서비스 입니다. SAML 인증 서비스는 아직 적용된 사이트가 많지 않으니 다음에 소개하기로 하고, Contact 서비스와 Forwarding 서비스를 소개해드리겠습니다.

이니텍에서 준비중인 서비스를 통해서 발급된 제 i-name은 =changhee.lee 입니다.
먼저 Contact 서비스는 http://xri.net/=changhee.lee 를 클릭하시면, 제 연락페이지로 연결되도록 하는 서비스입니다.
(여기서, xri.net은 향후 XRI resolving 서비스를 하는 임의의 URL이 될 수 있습니다.)

Forwarding 서비스는 http://xri.net/=changhee.lee/(+blog) 가 제 블로그 주소로 연결되도록 하는 서비스입니다.
"+" 밑에 태그를 정의하시면 여러 가지 링크들(홈페이지, 블로그)을 i-name 에 연결할 수 있습니다.

i-name을 원하시는 분들은 자신의 블로그 주소와 원하시는 i-name 후보들을 적어서 제 연락페이지에 남겨주세요.
조만간 실시할 등록 서비스에 i-name을 만들어드리겠습니다.

Technorati Tags: , , ,

OpenID 2.0 Draft


Yadis 메일링리스트에 올라온 OpenID 2.0 Draft (local copy) 입니다.
Appendix C의 "Changes"를 보시면 OpenID 2.0과 XRI에서 소개한 내용들이 규격으로 어떻게 반영되고 있는 지 보실 수 있겠습니다.

2006-06-24

OpenID 2.0 과 XRI

Drummond Reed씨가 OpenID 2.0과 XRI의 컨버전스에 대해 언급하고 있습니다. OpenID 2.0의 주요 요구사항은 다음과 같습니다.

  • URL과 XRI(i-name 또는 i-number)를 모두 지원한다.
  • Yadis XRDS 기반 service discovery를 채택한다. 이렇게 함으로써 인증 뿐만 아니라, 프로파일 교환, 속성 검증, 평판과 같은 identity-based service('i-service')를 제공할 수 있다.
  • 인증 프로토콜의 보안성 강화
역시나 예상했던 대로 i-name을 identifier로 채택하고 있으며, i-service에 대한 구상을 하고 있습니다. 조금만 더 기다리면, i-name을 OpenID로 사용할 수 있겠네요...
(다음 주 쯤에는 저희 회사도 i-name 등록 서비스가 가능할 것 같습니다.)

자!, 이제 microformats 들과 i-service들이 어떻게 연계될 지를 지켜보는 것이 그 다음이 되겠네요...

참고로, Cordance는 XRI 기술의 특허를 소유한 회사이자, 관련 특허를 xri.org를 통해 공유자산화하고 OASIS 표준화를 주도한 회사이며, Drummond Reed씨는 Cordance의 CTO입니다.

Technorati Tags: , , ,

대동단결!, User-centric Identity System


Identity Mashup 컨퍼런스에서 OSIS 프로젝트가 발표되었고, 여기 저기에서 이를 언급하고 있습니다.
프로젝트의 위키페이지를 보시면 아시겠지만, MS, Verisign, Netmesh(LID)가 발의하고 Cordance(XRI 진영), Google, IBM, Neustar(XRI GRS operator), DigiSense, Eclipse, Novell, Red Hat, Ohio state, Sxip, Tucows가 참여했습니다. 목표는 오픈소스 Identity Selector를 만드는 것이며, 나아가 Identity System 들 간의 호환성을 유지하는 것입니다.
또한 기사에서 언급된 것처럼, Apache 에서는 Heraldry Identity Project로써 OSIS와 보조를 맞추어가려고 합니다.

이렇게하여 Identity Ecosystem이 갖추어져가는 것 같습니다. Identifier는 URL 또는 XRI, 프로토콜은 LID, OpenID, XRI, 사용자를 위한 OSIS 프로젝트와 MS CardSpace, Identity Consumer를 위한 Apache Heraldry Project, 개발자를 위한 Eclipse Higgins까지...이 정도면 Identity 생태계에 거의 모든 참여자를 포함하게 되는 게 아닐까요? 이제 남은 것은 여러분입니다.^^

참고할만한 링크들
OSIS
Verisign PIP
Microsoft labs STS
IdentityGang reference

Technorati Tags: , ,

2006-06-21

i-name, 웹 서비스를 위한 abstract identifier

i-name 국제 등록 서비스가 시작되었습니다. 아직 대부분의 i-broker들이 조회 서비스만을 제공하고 있지만, 몇 일내로 등록도 가능할 것입니다.
개인을 위한 "=" 이름에 대해서 $20, 기관을 위한 "@" 이름에 대해서 $55를 책정하고 있습니다.

근데 i-name을 어디에 써요?

웹 페이지에 변하지 않는 자신의 연락처를 공개할 수 있습니다. 블로그를 운영하고 있는 분 혹은 회사 홈페이지에 메일주소를 공개한 분들은 스팸메일의 귀찮음에 대해서 잘 아실테고, 대부분 공개하는 메일주소를 따로 가지고 계실 겁니다. 이제 그러지마시고 i-name을 등록하고 홈페이지에 연락정보를 편안하게 공개하시면 됩니다. (I-Contact 서비스 오픈하는 날 다시 포스팅하겠습니다.) (참고)

왜 이렇게 해야하나요? (지금도 메일주소로 충분히 필터링하고 있는데?)

가령 이런 시나리오를 생각해보지요.

  1. Alice씨는 ABC여행사 예약 담당자에게 제주도가는 비행기에 대해서 문의하려고 한다.
  2. Alice씨는 검색엔진에 'ABC 여행사'를 입력하고, 검색결과를 클릭하여 'ABC 여행사'에 접속한다.
  3. '회사소개', '연락처' 등을 찾는다.
  4. 찾은 메일주소로 메일을 보낸다.
아마도 한 번씩은 해본 시나리오일 것입니다. 그런데 이것을 기계에게 시키려면? 다음과 같은 시나리오는 어떨까요?
  1. Alice씨는 agent에 ABC 여행사에 제주도 예약을 지시한다.
  2. Agent는 i-broker에게 ABC여행사를 질의하고, ABC 여행사의 i-name을 얻는다. 이것을 "@abc" 라고 하자.
  3. Agent는 "@abc/+email"을 수신주소로 하여 여행사로 질의를 한다.
여기서, "@abc/+email"은 "ABC여행사의 연락메일주소"를 가르키는 abstract identifier입니다. 따라서, ABC여행사의 메일주소가 바뀌어도 abstract identifier를 변경된 메일주소와 연결하면 항상 연결할 수 있습니다(사람과 Agent 모두).

아직도 "그래서 뭐?" 라고 하시는 분들을 위해, 위 시나리오에서 Agent에게 "10개의 여행사에 메일을 보내서 답을 받아놔라"라고 지시한다면...
  1. Agent는 i-broker에 "여행사"로 질의하여 10개 회사의 i-name들을 얻는다.
  2. Agent는 각 회사에 "@iname/+email" 주소로 연락을 한다.
  3. Agent는 답을 수신하여 Alice씨에게 보고한다.
괜찮은 시나리오 아닌가요?

이런 시나리오가 가능하도록, I-Service를 열심히 만들어가려고 합니다.


