ChangHee Lee (이창희)

[도서리뷰] 생각이 차이를 만든다

2008-05-09T06:03:00.004+09:00

뛰어난 리더들의 공통 특성

GE의 잭 웰치, P&G의 A.G. 래플리, 레드헷의 봅 영, 이베이의 메그 휘트먼, 포시즌스 호텔의 이사도어 샤프, 인포시스 테크놀로지의 난단 닐레카니 등 산업계의 스타 CEO들, 노벨 경제학상을 수상한 마이클 스펜스, 20세기 최고의 경영학 구루로써 칭송받는 피터 드러커와 같은 대가들이 어떤 문제에 대한 해결책을 생각하는 과정에 공통적으로 나타나는 특성이 있을까? 만약 그런 특성이 있다면 그것을 체계화하고 다른 사람들도 그런 특성을 배우도록 할 수는 없을까?

이 책의 저자는 이런 질문에서 출발하여 6년간 50명이 넘는 탁월한 리더들을 인터뷰한 후, 그들은 '통합적 사고'라는 두 가지 완전히 상반되는 아이디어를 동시에 생각할 수 있는 성향과 능력을 공통적인 특성으로 가지고 있음을 밝혀냈다.

그러면, 뛰어날 리더들이 가지고 있는 통합적 사고방식과 전통적인 사고방식은 어떻게 다를까?

통합적 사고방식 vs 전통적인 사고방식

사람의 의사결정 과정은 돌출요소-인과관계-구조-해결의 네 단계로 나누어진다. 의사결정에 중요하다고 생각하는 일련의 돌출요소를 파악하고, 그런 요소들 간의 '인과관계'에 대한 사고 모델을 만들며, 인과관계들을 특정한 결과를 만들어 낼 수 있는 구조로 배열한 다음, 현안에 대한 '해결'에 이르게 된다. 가령 여행계획을 세우기 위해서는 여행계획을 결정하는 데 영향을 주는 교통수단, 숙소, 활동, 비용, 음식 등의 돌출요소를 파악하고, 활동과 교통수단, 숙소와 음식, 교통수단과 비용 등 돌출요소 간의 관계를 이해해야 한다. 그런 후에는 교통수단, 숙소, 활동 등 가능한 돌출요소의 옵션들을 이렇게 저렇게 조합함으로써 구조를 파악하여 하나의 여행계획을 만들어낼 수 있게 된다. 그리고 이렇게 만든 다수의 여행계획 중에 하나를 선택하게 된다. 해외여행을 세워 본 사람이라면 정해진 예산 범위를 유지하면서 다양한 욕구를 충족시키는 여행계획을 세우는 일이 여간 복잡한 일이 아님을 알 것이다. 이런 복잡한 의사결정을 해야 하는 경우 전통적인 사고방식은 돌출요소들을 가능한 줄이고 단계별로 나누어서 생각하는 것이다. 하지만, 통합적인 사고는 다음과 같은 점에서 전통적인 사고방식과 차이가 있다.

첫째, 돌출요소에 대하여 좀 더 폭넓은 관점을 가지고 더 많은 특징을 돌출요소에 포함시킨다. 가령 가족여행에서 가족들의 만족, 안전, 교육효과 등 더 많은 요소들을 생각해볼 수 있다.

둘째, 통합적으로 사고하는 사람은 여러 방향의 비선형적인 인과관계를 검토하는 도전을 겁내지 않는다. 무조건 비싸다고 좋은 것은 아니므로 가족들의 만족도와 비용은 비선형적인 관계를 가질 것이다. 물론 계획을 세우는 데는 골치아프겠지만, 비선형적인 관계까지 고려함으로써 여행을 다녀온 후에 만족도는 더 높을 수도 있을 것이다.

세째, 통합적을 사고하는 사람은 문제를 여러 부분으로 나누어서 각 부분을 독립된 별개로 생각하지 않는다. 오히려 개별적인 부분을 해결하는 동시에 전체를 시각화한다. 비행기 시간을 결정하는 것은 특별한 이벤트에 참여할 수 있느냐 없느냐에 대한 결정에 영향을 미칠 수도 있는 것처럼 전체 문제를 한꺼번에 생각하는 것은 복잡하지만 포기하지 않는다면 상당히 유용한 결론에 이를 수 있다.

