Yahoo 계정 OpenID 계정으로 만들기

Yahoo의 Browser-based Authentication API와 OpenID를 사용해서 야후 계정을 OpenID 계정으로 사용할 수 있도록 만드는 서비스가 등장했습니다.

같은 개념으로 Daum 인증 API를 OpenID 계정으로 사용하는 것도 가능하겠네요.

OpenID, 피싱, 인터넷뱅킹 사고

류근우님께서 지적하신 OpenID와 피싱의 문제는 정확하게는 Microsoft의 Kim cameron의 글에서부터 시작됩니다. 이것을 구글의 Ben이 거들면서 문제가 본격화됩니다.

OpenID 로그인 절차는 다음과 같습니다.

1. 인터넷 사이트에 OpenID URL을 입력한다.
2. 인터넷 사이트가 OpenID URL로 Redirection 시킨다.
3. OpenID provider의 로그인 페이지에 패스워드를 입력하고 로그인한다.

여기서 2,3번 과정에서 문제가 발생합니다. 즉, 인터넷사이트가 피싱페이지로 redirection시키고, OpenID provider가 제공하는 UI와 동일한 화면을 피싱페이지를 통해서 보여주면, 사용자는 아무생각없이 패스워드를 입력할 것이고 피싱공격이 성공할 것이다라는 것입니다.이 이후부터는 OpenID의 장점(SSO, Attribute Exchange)이 모두 단점이 되겠지요.

simon씨는 사용자가 OpenID provider의 주소를 북마크하도록 하고, 위의 3번 과정에서 로그인페이지를 보여주지 말고 사용자가 북마크를 통해서 직접 provider를 찾아가도록 하자는 제안을 했습니다.

UsableSecurity의 Ka-ping Yee씨는 simon의 제안에 더해서 Referer 헤더를 가진 request에 대해서만 로그인페이지를 보여주지 말자고 제안을 향상시켰고, Sxip의 Martin은 Group Membership 프로토콜을 제안했습니다.

이후에 simon씨는 사람들이 유지하는 whitelist를 통해서 해결하자는 제안을 했습니다. 즉, 우리가 믿는 OpenID provider/consumer whitelist를 만들자는 것이지요.

하지만, 최근 국내에 발생한 피싱공격과 스웨덴 은행의 해킹사고를 살펴보면 여전히 이런 것들로 피싱문제를 해결할 수는 없다는 것을 알 수 있습니다. 왜냐하면 북마크된 OpenID provider의 주소(IP) 또한 속일 수 있을테니까요. 만약 OpenID가 점점 더 가치있는 서비스에 사용될수록 피싱에 대한 해결책이 절실하게 필요할 것이라고 생각합니다.

저는 OpenID와 Strong Auth가 결합된 형태의 서비스만이 이 문제를 해결할 수 있다고 생각하고, 이런 서비스를 제공하기 위해서 노력할 것입니다.

OTP, 가장 선호하는 보안서비스

엔씨소프트에 ASP형태로 제공중인 OTP 서비스가 가장 선호하는 보안서비스로 선정되었습니다.
OTP를 핸드폰에 올려서 사용하는 것을 기획해서, 특허추진하고, 서비스를 오픈했고, 가장 선호하는 보안서비스가 되었네요.

2 월 초에는 OpenID와 OTP를 결합해서 새로운 서비스를 오픈하려고 합니다. OpenID를 채택하는 사이트가 많아질수록, Single Sign On 기능이 중요해질테고, 그렇게되면 패스워드만으로 OpenID를 사용하는 것이 좀 불안해지겠지요? 그래서, Mobile OTP로 로그인할 수 있는 OpenID 서비스를 제공할 것입니다.

Futurecamp 2007 참가후기

Futurecamp 2007에 다녀왔습니다. 워낙 많은 분들이 한 트랙으로 발표를 했기때문에 정작 마지막 세션에서 발표를 하는 분들에게는 시간이 많이 주어지지 않았습니다. 저 역시도 마찬가지였구요...충분히 말씀드리고 얘기하지 못한 부분들이 많은 것 같아 좀 아쉽네요...

말씀드리려고 했던 부분을 다시 한 번 정리합니다 (발표자료 참고)

• 모 든 웹 사이트가 광고판(구글 애드센스처럼)이 될 수 있는 것처럼, 모든 웹 사이트는 상점이 될 수 있다. 즉, 분산마켓이 활성화될 것이다.따라서, Web2.0 회사들은 광고만을 수익모델로 생각하지말고 전자상거래를 수익모델로써 생각해야할 때이다.
• OpenID 는 사용자와 서비스제공자에게 모두 이익을 주는 사용자 관리 프레임워크이다. 외국의 경우 550개 사이트에서 이미 채택중이며, 매주 5%씩 적용사이트가 늘어가고 있다. 매쉬업 서비스 인증, 정보교환, SSO 등 다양한 곳에 사용될 것이다. 국내 서비스 제공자들은 OpenID를 검토하고 적극적으로 채택을 함으로써 OpenID의 잇점을 누려야할 때이다 (OpenID 커뮤니티 참조)

다른 분들의 발표 중 재미있게 들었던 내용을 정리합니다.

• 박재범님, "Pay per Feel"
  느끼지 않으면 지불하지 않는다.
• 염동훈님, "핸드폰은 background 서비스이다"
  핸드폰이 서비스를 나에게 가져다주는 것이다. 내가 찾는 것이 아니고...그런데, 스마트폰의 경우에는 좀 다르지 않나요?
• 강재호님, "나는 표현하는 태그와 개인화 검색의 연결"
  iTags를 참고하시면 도움이 될 듯
• 김효곤님, "상품의 경량화, 필터(다양한 컨텐츠에서 내가 원하는 것을 뽑아내는 것)의 고성능화, 틈새 Aggregator의 필요성"
  분산마켓과 연결해서 생각해보면, 상품정보를 Aggregation하는 서비스가 나와야하고, 각 개인의 관심과 생산자들을 효과적으로 연결하는 필터 서비스가 나와야한다는 얘기가 되겠네요.
• 서승덕님, "User Collected Contents"
  컨텐츠를 다시 생성하는 것을 장려하지 말고, 모아주는 것을 장려하자. DJ, 평론가처럼?
• 김현국님, "네트웍 단에서 Identity를 연동해서 Bandwidth 차별화등 개인화에 이용하자"

아뭏든 좋은 분들의 많은 얘기를 들을 수 있어서 좋았고, 다음에는 모든 발표분들과 청중들에게 많은 시간이 주어질 수 있는 좋은 컨퍼런스가 되었으면 합니다.

2007년 전망 - Futurecamp

Futurecamp2007에서 발표할 자료입니다.
"분산마켓이 활성화될 것이다", "OpenID가 활성화될 것이다"라는 두가지 전망을 가지고 발표합니다.

FutureCamp 2007 Seoul - 2007년도를 전망한다

13일 FutureCamp 2007이 개최됩니다.

Barcamp Seoul에 참가하지 못한 것이 못내 아쉬웠는데, 이번에는 많은 분들과 좋은 얘기 나누었으면 좋겠네요.

저는 두가지 얘기를 해보려고 합니다. 하나는 web2.0과 payment2.0에서 조금 말씀드렸던 분산마켓이 좀더 구체화되고 활성화될 것이다라는 것이고 다른 하나는 OpenID의 활성화입니다. 발표자료는 만들어지는 대로 13일 전에 다시 한번 올리도록 하겠습니다.