Technorati Tags: , , ,

2006-06-04

MediaWiki, OpenID와 Yadis 지원


Wikipedia의 핵심개발자 Brion Vibber시가 Google Tech talk에서, Wikipedia에 consistent identity로써 OpenID와 Yadis를 도입하기로 했다고 발표했습니다(아래 스크린샷 참조). Verisign의 PIP 서비스에 이어서 User-centric Identity의 활성화에 또하나의 기폭제가 되겠네요




OpenID의 경우 Delegation 기능을 이용하면, 자신의 블로그를 그대로 Identity URL로 사용할 수 있습니다.
즉, myOpenID.com에 가서 abc라는 아이디로 가입을 하고나면 Identity Server의 URL이 abc.myopenid.com이 되는데,
이것을 이용해서 자신의 블로그 주소를 Identity URL이 되도록 할 수 있습니다.

제 블로그의 소스보기를 해보세요. <head> 부분을 살펴보시면,

<link rel="openid.server" href="http://www.myopenid.com/server" />
<link rel="openid.delegate" href="http://kkami.myopenid.com/" />

위와 같은 부분을 보실 수 있습니다. 이게 뭐냐면, 바로 제 블로그 주소(http://guldook.blogspot.com/)를 Identity URL로 사용하기 위해서 myopenid.com의 기능을 이용한 것이 되겠습니다.
즉, 이렇게 함으로써 wikipedia 아이디로 "http://guldook.blogspot.com/"을 사용할 수 있으며, OpenID 프로토콜의 처리는 myopenid.com에서 하게된다는 얘기가 되겠지요. 다들 OpenID 계정 만들어서 livejournal에서 실험해보시면 좋을 듯...

Technorati Tags: , ,

i-name 서비스


지난 2월에 XRI와 i-name을 소개해드렸는데요, 개인적으로 2월부터 EGS Program에 참여하고 있었습니다.
지금까지 150,000 명의 사용자가 i-name을 발급받아서, EGS 프로그램은 성공적으로 마쳤고, 6월 13일에 드디어 Global Launch를 하게됩니다.

저희 회사는 4월에 i-broker(i-name 등록기관) 신청서를 냈는 데, 오늘 드디어 승인을 받았습니다. 이로써 6월 Global Launch에 참가하게 되었네요...
앞으로 i-service를 국내에 알리는 데 노력하겠습니다.

Technorati Tags: , ,

2006-05-18

Verisign, OpenID로 identity 2.0 서비스 시작


5월 16일, Verisign은 블로그를 통해 Verisign Personal Identity Provider 서비스를 시작한다고 알렸습니다.
이 서비스는 OpenID를 기반으로 하는 Identity 관리 서비스입니다.

이제 OpenID 호스팅 서비스는 Janrain의 myopenid와 Verisign의 PIP 두 개로 늘었네요...

Technorati Tags:

2006-04-29

RSS와 인증

Syndicate conference에서 RSS와 Authentication에 대한 토론을 한답니다.
예상대로 RSS가 Private Channel로 확장되려는 움직임이 컨퍼런스에서 나타나고 있네요. 조만간 RSS를 통해서 영수증, 청구서 등을 받아볼 날이 오지않을까 싶습니다.

2006-04-26

그룹웨어와 Thunderbird


저는 회사에서 몇 안되는 Thunderbird 사용자인데요,
첨부가 붙은 메일을 회사내의 다른 사람에게 전달하면(즉, 그룹웨어를 통해서 보면), 항상 첨부가 떼어져버리는 사고때문에 골치가 아팠습니다. (저희 회사의 그룹웨어는 노츠입니다.)
언젠가 원인을 파악해야지 하다가, 업무에 밀려서 미루다가 오늘 드디어 해결했습니다 (Thunderbird 만세^^)

해결하면서 알게된 thunderbird 옵션들을 정리합니다.
(Thunderbird 1.5 이상에서 "도구->환경설정->고급탭->일반탭->설정편집" 을 실행하면 나타나는 옵션들 중 첨부와 관련된 옵션들입니다)

  • mail.strictly_mime_headers
    true이면 첨부파일명에 8bit 문자를 사용하지 않고, RFC2231 또는 RFC2047에 따라 인코딩합니다, false이면 무시하고 그냥 8비트 문자대로 사용합니다. true인 경우 다음과 같이 인코딩됨.
    name="=?EUC-KR?B?MjAwNjA0MjXAzLTPxdgouq/B2LjwwvfA5bTUKS5kb2M=?="
    false인 경우 다음과 같이 인코딩됨.
    name="테스트.doc"
  • mail.strictly_mime.parm_folders
    이 값이 0 또는 1이면 파일명을 RFC2047에 따라 인코딩하고, 2이면 RFC2231에 따라 인코딩한다.
  • mail.content_disposition_type
    이 값이 1이면 "Content-Disposition: attachment;"로 처리하고, 0이면 "Content-Disposition: inline;"으로 처리합니다.
위의 값들을 이용해서 상황에 맞게 조정하시면, 거의 모든 수신자에 대한 첨부파일 문제를 해결하실 수 있습니다.


Technorati Tags: , ,

2006-04-25

Paypal로 콜라를?


eSecure Peripherals 사는 네트웍이 연결된 무전(cashless) 자판기에서 paypal을 이용할 수 있도록 Paypal Payment Module을 개발할 것이라고 합니다.
이것도 OpenAPI의 힘이라고 할 수 있을려나요? 근데 한가지 걱정되는 것은 발신자 번호 속이기 공격을 어떻게 피하려나 궁금합니다.

Dynamic Security Skin의 실망스러운 실험결과


Dynamic Security Skin이라는 것은, 사용자가 미리 지정한 그림이 패스워드를 입력하는 창에 나타나면 안전한 것이고, 그렇지 않으면 안전하지 않은 것으로 판단하도록 하여 피싱공격을 피하는 방법입니다.




하지만, 22명의 사람들에게 20개의 사이트를 대상으로 실험한 결과, 참가자의 22%는 주소창, status 창 등을 전혀보지 않았답니다.
안전한 웹을 만드는 길은 멀고도 험한가 봅니다^^

OpenID, SXIP, Infocard 비교


W3C의 Dan Connolly 씨가 최근에 있었던 W3C Security Workshop을 참관하고나서 시맨틱웹의 관점에서 OpenID, SXIP, Infocard를 비교했습니다.


2006-04-18

Yadis 진영 ACM으로 진격


Yadis의 대표주자인 Johannes Ernst(LID), Drummond Reed(XRI) 이 ACM DIM 2006의 프로그램 위원이 되었네요...
주제도 "Exploring User-Centric Identity Management" 입니다.

2006-04-11

Digital Money Forum 발표자료


지난 번에 말씀드린 9번째 Digital Money Forum의 발표자료가 공개되었네요.

재미있는 내용들 많으니 관심있는 분들은 살펴보시길...

2006-04-05

Identity2.0 발표자료


너무 늦은 감이 없진 않지만, NGWeb에서 발표했던 자료올립니다.

NGWeb2006-B53-id20-chlee.pdf


Technorati Tags: ,

2006-04-04

매쉬업에 비즈니스 모델?


재미와 명성을 제외하면, 매쉬업 서비스에 비즈니스 모델은 있을까요?