네째, 불쾌한 트레이드오프를 받아들이지 않고 언제나 긴장에 대한 창의적인 해결을 추구한다

통합적 사고방식의 차이를 좀 더 명확히 이해하기 위해, 포시즌스를 31개국에 75개의 호텔을 가진 업체로 성장시킨 이사도어 샤프의 사례를 들어보자. 1960년대 호텔사업에는 두 가지 모델이 있었다. 하나는 객실 수가 200여 개 남짓하고 불편하지 않을 정도의 편의 시설을 가진 모텔이고, 다른 하나는 750여 개의 객실에 회의실과 각종 식당, 연회실, 피트니스 센터 등 아주 다양한 편의 시설을 갖춘 호텔이다. 전자는 편안함과 친밀함이 장점이지만 비즈니스 여행객들의 마음을 얻지는 못하는 반면 후자는 시장이 요구하는 편의 시설을 갖출 만큼 충분한 수입을 창출했지만 차갑고 비인간적인 장소라는 이미지를 버릴 수 없었다. 의사결정은 이 둘 사이에 하나를 선택하여 사업을 확장해가는 것이었다. 하지만, 이사도어 샤프는 두 가지 모델 중에서 하나를 선택하지 않고 함께 고려하여 창의적인 해결을 추구했다. 즉, "소규모 호텔의 매력과 대규모 호텔의 장점을 결합"시킬 수 있는 중소 규모의 호텔을 생각한 것이다. 이렇게 하기 위해 가장 결정적인 문제는 고급 호텔보다 훨씬 적은 객실 수로는 그에 맞먹는 편의 시설을 운영하는 데 필요한 비용을 감당할 수 없다는 것이다. 하지만, 그는 이런 기존의 경제논리를 이렇게 탈피했다.

"차원이 다른 서비스를 제공한다면 상당한 프리미엄 가격을 부과할 수 있을 것이고, 그 결과 최상의 편의 시설을 감당할 수 있을 만큼 객실 당 수입도 증가할 것이다."라고 생각하고 24시간 비서 서비스, 크고 조명시설이 잘 된 책상, 24시간 룸서비스, 야간 구두닦이 서비스, 드라이클리닝, 다림질 등 집이나 사무실에 있는 것 같은 느낌을 주는 서비스들을 호텔업계 최초로 제공하여 대성공을 거두었다.

이사도어 샤프는 어떻게 이런 혁신적인 의사결정을 할 수 있었을까? 일반적인 사람들의 의사결정 과정과 어떤 점이 달랐을까? 그건 바로 고객을 철저히 연구함으로써 다른 사람들이 생각하지 못하는 돌출요소와 인과관계를 파악한 것이다. 일반적으로 고급스러움은 호텔 건축물과 장식에서 비롯된다고 생각하지만, 이사도어 샤프는 서비스라는 돌출요소를 더 발견하고 고급스러움과 연결함으로써 혁신적인 의사결정에 이를 수 있었다.

통합적 사고능력 키우기

평범한 사람들이 통합적 사고능력을 향상시키는 방법은 없을까?

저자는 개인의 지식체계를 입장, 도구, 경험이라는 세 가지 구성요소로 나누고 뛰어난 리더들의 입장, 도구, 경험에서 발견할 수 있는 특성들을 설명함으로써 개인들의 지식체계를 향상시킬 수 있다고 한다. 입장은 "이 세상에서 나는 누구이고 무엇을 추구하는가?"에 대한 답변이고, 도구는 "나는 사고를 조직화하고 세상을 이해할 때 어떤 도구와 모델을 사용하는가?"에 대한 답, 경험은 "전문기술과 감수성을 개발할 때 어떤 경험을 사용하는가?"에 대한 답이다. 가령 "세계적인 기업가가 되겠어"라는 것은 입장이다. 이런 입장을 가진 사람은 MBA과정을 등록하하고 다양한 회사에 다님으로써 이론과 프로세스, 경험법칙 등의 도구를 획득하게 된다. 그리고 자신의 '입장'과 '도구'에 따라 경험을 선택하게 된다. 입장, 도구, 경험은 서로를 유도하고 촉진한다. "세계적인 기업가"가 입장인 사람은 추구하는 목표달성을 위해 필요한 도구(예: MBA과정)를 갖출테고, 어떤 도구를 갖추었냐에 따라 경험(MBA가 필요한 일들)이 달라진다.

뛰어난 리더들은 다음과 같은 6가지 입장을 가지고 있다고 한다.

기존 모델은 객관적인 현실을 반영하지 못한다. 그것은 현실에 대한 주관적인 구성물일 뿐이다.
상반되는 모델은 두려워할 대상이 아니라 적극적으로 활용해야할 대상이다.
기존의 모델들은 완벽하지 않으며 더 나은 모델이 반드시 존재한다. 다만 아직 발견하지 못했을 뿐이다.
나에게는 더 나은 모델을 찾을 능력이 있다.
나는 필요한 복잡성을 피하지 않고 정면으로 승부할 수 있다.
나는 스스로에게 더 나은 모델을 창조할 시간 여유를 준다.

이런 입장을 유지함으로써 좀 더 통합적으로 사고할 수 있다는 것이다.

