정통부에 OpenID 기술표준 채택 제안
월에 한 번씩 정통부에서 웹2.0기술표준 전략수립 전문가회의가 열리고 있고, Identity 분야에 관한 조언을 하고 있습니다.
OpenID 커뮤니티에 도움이 되고자 다음과 같은 과제를 제안했습니다. 참고하시고, 좋은 의견 있으시면 연락주세요.
1. 과제명 (또는 현안명)
SOA / 매쉬업 환경에 적합한 Identity 관리 기술
2. 현황 및 문제점 (또는 필요성)
SOA의 발전과 함께 다양한 형태의 매쉬업 서비스가 등장할 것으로 예상되며, 이에 따라 비공개 서비스와 공개 서비스, 유료와 무료 서비스 등을 매쉬업 해야할 필요성이 증가할 것이다. 이런 환경에서 서비스마다 다른 사용자 식별아이디, 인증방법, 정보교환 방법을 사용하는 것은 사용자들에게 불편함을 줄 뿐만 아니라, 매쉬업 서비스 활성화의 장애요인이 될 것이다. 따라서, 인터넷 사용자와 인터넷 서비스 간에 이루어지는 사용자 식별, 인증, 정보공유 방법을 표준화하는 것이 필요하다.
국내의 경우 실명확인/본인확인, 아이핀 서비스, 행자부 통합ID 등 다양한 형태의 Identity관리 방법들이 서로 다른 요구사항에 따라 개발되고 있지만, 오히려 향후 웹 서비스 활성화에 장애가 될 수 있음.
3. 사용자 중심 Identity 관리 기술
문제점을 해결하기 위해서는 다음과 같이 측면에서 Identity 관리 기술을 표준화해야 한다.
- 사용자 식별 표준화 : 서비스마다 상이한 사용자 아이디를 사용한다면, 사용자가 하나의 매쉬업 서비스를 위해서 다수의 아이디를 입력해야함. 따라서, 인터넷 서비스가 사용자를 식별하는 방법이 표준화되어야 한다.
- 정보교환 표준화 : 사용자가 인터넷 서비스에 가입할 때마다 개인정보를 입력하는 것은 매우 비효율적이다. 따라서, 인터넷 사용자와 인터넷 서비스 간에 정보를 교환하는 방법이 표준화되어야 한다.
- 다양한 인증수단 연동 표준화 : 인터넷 서비스마다 특정한 인증방법을 선택한다면, 사용자는 다수의 인증방법을 통해서 매쉬업 서비스를 이용해야 함. 따라서, 인터넷 서비스는 다양한 인증수단을 제공함으로써, 인터넷 사용자가 인증방법을 선택할 수 있도록 해야한다. 이를 위해서 인증방법이 표준화되어야 함.
4. 대안들
현재 다음과 같은 대안들이 적용가능하며, 이러한 대안들을 포함한 다양한 기술들을 검토하고 실행가능한 표준을 제정해야 한다.
- 최근 URL을 사용자 아이디로 사용하는 방법이 널리 채택되고 있음. OpenID를 대표적인 예로 들 수 있음. 국내 특성 (실명확인, 아이핀, 통합ID) 들을 OpenID 2.0 표준에 반영하거나 OpenID 표준을 준수한다(현재 아이핀은 정보보호진흥원 표준, 통합ID는 OASIS SAML 표준을 따르고 있음).
- OpenID 2.0 규격에 따라 인터넷 사용자와 인터넷 서비스가 정보교환하도록 한다. 개인정보는 OpenID 서비스 제공자 또는 개인이 직접 구축한 OpenID 서버에 저장하여 사용할 수 있도록 한다.
5. 참고 자료
- http://openid.net/
- http://www.openid.or.kr/
- http://www.oasis-open.org/committees/tc_home.php?wg_abbrev=security
- http://www.kisa.or.kr/kisa/ipin/jsp/ipin_0000.jsp
- http://www.ddaily.co.kr/news/?fn=view&article_num=20751