Read/WriteWeb에서는 다음과 같은 비즈니스 모델을 얘기한다.
  • 광고 : Simplyhired.com 참조
  • 제휴 : 매쉬업은 API를 제공한 업체에 트래픽을 제공하며, 이를 이용해서 제휴를 유도한다.
  • 거래 매쉬업 (Transactional mashups) : 더욱 더 많은 사람들이 혼합된(mashed) 데이터만을 보고, 이를 통해서 거래를 일으키는 날이 올것이다.
  • 기타모델 : 가입형 서비스, 트랜젝션별 과금, 프리미엄 서비스, 기업용 서비스
위의 사업모델을 곰곰히 생각해보면, 오프라인의 모델과 상당히 비슷하다는 생각을 하게된다.

첫번째로 제휴
이동통신 대리점은 이동통신 3사의 단말기를 판매하는 매쉬업 사이트라고 하고, 이통사를 데이터/서비스를 가지고 있는 API 제공업자라고하자. 이렇게 놓고, 이동통신사가 이동통신 대리점과 고객의 통화료를 일정기간 나누어가지는 것을 생각하면 쉽게 제휴 모델이 이해된다.


두번째로 거래 매쉬업
하이마트와 삼성디지털 플라자의 얘기를 생각해보자. 하이마트는 오프라인 가전 매쉬업 사이트라고 볼 수 있는 데, 모두다 "하이마트로 가요" 하니, 뒤늦게 구매력의 힘을 알게된 삼성에서 삼성디지털 플라자를 만들었다는 얘기. 물론 하이마트와 삼성의 협상이 원할하지 않아서 결국 삼성 독자 대리점을 운영하게 되었겠지만, 매쉬업 사이트에서 거래가 이루어진다면 훌륭한 사업모델이 될 것임은 쉽게 이해된다.

결국 매쉬업은 오프라인에서는 있을 수 없는 "혼합 프렌차이즈" 정도로 생각하고 사업모델을 생각해보면 좋을 듯 하다.


Technorati Tags: ,

2006-03-28

Web2.0과 Payment 2.0


웹2.0이 근래의 화두인 지라 제가 이니텍, 이니시스를 대상으로 사내 웹2.0 세미나를 준비해서 진행하고 있습니다.
지난 15일에는 석찬님을 초청하여 Payment 2.0에 대한 생각도 듣고, 많은 얘기나누었습니다.

석찬님 Payment 2.0 발표자료

29-31페이지를 보시면, Payment2.0과 web2.0 비교, Payment 2.0 TM(?), Longtail과 지불을 거론하고 있습니다. 웹2.0 시대에 지불은 어떤 형태여야할까에 대한 고민을 시작하기에는 충분히 좋은 질문들과 사용예라는 생각이 듭니다.

저는 개인적으로 다음과 같은 생각/고민들을 가지고 있습니다.

Payment 2.0 플랫폼 : 생산자이자 소비자인 사용자를 위한 플랫폼
초기에 쇼핑몰은 강력한 유통망을 가진 대기업이 주도했습니다. 하지만, 곧 소규도 판매상들이 주도하는 이른바 오픈마켓에게 자리를 내주게 되었습니다. 이런 소규모 상점들은 인터파크, 옥션, G마켓 등에 입점하여 판매를 합니다. 여기서 더 확장을 해보면, 입점하지 않는 소규모 상점들의 마켓 즉 분산마켓이 오픈마켓을 대체하리라 생각합니다. 즉, 생산자이자 소비자인 사용자를 위한 분산 마켓플랫폼, 지불플랫폼이 웹2.0 시대의 상거래에 필수적인 요소라 생각됩니다.

Payment 2.0 : Identity와의 연관
가령, 자작 만화 컨텐츠를 자신의 블로그에서 판매하려면? 조금 그림을 그릴 줄 아는 사람이 누군가의 요청을 받아서 그 사람만의 아바타를 그려주는 장사를 하려면? 분산마켓에서는 어떻게 생산자를 확인할 것인가? 어떻게 돈을 받는 사람을 확인함으로써 위험(Risk)을 줄일 수 있을까? 그 답은 Identity와 평판시스템에서 찾아야하지 않을까 생각합니다. 온라인 상에서 Identity와 그 사람의 활동을 연관시킴으로써 평판으로 만들고, 그 평판에 근거하여 돈을 지불함으로써 위험을 줄일 수 있을 것입니다.

세미나와 재미있는 브레인스토밍 많이해주신 석찬님께 다시 한 번 감사드립니다. 저는 이 세미나를 계기로 이니시스가 좀 더 웹2.0과 지불플랫폼에 대해 고민했으면 하는 바램입니다.


Technorati Tags:

2006-03-26

MS Infocard 연동 방법


MS 연구소의 Mike Jones씨가 Infocard 연동방법에 대한 기술보고서를 배포했습니다.
기술보고서의 프로토콜 그림을 인용합니다(아래 그림에 관심이 있는 분들은 기술보고서를 살펴보시길).







Technorati Tags:

2006-03-24

피카사, 국내 인화 서비스 개시


언제나 피카사에 인화서비스가 연동되려나 하고 있었는 데...
드디어 OP와 zzixx가 연동되었네요.

이제 좀 편하게 인화할 수 있겠네요...
(그동안은 편집해서, 내보내기해서, 업로드해서, 주문했습니다.)

2006-03-23

DIGITAL MONEY 9TH


3월 29일과 30일에 Digital Money Forum이 개최된다고 합니다. 다음과 같은 흥미있는 주제들이 있네요...
Replacing Cash with Mobile Phones
Susie Lonie, Vodafone
A case study on the African M-PESA scheme

Currency for Kids
Jonathan Attwood, Swap-it-Shop UK
The UK's "eBay for kids"



Cross-Border Funds Transfer before the Internet - The ransom of King Richard
David Boyle, Author of "Blondel's Song"

행사 후에 발표자료는 공개되니 그 때 다시 봐야겠네요...

2006-03-21

Yadis 1.0 발표


Yadis 규격 1.0이 발표되었습니다. Identifier로써 Yadis URL 또는 URL로 resolving 될 수 있는 identifier를 사용하게 됩니다.

2006-03-15

IIW 2006


Identity Woman
, 아거님이 소개했던 Cluetrain Manifesto의 저자 Doc Searls, XRI 후원자이며 Brigham Young 대학 교수인 Phil Windley가 주최하는 Internet Identity Workshop 2006이 열린다고 합니다. 미국에 산다면 달려가보고 싶네요.

구글 Single Sign-On


zooomr이라는 사진 공유 사이트는 구글 계정을 통해서 사용자 확인을 한 후 서비스를 제공하고 있습니다(물론, OpenID 등도 사용할 수 있습니다, 아쉽게도 지금은 확장이전 공사 중이군요).

이 회사는 구글과 아무런 계약도 없이 어떻게 구글 계정과 패스워드를 확인할 수 있었을까요?

이것은 구글이 Gtalk의 근간을 이루는 XMPP 프로토콜의 인증 메커니즘을 그대로 차용했기 때문이라고 합니다.