통합적 사고를 하는 데 도움이 되는 도구는 '생성추론', '인과모델링', '적극적 탐구' 등이다. 이 중 생성추론만 소개해보자.

우리는 연역적 추론과 귀납적 추론을 알고있다. 연역적 추론은 틀을 구축하고 그 틀을 문제에 적용하는 방식이고, 귀납적 추론은 경험적 관찰로부터 일반적인 규칙을 찾는 것이다. 연역적 추론은 추론의 토대가 되는 이론이나 모델이 필요하고, 귀납논리는 반복된 경험이나 관찰이 있어야 한다. 하지만, 대부분의 의사결정 과정에서 이론을 적용하기도 어렵고 충분한 경험치도 없는 경우가 대부분이다. 또한, 연역적 추론과 귀납논리는 없는 것을 발명하기 위해서는 적합하지 않다. 이런 경우 사용할 수 있는 도구가 바로 생성추론이다. 생성추론은 기존의 모델과 맞지 않는 새롭고 흥미로운 데이터에 대한 최상의 설명, 즉, 최상의 모델을 만들기 위해 모델을 생성하고 그 명제의 개연성을 탐구하는 추론 과정이다. 나머지 도구들의 소개는 생략한다.

이 책을 읽으면서 가장 좋았던 부분은 뛰어난 리더들이 의사결정해야할 문제를 대하는 '입장'을 알았다는 것이다. 나를 포함하여 우리들 대부분은 복잡한 의사결정 상황에 처하면 빨리 상황을 종료하고 싶어서 그다지 명쾌하지 않은 대안 중 하나를 선택하게 된다. 하지만, 이런 상황을 피하지 않고 좀 더 폭넓은 사고와 충분한 시간을 가지고 더 나은 모델을 창조하는 연습을 꾸준히 한다면 통합적 사고 능력을 키울 수 있고 나아가 뛰어난 리더가 될 수 있을 것이다.

[도서리뷰] 보노보혁명

2008-04-20T07:11:00.006+09:00

이 책은 사회적 기업가와 사회적 기업들을 소개하는 책이다.

사회적 기업은 사회문제를 해결하는 것을 목적으로 하는 기업을 말한다. 이윤추구를 목적으로 해도 살아남기 힘든 세상에 사회문제를 해결하는 기업이라고? 좋은 일을 하기 위해 기업을 운영한다고? 이런 질문들을 가지고 책을 읽기 시작했다.

첫번째 소개한 사회적 기업가는 마이크로소프트의 전직 임원인 '존 우드'씨이다. 그는 '룸투리드'라는 사회적 기업을 만들어서, 네팔, 캄보디아, 인도, 라오스 등지에 3870개의 도서관과 287개의 학교를 세웠다. 이런 일을 하기 위해 그가 2006년에 모은 기부금은 3300만 달러(약 330억)가 넘었다. 대단하다. 근데, 그는 왜 이런 일을 하게되었을까? 사연은 이렇다. 1998년, 존 우드씨는 너무나 바쁜 일상사에 지쳐서 네팔로 여행을 떠났는데, 거기서 우연히 네팔 교육부 관리를 만나, 마을 학교에서 책도 없이 공부하는 아이들을 보게된다. 그리고는 "나는 이런 곳에 윈도우즈를 팔려고 노력하고 있는건가? 그렇게 사는 게 무슨 의미가 있나?"하는 생각을 했고, 그 생각을 계기로 사회적 기업을 창업하게된 것이다.

이후에 책의 반 이상을 할애하여 많은 사회적 기업가와 기업의 사례를 들고 있는데, 각 기업가가 어떤 사회적 문제를 해결하기 위해 사회적 기업을 만들었고, 어떤 식으로 기업이 지속적으로 운영될 수 있도록 만들었을까 등을 살펴보는 것은 흥미진진했다. 왜냐하면, 그 동안 가지고 있던 기업에 대한 생각과는 너무나 다르기 때문이었다. 사회적 기업가와 기업을 잘 나타내줄 수 있는 사례를 중심으로 몇 명을 소개해보겠다.