관련 링크들

Using Google's Universal Authentication Engine

The Mysteries of X-GOOGLE-TOKEN and why it matters
Google's X-GOOGLE-TOKEN
XMPP Protocol

2006-03-07

발신자번호 속이기


지난 몇 년 새, 인터넷 전화의 도움으로 발신자번호 속이기(스푸핑)가 훨씬 더 쉬워졌다고 합니다. 왜냐하면, 인터넷 전화는 발신자번호 시스템에 임의의 숫자를 표시할 수 있기 때문입니다.
심지어, 미국에는 발신자를 속여서 전화 통화를 할 수 있도록 해주는 서비스가 있다고 합니다. 사용자가 60분 통화를 위해서 10$를 지불하고 spoofcard.com에서는 가상 "전화 카드"를 구매한 후, spoofcard로 수신자 부담 전화를 걸어서, 수신자의 전화번호를 입력하면, 조작된 발신자번호를 표시해준다고 합니다.

더 무서운 사례는 훔친 신용카드 번호를 산 후, 카드 주인의 집전화번호를 발신번호로 표시하도록 속인 후, Western Union과 같은 서비스에 전화를 해서 송금 신청을 하는 것입니다.

아뭏든 점점 더 안전한 전자금융에 대한 노력이 절실해지는 때입니다.


Technorati Tags: ,

2006-03-03

차세대 웹 통합 컨퍼런스와 Identity 2.0


3월 13~14일에 NGWeb2006 - "웹2.0 + 모바일" 컨퍼런스가 개최됩니다.

저는 둘째날, 5시에 Identity 2.0 발표(B53)를 맡게되었습니다.
현재의 웹2.0은 "OpenAPI를 통해서 공개된 정보들을 서로 공유하고, 기능 확장에 참여하는 것"입니다. 하지만, 앞으로 "보이지 않는 웹", 즉 공개되지 않은 정보들을 연결하고, 서로 확장하기 위해서 선결되어야할 필수요소는 Identity 문제입니다.

이제까지 해결하고자 했던 Identity에 대한 문제는 "어떻게 하면 (매번 회원가입하고 아이디를 만드는) 귀찮음을 해소할 수 있을까"입니다.
하지만, Identity 2.0은 이런 단순한 Identity 문제를 해결하자는 것이 아니며, 다음과 같은 세 가지 측면에서의 해결책을 찾자는 것입니다.
  • 표현 : 어떻게 사람(subject)를 식별하고, 관련된 속성을 표현할 것인가?
  • 공유 : 어떻게 속성을 교환할 것인가? (프라이버시를 보호하고, 사용자가 통제권을 가지면서)
  • 인증 : 어떻게 일관된 인터페이스를 통해서 범용적인 인증 환경을 구축할 것인가?
첫째날에는 맥주파티를 겸한 BOF가 개최됩니다. 많은 분들 모여서 좋은 얘기나누었으면 합니다.

Technorati Tags: ,

2006-03-02

IBM과 Novell, User-centric IdM에 동참

Eclipse!
Java 개발자라면 다 아시는 통합 개발 환경입니다.

프로젝트 Higgins

Eclipse 재단의 새로운 프로젝트 Higgins는 "user-centric" identity 관리 소프트웨어를 개발하는 것이라고 합니다.

기사 참고하세요.

2006-02-22

YADIS 0.9 배포


YADIS 0.9 버전 규격이 배포되었습니다.

가장 큰 변화는 URL로 매핑될 수 있는 XRI와 OASIS의 Extensible Resource Descriptor(XRD) 규격을 수용했다는 것입니다.
이제 i-name도 본격적으로 YADIS에 합류하게 되었네요...

근데, 규격은 갈수록 복잡해져간다는 느낌이네요.

mashup camp와 YADIS


YADIS의 Johannes씨가 Mashupcamp에서 URL-based identity에 대한 세션을 진행했군요, 다음과 같은 주제가 논의되었다고 합니다.
  • 사용자의 identity에 기반하여 mash-up을 개인화하기
  • 사용자의 identity에 기반하여 데이터 피드를 개인화하기
  • mashup에서 사람과 사람에 대한 속성들을 식별하기
주제명만으로도 흥미가 있네요. 이제 점점 보이지 않는 웹과의 mashup을 시도하려고 하는 듯 하네요...

Technorati Tags: ,

2006-02-21

W3C 웹 인증 워크샵 논문 리스트


3월에 있을 웹 인증 워크샵제출되고 받아들여진 논문들입니다. 다음과 같은 움직임이 눈에 띄네요.
  • RSA를 중심으로 한 OTP 진영의 참여
  • YADIS, XRI, SXIP 등 User-Centric Identity 진영의 참여
  • MS Infocard와 이에 포함될 high-value 인증서를 밀고있는 Verisign
  • 그 외 IBM, Yahoo, 은행, 학교 등

시맨틱웹 - 행복한 철학은 행복한 기술과 문화를 만든다



김중태씨가 쓴 "시맨틱 웹: 웹2.0 시대의 기회"를 읽었습니다.

저자는 "한국이 앞선 것은 초고속인터넷망 시설과 환경이었지 인터넷 기술이 아니다", "국내 사이트의 문제 원인은 기술 부족이 아니라 철학 부재이다", 라고 야단(?)을 치면서 이야기를 시작합니다.

국내 사이트가 가지고 있지 않은 철학은 "연결link, 즉 공개 정신과 공유 정신"이라고 얘기합니다. 즉, 국내 포털은 연결이라는 웹의 정신을 통해서 수익기반을 마련했지만, 자신들의 사이트에 머물도록 하기 위해서 이 정신을 저버렸다는 것이지요. 하지만, 저자는 포털의 사용자들이 웹의 철학에 더욱 더 충실한 컨텐츠를 만들 수 있도록 돕는 것이 장기적으로는 더 유리하며, 실제로 많은 신생기업들이 이 사실을 입증하고 있으며, 이들의 성공이 웹 2.0이라는 키워드로 표현되고 있습니다.

요즘 가장 많이 언론의 조명을 받는 단어는 웹2.0일 것입니다. 하지만, 김중태씨는 책 제목을 시맥틱웹이라고 정했는데요, 그 이유를 "웹 2.0은 시맨틱웹을 경제적 관점이나 플랫폼으로 보고, 응용해 구현된 상태를 표현하는 말이다", "차세대 웹이라는 의미로 '웹 2.0'을 사용하는 것은 큰 무리가 없으나 컴퓨터끼리 대화하는 자동화된 지능형 웹을 뜻할 때는 '시맨틱웹'으로 표현하는 것이 좀더 정확한 사용법이 될 것이다"라는 대목에서 찾을 수 있습니다. 또한 이러한 대목에서 저자가 단순히 흥미를 위해 책을 쓴 것이 아니고 기술적으로 정확하게 표현함으로써, 일반인들을 올바른 방향으로 입문하도록 하기 위해 책을 썼다는 것을 알 수 있습니다.

"시맨틱웹은 컴퓨터끼리 정보를 주고받을 때 잘 정리된 좀더 많은 정보를 추가로 제공해 정보 해석력을 높이고, 이를 통해 자동화 처리를 향상시킨 웹이다"라고 정의내리면서, RSS를 중심으로 한 마이크로컨텐츠, OpenAPI 만으로도 웹 2.0 신생기업들은 충분한 성공가능성을 보여주었으며, 시맨틱웹 기술을 적극적으로 이용하고 발전시키는 것이 다가올 기회를 잡는 것이다라고 말합니다.
"웹2.0"이라는 키워드, 즉 현재에 성공한 모델의 분석에만 매달리지말고, "공개와 공유"라는 철학을 가지고 "시맨틱웹, 자동화된 웹"을 적극적으로 수용하고 발전시키려고 노력해야 한다는 것입니다.

이 책을 통해 현재의 인터넷 기업들은 어떻게 성공하게 되었는 지, 또 이들 기업들은 어떻게 성공하고 실패할 지, 이러한 기업들의 성공은 어떤 기술로부터 이루어졌는 지, 어떤 철학이 있었는 지를 너무나도 잘 배울 수 있습니다. 다가올 시맨틱 웹 세상을 준비하시는 사업가, 개발자 그리고 웹을 점점 더 도움이 되는 컨텐츠로 가득차도록 만들고자 하는 모든 인터넷 사용자들에게 이 책을 권합니다.

2006-02-16

패스워드의 종말과 identity 2.0


빌게이츠 「패스워드의 종말」을 고한다

이 기사가 소개하고 있는 것은 .NET passport의 핵심 설계자인 Kim cameron씨의 The laws of Identity(번역)의 설계철학에 기반하여 설계된 identity metasystem에 관한 것입니다.

중요한 것은 Infocard 프로젝트는 특정한 Identity 관리 기술이나 Identity Provider에 국한된 것이 아니라는 것입니다.
이 프로젝트의 목적은 사용자에게 일관된 Identity negotiation 인터페이스를 제공하기 위해 만들어진 것입니다. 따라서, 어떤 형태의 identity 또는 ID 관리 기술을 가진 기업이든 WS-Security 규격을 따르면, identity selector(zdnet 기사의 인포카드 실행화면이라고 하는 것)에 자신이 공급하는 identity를 카드로 추가할 수 있고, 고객과 윈도우가 제공하는 안전한 방법에 따라 identity negotiation을 할 수 있습니다.

기술적인 내용이 궁금하신 분들은 다음 링크를 참고하십시오.

The Identity Metasystem: A User-Centric, Inclusive Web Authentication Solution
Design Rationale behind the Identity Metasystem Architecture

Infocard 프로젝트는 다음과 같은 변화를 가져올 것이라고 생각합니다.
  • Vista, IE7이 출시되고 본격적으로 infocard가 활용되기 시작할 것이고, 많은 기업들이 지금의 HTML form 로그인을 바꿔야할 것이다.
  • 키보드보안, 개인방화벽, 바이러스 업체들은 본격적으로 위협을 받게될 것이다 (Infocard는 MS의 보안서비스와 밀접하게 연관을 가지고 있습니다. 왜냐하면, Identity Selector를 통해 백오리피스, 키보드 후킹 등을 방지하면서 다양한 Identity Provider들과의 Identity Negotiation을 가능하도록 하고 있기 때문입니다.)
  • high-value 인증서가 기존 인증서를 대체할 것입니다. 기존 SSL 인증서는 기관의 로고 등이 포함되어 있지 않으므로 인해 사용성이 크게 떨어졌지만, high-value 인증서에 포함된 기관로고를 identity selector를 통해서 보여줌으로써 좀 더 사용성 높은 인증서를 채택하게 될 것입니다. (기술적인 내용은 RFC3709 참조)

Technorati Tags: ,

2006-02-15

Infocard 설계 원칙


Kim cameron씨가 윈도우 Vista의 Identity 프로젝트인 Infocard의 설계 원칙을 배포했습니다.

2006-02-14

구글스토리는 구글얘기가 아니다?


검색으로 세상을 바꾼 구글스토리를 읽었습니다.
원 제목은 "The Search : How google and Its Rivals Rewrote the Rules of Business and Transformed Our Culture" 입니다.
확실히 원제가 이 책을 더 잘 설명하고 있네요...

이 책은 검색을 통해 바라본 인터넷 사업의 역사입니다. 초기 검색엔진의 역할에 대해서 다음과 같이 언급하고 있습니다.
인터넷 항해자들이 탐험하는 입장("인터넷에 뭐가 들어 있을까")에서 기대하는 입장("나는 인터넷에 들어 있다고 생각하는 문언가를 찾고 싶어.")으로 이동하는 가운데 항해의 상징으로서 검색은 점차 더 의미를 갖게 되었다
이와 같은 변화를 포착해서 성공한 기업이 바로 YAHOO입니다. 이런 식으로 이 책에서는 알타비스타, 야후, 고투닷컴, 오버추어, 구글이 어떤 변화를 포착하고, 어떤 기술로 변화를 수용했는 지, 또한 남아있는 도전과제는 무었인지를 얘기합니다.

사실 이 책에 언급된 부분 중 가장 흥미있는 부분은 구글에 대한 이야기가 아니고, "빌 그로스"에 대한 얘기입니다.
초기 검색엔진들은, 고객이 입력한 검색키워드와는 무관하게 유료광고를 게시했습니다. 당연히 검색 키워드와 해당 광고의 관련성은 크지 않았으며, 고객이 클릭할 확율을 떨어뜨렸습니다. 즉, 광고주들은 스팸광고를 위해 돈을 허비해버리게 된 것이지요...

빌 그로스는 이런 스팸을 줄이고 광고로의 트래픽의 질을 높임으로써, 트래픽의 가격을 훨씬 더 높일 수 있다고 생각했습니다. 즉, 낮은 가격에 트래픽을 구매하여(포털의 광고주가 되어) 높은 가격에 광고주들에게 판매를 하는 것이지요(책에서는 차익거래라고 표현합니다).
빌 그로스는 이런 아이디어로 고투닷컴을 창업하였으며, 이후에 구글의 Adwords, Adsense 등에 영향을 줍니다.

어느 정도는 예상하셨겠지만, 그러면 "특정 키워드에 대한 광고의 적합성"은 언제나 올바르게 동작할까요? 이 책에서는 BlackHat 이라는 개념을 소개함으로써, 그렇지 않다고 얘기합니다. BlackHat은 자신의 페이지가 검색엔진의 상위순위에 나타나도록 하기 위해, 특정 키워드와의 관련성이 높도록 페이지를 조작하는 것입니다. 이러한 BlackHat으로부터 광고주들의 돈을 보호해줄 수 있는 마케팅 모델이 나온다면 다시 한 번 성공할 수 있을까요?

아뭏든 책읽고 검색의 역사도 살펴보시고, 스팸, BlackHat 등 재미있는 문제도 살펴보세요...

2006-02-07

XRI, XDI, and Identity - Moving on to XDI


XDI에 관한 나머지 글은 wikipedia의 XDI로 대신합니다(예를 든 내용이 조금 이상해서요...).

2006-02-05

XRI, XDI 와 Identity - Single Sign On

이 글은 Phil Windley씨XRI, XDI, and Identity를 세 개로 나누어서 번역한 두번째 글입니다.

전통적으로 인증은 사용자 인터페이스와 아이디, 비밀번호를 저장하고 있는 저장소 간에 이루어진다. 싱글 사인 온 (SSO)을 채택하면, 사용자가 제공한 사용자명으로 해당되는 인증 서비스를 찾는다. 어플리케이션은 인증 서비스에게 사용자 인증을 한 후 토큰을 줄 것을 요청한다. 따라서 여러 웹 사이트들과 어플리케이션들(service Providers)은 하나의 인증 서비스(AuthN)를 사용할 수 있다. 이 과정에서 사용자명으로부터 인증 서비스를 찾는 것이 핵심적인 부분이다.

I-names는, 인증 서비스를 찾는 XRD로의 해석(resolution)을 통해서, SSO를 지원할 수 있다. 인증 서비스는 사용자의 i-broker일 수 있으며 패스워드를 요청할 것이다. 사용자가 요청한 i-broker가 믿을 만하다는 것을 안다고 가정하면, 사용자는 패스워드를 입력할 것이다. 사용자는 세션을 인증한 후 SP로 돌아갈 것이다. 실제로도 브라우저를 통한 리다이렉션을 사용한다. SP와 AuthN은 서로 직접 통신하지는 않는다. SSO의 가장 약한 고리는 패스워드 페이지이고 스푸핑될 수 있다.

i-name SSO를 적용하기 위한 라이브러리들이 있다(PHP, Java, Perl, Python, Ruby에서 동작). BooksWeLike가 i-name 기반 SSO를 구현한 사이트의 예제이다. 나는 거기가서, 내 i-name과 전자우편 주소를 넣고 등록했고, 따라서 내 i-name을 사용해서, 2idi(내 i-broker)를 통해서 인증한 후, 사이트에 로그인할 수 있다. 나는 여러 단계의 페이지들을 싫어하지만, 이것이 동작한다는 것은 신선했다. 여기가 내 BooksWeLike 페이지이다. URL로의 내 i-name에 주목해라.


Technorati Tags: , , ,

2006-02-02

XRI, XDI 와 Identity - Globally Unique Identifiers


이 글은 Phil Windley씨XRI, XDI, and Identity를 세 개로 나누어서 번역한 첫번째 글입니다.

Globally Unique identifiers

전세계적으로 유일한 식별자(GUI, Globally Unique Identifier)에 대한 얘기를 빼놓고 분산 관리(distributed management)에 대해서 말할 수는 없습니다. 예를 들어 전화번호는 전세계적으로 유일한 식별자이며, 내선번호는 국지적인 식별자라 할 수 있습니다. 전자우편주소는 전세계적으로 유일한 식별자로써 사용될 수 있지만, 사람들은 그것을 공개하기를 꺼립니다. 이것을 고려하지 않더라도, 가상의 식별자(abstract identifier) 로써 고정된 식별자를 사용하는 것은 문제가 있습니다.

GUI로써 전화번호, 전자우편, URL 등을 언급할 수 있습니다, 하지만 이것들은 실존하는 식별자들입니다. 반면에 DNS와 XRI는 GUI이면서도, 추상적인 식별자입니다. 추상적인 식별자는 실존하는 식별자로의 링크로써 사용됩니다. 도메인 명은 IP 주소로 연결되도록 설계된 것처럼요.

I-name은 XRI에 기반하고 있으며 여러 가지 확장 가능한 서비스들을 선보이고 있습니다. i-name을 해석(resolution)함으로써, XRD(eXtensible Resource Descriptor)를 얻게 됩니다.

I-name 해석은 왼쪽에서 오른쪽으로 이루어집니다. i-name에서는 마침표(.)가 구분자(delegator)가 아니며 별표(*)가 구분자입니다. 현재는 다섯개의 root들이 있습니다. 등호(=)는 개인들에 대한 root입니다, 따라서 =windley는 저를 가르킵니다. @는 기관들에 대한 root, +는 tag space에 대한 root, $는 system tag들에 대한 root, !는 i-number에 대한 root입니다.

이런 영역들 각각은 계층적이고 확장 가능한 구조입니다. 즉, =windley*friends*steve는 내 친구 steve에 대한 식별자일 수 있습니다. 또한 기관root를 사용하여 저를 표현하면, @technometria*=windley 가 됩니다.

i-name은 i-broker로부터 등록할 수 있습니다. I-broker들은 i-name 등록기관입니다 (도메인 등록기관 처럼). GRS는 DNS top-level registry service와 같이 global registry service입니다. @technometria*=windley를 등록하기 위해서는 먼저 commercial i-broker를 통해서 @technometria란 이름을 등록해야 합니다. 이 등록과정은 @technometria를 GRS에 등록합니다. 그 다음에 (technometria의) community i-broker에게 등록요청을 합니다. community i-broker, commercial i-broker 그리고 등록자는 서로 인증을 합니다. 인증이 완료되면, community i-broker에 @technometria*=windley가 등록됩니다.

@technometria*=windley를 해석하는 과정은 DNS와 유사하게 동작합니다. 먼저 @에 대한 GRS를 찾고, technometria로 windley에 대한 질의를 합니다. 상황은 DNS와 유사하지만 훨씬 더 풍부한 표현이 가능합니다. Neustar가 XRI에 대한 GRS 입니다.

i-name을 등록하고나면, 인증(authentication) 서비스 (ISSO - SAML 1.1)와 contact page를 이용할 수 있습니다.

Technorati Tags: , , ,

일본의 전자화페 사용 현황


Interwired에서 일본의 전자화폐 시장에 대한 조사를 했습니다.

어디서 전자화폐를 쓰고싶냐는 질문에, 700명은 "슈퍼마켓", 446명은 "편의점", 427명은 "교통", 251명은 "자판기"라고 답을 했네요...

아직 가장 요구가 많은 슈퍼마켓에 전자화폐를 사용하지 못하니, 기회가 많은 것 같기도 하고...
이마트 계산대에 먼지쌓인 휴대폰 동글을 생각하면 틀린 것 같기도 하고...

마음껏 연락처를 공개하고 싶으세요?

이제 많은 사람들이 스팸메일의 귀찮음과 그로 인한 피해들을 어느 정도 경험했기 때문에 메일주소를 직접 웹 페이지에 공개하는 것은 매우 꺼립니다.

그 이후 나타난 경향은 기계가 홈페이지에서 이메일주소를 긁어서 스팸메일을 보내지 못하도록 "id at mailserver.com" 과 같이 표기하거나 이미지로 표현하는 것이었습니다. 하지만, 이것도 오래 못가겠지요?

제 블로그의 왼쪽 편에 사진 옆을 보시면 =guldook 라는 연락 정보를 보실 수 있습니다. 이것이 제 I-name 입니다.
클릭하시면 저한테 메시지를 남기실 수 있습니다.

물론 메시지를 작성하기 위해서는 I-name 또는 Email 주소를 입력해야 합니다. 그리고 2idi에서는 I-name 또는 Email 주소의 검증이 제대로 된 경우에만 제 메일로 메시지가 전달됩니다.
즉, 홈페이지에 연락 정보를 남기고도 스팸으로부터 해방될 수 있습니다.
어떻게 만드냐구요? 여기서 원하는 i-name이 가능한 지 체크하시고, 25$를 지불하시면 됩니다. 25$이 비싸다고 생각하실 수도 있겠으나 50년간 사용가능하니 년 500원 정도이고, 충분히 등록할만한 가치가 있다고 생각합니다.

i-name은 OASIS XRI 표준을 사용하고 있습니다. 자세한 기술적인 내용은 다른 글로 다시 한 번 소개하겠습니다.

2006-01-27

adware vs myware

애드웨어는 잊어버리세요. 여기 마이웨어가 있습니다. 당신의 웹 사용 성향을 기록하시고, 수익도 챙기세요!
Forget spyware. Here comes myware. Soon you'll collect data on your own Web use for fun and profit.
CNNMoney에서 최초의 attention 데이터 수집/분석 서비스인 Root vault를 소개하고 있습니다.

누군가 내 PC에 몰래 깔아서 내 의지와 상관없이 광고를 띄우는 프로그램을 애드웨어라고 합니다.
그에 반해서 attention 데이터를 자신의 의지에 따라 수집하도록 돕는 프로그램은 마이웨어라고 할 수 있다고 소개합니다.



마지막에 last.fm이라는 회사를 소개하고 있습니다. 이 회사는 PC에서 들은 음악리스트를 기록하고 공유하도록 합니다. 즉, playstream+쇼셜 네트웍 이라고 표현할 수 있겠습니다.


사실 Root vault 서비스에서 수집/분석해주는 정보는 아직까지는 초보적인 단계로써 그다지 유용한 정보라는 생각은 들지 않습니다.
항상 궁금한 것은 어떻게 AttentionRecorder가 상품리스트, 쇼핑에 사용된 카드, 거래하는 주식 등 clickstream의 의미를 해석하느냐였습니다.

last.fm을 보면서, "사용자의 다양한 action을 수집하는 여러 서비스들이 생길 수 있겠구나!" 라는 생각을 했습니다.

저는 이니텍이니시스를 위한 연구개발 업무를 하고 있습니다. 두 회사 모두 인터넷뱅킹과 인터넷 지불을 위한 소프트웨어들을 가지고 있습니다.
가만히 생각해보면, 당연히 이 소프트웨어도 마이웨어들이며 사용자가 동의한다면, 인터넷뱅킹 거래형태, 구매상품 분석, 상품평 관리, 사용카드 종류, 평균 지불에 걸리는 시간 등 다양한 데이터들을 효과적으로 수집해서 고객에게 제공할 수 있지 않을까란 생각이 듭니다.


Technorati Tags: , ,

2006-01-24

Identity 블로거를 만나다


Channy님의 포스트
가 다리가 되어 ETRI에 계신 김승현님이 제 블로그에 코멘트를 달아주셨네요.
(저는 엔씨소프트가 아니고, 이니텍에 다니고 있습니다^^)

제가 블로그를 쓰는 목적 중에 하나가
이렇게 재미없는 글을 읽어주는 사람을 만나는 것
이었는 데, 드디어 만났군요. 그래서, 오늘은 굉장히 기쁜 날입니다.

너무 반갑습니다.

그리고, 김승현님이 쓰신 Identity 2.0과 OTP 와의 관계에 대해서 첨언합니다.

현재 논의되고 있는 Identity 2.0은 user-centric identity system, 즉 사용자 자신이 자신의 digital Identity 및 정보에 대한 통제권을 가지면서 (또한 더 나아가서는 Kim cameron의 laws of identity를 준수하면서), digital Identity를 교환할 수 있는 시스템입니다.
OTP는 물론 Authentication mechanism으로 해석되어왔습니다. 하지만, OTP 장치와 이 장치에 대한 Identifier를 생각해본다면 쉽게 ID 관리 수단이 될 수 있음을 예상할 수 있습니다. 신용카드가 지불시스템에 있어서 개인의 Identifier인 것처럼요...
  • 지불서비스 - 신용카드번호 - 신용카드의 소지 - 뒷면서명일치
  • 웹서비스 - 아이디 - OTP장치의 소지 - OTP값
  • 서비스 - Identifier - Identity - Authentication of assertion
위와 같이 유추해볼 수 있지 않을까요? 물론 위에서 '아이디'는 현재 논의되고 있는 Identity 2.0에서의 Identifier들(URL, GUPI 등)이 될 수 있겠지요...

Technorati Tags: ,

2006-01-20

구글 비디오의 결제 시스템


eBay Strategies에서 구글 비디오 상점의 지불 시스템을 소개했습니다.
국내 카드는 될까해서 구글 비디오에 얼른 달려가봤더니...역시나
We're sorry, but this video is not available in your country.
스크린샷을 보시면 아시겠지만, 웹 기반 전자지갑입니다.
("중국발 해킹/피싱은 어쩔려나?" 하는 생각이 드네요...)



Technorati Tags: ,

Sun의 Identity 웹 서비스 데모


Sun사의 Identity System 설계자인 SuperPattern씨가 Liberty ID-FF 기반의 Single Sign-on과 ID-WSF 기반의 개인정보(속성) 교환 방법을 보여주는 데모소개했습니다.
LibertyAlliance가 얘기하는 Identity 웹 서비스가 궁금하신 분들은 이 데모만 대~충 봐도 알 수 있을 듯 합니다.


Technorati Tags: ,

MBTI 테스트 결과 : ISTJ


오늘 회사 교육 프로그램의 하나로 MBTI (한글)테스트를 했습니다.
제 유형은 ISTJ 입니다. 한국심리검사연구소의 해석은
실제 사실에 대하여 정확하고 체계적으로 기억하며 일 처리에 있어서도 신중하며 책임감이 강하다. 집중력이 강한 현실감각을 지녔으며 조직적이고 침착하다. 보수적인 경향이 있으며, 문제를 해결하는데 과거의 경험을 잘 적용하며, 반복되는 일상적인
일에 대한 인내력이 강하다. 자신과 타인의 감정과 기분을 배려하며, 전체적이고 타협적 방안을 고려하는 노력이 때로 필요하다. 정확성과 조직력을 발휘하는 분야의 일을 선호한다. 즉 회계, 법률, 생산, 건축, 의료, 사무직, 관리직 등에서 능력을 발휘하며, 위기상황에서도 안정되어 있다.
그리고, 다음과 같은 강점과 약점이 있습니다.


(강점)
  • 정확하고 빈틈없이 일을 한다.
  • 정해진 일과와 절차를 따른다.
  • 집중력이 뛰어나며 사람들과의 접촉없이도 혼자서 일을 잘 한다.
  • 조직의 유지가 안정적이며, 책임감이 강하며 끝마무리를 잘한다.
(단점)
  • 변화하는 체계에 적응하는데 것이 어려울 수 있다.
  • 변화를 좋아하지 않는 경향이 있다. 융통성이 부족할 수 있다.
  • 자신의 욕구와 다른 욕구를 이해하지 못할수 있다.
  • 그들 자신과 조직에 대한 그들의 공헌을 낮게 평가할 수 있다.
뭐, 조금 아닌 것 같은 부분들도 있지만 대체로 맞는 것 같습니다.

저의 I 성향을 E 성향으로 바꾸면 ESTJ, 사업가 형이 되는데요, 전에 많은 분들이 사업할 성격인 것 같다고 얘기한 것이 생각나는군요...

Technorati Tags: , ,

2006-01-17

2006년 Identity 전망

2006년 Identity 시스템은 세 가지 축으로 나뉠 것이고, 그 축이 더욱 공고해질 것이다라고 합니다.




그 축들은 위 그림에서 보는 것처럼, Company-controlled, "Microsoft"-controlled, user-controlled identity 입니다.

  • Company-controlled identity는 LibertyAlliance 표준에 기반한 ID 관리 시스템으로써, 회사가 identity를 부여하고, 어떤 identity attributes들을 관리하고 공유할 것인가를 결정합니다.
  • "Microsoft"-controlled identity는 WS-* 표준에 기반한 ID 관리 시스템으로써, Infocard 프로젝트를 통해 구현될 것이며, Windows Vista를 통해 광범위하게 적용될 것입니다.
  • user-controlled identity는 개인이 Identity provider, 개인정보, 하나의 identity를 운용할 것인 지 아닌 지 등에 관한 모든 통제권을 가지는 시스템입니다. 가장 눈에 띄는 것은 URL을 identifier로 하는 YADIS 규격입니다.
현재 YADIS 메일링리스트에서는 netmesh(lid), sixapart(openid), sxip 등이 활발한 활동을 하고 있습니다. 이러한 활동과 위 그림에 비추어 2006년 Identity 관련 흐름을 조금 예측해봅니다.
  1. 올해는 openid 기반의 typekey, sxip 기반의 sxore 등 user-controlled identity에 기반한 평판/코멘트 시스템을 채택한 블로그들이 늘어난다.
  2. 그에 따라 user-controlled, URL 기반의 identity를 만드는 구독자들이 늘어난다.
  3. Windows Vista와 함께 배포된 Infocard에서는 이러한 구독자들의 Identity를 지원한다.
  4. 결국 이러한 사용자 중심의 움직임이 LibertyAlliance에 속한 회사들을 움직여서 user-centric identity가 채택되고, 해당 회사들이 제공하는 웹 서비스들이 변화된다.
  5. user-controlled identity가 web 2.0의 신뢰기반구조가 된다 (?)

Technorati Tags: ,

2006-01-16

사용자 중심 Internet Identity 포드캐스트

사용자 중심 Identity의 전문가들이 지금까지 이루어진 것과 올해의 전망에 대한 포드캐스팅을 했습니다.
URL/URI 기반 ID 관리 시스템에 많은 진전이 있었다는 것에 동의했다는군요.

관심있는 분들은 들어보시길...


Technorati Tags:

Liberty Alliance, Identity 2.0에 동참?

Liberty Alliance는 최근에 ID-WSF 2.0 프레임워크에 추가된 세 가지 업데이트를 소개했습니다.
그 중에서도 단연 눈에 띄는 것은 "Liberty ID-WSF People Service" 입니다. 원문을 인용합니다.

The Liberty ID-WSF People Service™, a key component in this latest release, is the industry’s first comprehensive platform for managing social information within an open federated network environment. People Service allows consumers and enterprise users to manage social applications such as bookmarks, blogging, calendars, photo sharing and instant messaging from a common layer within the ID-WSF 2.0 framework.
Identity 1.0은 각각의 웹 서비스들마다 자신만의 Identity를 관리하는 것입니다. 즉, 사용자가 두 개의 웹 서비스를 이용하고 있다면 서로 다른 두 개의 Identity(예: 아이디/비밀번호)를 가지게 됩니다.
Liberty Alliance는 "Circle of Trust"로 연합(Federation)한 웹 서비스들은 서로의 Identity들을, 보안과 프라이버시가 보장되는 방법으로, 공유함으로써 사용자에게 SSO(Single Sign-on), Single Logout 등의 편리함을 제공합니다. 즉, "Circle of Trust" 내에 있는 웹 서비스들에 대해서는 하나의 Identity 만을 유지하면 됩니다. 이런 의미에서 Identity 1.5라고 불리었구요.
그런데, 문제는 모든 웹 서비스들이 "Circle of Trust"를 만들고 SAML 토큰을 주고받을 수 있을까요? 답은 당연히 "아니오"가 될 것이며, 여기서부터 Identity 2.0의 개념이 시작됩니다. 즉, 웹 서비스 중심의 Identity 시스템은 결코 Internet-scale이 될 수 없으며, 사용자 중심의 Identity 시스템을 고안해야 한다는 개념말이지요!

위 인용문처럼 "Circle of Trust", SAML 토큰을 근간으로 하는 ID-WSF 2.0 프레임워크 위에 Identity 2.0의 개념이 제대로 성립될 수 있을까요?


Technorati Tags: , ,

2006-01-11

리니지 게임과 계정 도용 방지



그동안 블로그 포스팅할 시간도 주지 않고 저를 괴롭히던 린OTP 서비스대 고객 테스트 서비스가 시작되었습니다.



린OTP는 핸드폰에 일회용 비밀번호를 생성하는 프로그램을 탑재한 후, 리니지 로그인 시에 아이디, 비밀번호에 부가적으로 핸드폰에 탑재된 프로그램이 생성한 비밀번호를 입력함으로써 계정 도용을 방지하는 서비스입니다.



이 서비스는 기존 계정 방지 서비스/솔루션과 비교하여 다음과 같은 탁월한 장점을 갖습니다.

  • 아이디/비밀번호를 알고, 린OTP가 탑재된 핸드폰이 있어야 하는 Two-factor 인증 방법이면서도 핸드폰을 이용함으로써 소지가 편리한 Authentication Service 이다.
  • 소액결제에 사용되는 SMS를 통한 인증방법과는 달리 린OTP 프로그램은 서버와 통신하지 않으므로 통신 및 SMS비용이 발생하지 않는다.
  • PC에 별도의 추가 프로그램(ActiveX류^^)이 필요없다.(린OTP가 생성한 8자리 비밀번호만 로그인 시에 입력하면 되므로)

오늘은 저희 회사가 솔루션 회사에서 서비스 회사로의 첫발을 내딛게 된 중요한 날이자, 개인적으로는 Service Product Manager로써의 첫 결과물을 내놓는 날입니다.

2006-01-04

윈도우 P2P와 Mesh 네트웍

차니님이 쓴 Firefox 기반 P2P 서비스를 읽다가 문득 전에 읽은 MS의 P2P 네트웍mesh 네트웍을 소개했던 이 생각났습니다. 해당 글을 조금 인용하면,

For years I have been tracking the "wireless mesh networking" space.
This is where each node in a wireless network is a repeater/relay for any other
node that is within range. With true mesh technologies I can communicate
with other users, even if they are beyond the reach of my wireless signal, if
there are one or more nodes between us that are part of the "mesh"
network. Mesh networks are the next big thing ... even the cellular
carriers are talking about adding emergency mesh capabilities into cell
phones
마지막에 말이 항상 마음에 와 닿네요...
더군다나 오늘 KT에서 3월부터 강남, 분당, 신촌에서 와이브로 시범사업을 하겠다고 발표한 내용까지 연결해보면 아마 이러한 mesh network의 킬러 어플리케이션이 탄생은 우리나라에서 이루어지지 않을까요?
차니의 모질라 플랫폼 기반 어플리케이션에서 한 발 더 나아가, 와이브로 폰을 가진 사용자 혹은 PC사용자가 mesh network 위에서 P2P 서비스를 가능하게 하는 어플리케이션을 개발해야 하지 않을까요? 근데 KT의 와이브로 서비스는 mesh network 기능을 제공할까요?