얼 마틴 팰런 - 빈부의 차이로인한 교육 불평등 문제를 해결하자

그는 흑인으로써 어린 시절 버려진 후 두살때 입양되고, 순조롭게 성장해서 예일 대학을 거쳐서 하버드 로스쿨에 들어간다. 로스쿨을 다 니면서 자신의 어린 시절 빚을 갑기 위해 빈민가의 아이들을 지도해주는 멘토링 봉사활동을 하게 되는데, 많은 아이들이 글을 읽지 못한다는 것으로부터 빈부의 차이가 교육 불평등 문제로 이어지고 있다는 것을 깨닫게 된다. 그리고 빈민가의 아이들에게 부자 아이들의 사교육만큼이나 높은 수준의 사교육을 제공하기 위해 BELL(Building Educated Leaders for Life)을 설립한다. 12,500 달러의 자금, 20명을 대상으로 시작한 BELL은 15년 만에 2천만 달러로 기금을 늘렸고, 보스턴뿐 아니라 볼티모어,뉴욕,워싱턴 등지로 그 활동 영역을 넓혀서 만명의 아이들에게 혜택을 주고있다. 그의 목표는 미국 전역에서 10만명의 아이들을 가르치고, 그 아이들의 학교 성적을 높여 주는 것이다. 그리고 그 아이들이 장래의 꿈을 가지고 성장해서 자신, 자녀, 지역사회를 변화시킬 수 있도록 하는 것. 즉, 빈민가에서 성공한 아이들이 다시 빈민가를 바꾸는 선순환이 일어날 수 있도록 하는 것이 그의 목표이다.

데이비드 그린 - 인공수정체 시장을 바로잡다

수정체가 혼탁해져서 결국은 실명을 하게 되는 병인 백내장을 아시나요? 그리고 이 병은 수정체만 인공수정체로 바꾸는 수술을 하면 시력을 다시 찾을 수 있다는 것도 아시나요? 아프리카 저개발국의 실명 환자 중 80%는 노화와 영양실조 때문에 생긴 백내장이 그 원인이며, 소수의 다국적 기업의 독점으로 인공수정체 가격은 300 달러에 달하고 1-2 달러가 하루 생활비인 가난한 사람들에게 백내장은 실명과 똑같은 얘기가 된다는 사실은? 가난 때문에 고칠 수 있는 병을 운명으로 받아들여야한다니? 이런 불합리한 문제를 바꿀 수는 없을까? 소득수준에 따라 서로 다른 의료비를 책정할 수는 없을까?

데이비드 그린은 오로랩을 설립하여 공장도 가격 3달러 짜리 인공수정체를 생산하여, 5-10달러에 판매하기 시작했다. 2007년 현재 오로랩은 한 해 70만개 이상의 인공수정체를 판매하고 있고, 전세계 인공수정체 시장의 8%를 점유하고 있다. 그리고 이렇게 생긴 수익금을 다시 인공수정체 공장도 가격을 낮추는데 사용하고 있다.

마틴 피셔 - 적절한 기술로 스스로 가난에서 벗어나게 하자

일반적으로 생각하는 개발도상국 지원책은 재화를 공짜로 나누어주는 것이다. 마틴 피셔는 이런 지원책은 네 가지 관점에서 잘못되었다고 생각한다. 첫째, 필요한 모든 사람에게 줄 수 있는 것이 아니라면 수혜자가 한정적이므로 공정하지 않다. 둘째, 지속 가능하지 않다. 세째, 무상으로 나누어주는 행위자체가 해당 지역의 시장경제를 왜곡한다. 네째, 사람들의 의존성만 더 키운다.

그럼 어떻게 해야할까? 개발도상국의 빈곤 문제를 근본적으로 해결할 수는 없을까? 그는 아프리카 전체 인구의 80%가 농민이라는 사실에서부터, 가난한 농민들이 구입할 수 있고 돈벌이에 이용할 수 있는 값싼 제품을 개발함으로써 빈곤을 퇴치해야겠다고 생각했다. 그래서 그는 킥스타트라는 회사를 세워 관개용 펌프를 개발하여 농민들에게 판매했고, 농민들은 관개용 펌프로 건기의 물부족 문제를 해결하여 농업 생산량을 크게 늘렸으며 그로 인해 연평균 소득이 110달러에서 1100달러로 늘어나게 되었다.

데이비드 위시 - 음악 교육 문제를 바로잡다

1990 년대 중반 이후 미국 교육 재정은 계속 줄고 이에 따라 음악교육이 가장 먼저 없어졌고, 2003년 전국 초중고의 60%에서 음악교육이 사라지게 된다. 이런 공교육 시스템의 문제를 해결하기 위해 데이비드 위시는 빈곤층 아이들에게 공짜로 악기를 나누어 주고 음악 수업을 하는 리틀키즈록을 설립한다.

이 외에도 이 책에는 "흥미진진하다.", "기발하다.", "이렇게도 사회 문제를 해결할 수 있겠구나!" 하는 생각이 들게 만드는 많은 사례들이 있다. 이런 사례들을 소개한 후 사회적 기업가의 정의와 특성을 다음과 같이 얘기한다.

" 사회적 기업가는 사회의 가장 골치 아픈 문제들에 대해 혁신적인 해결책을 지닌 개인들이다. 또한 그들은 사회의 빈틈을 메우는 문제를 정부나 기업에 떠넘기기보다 무엇이 잘못되었는 지를 찾아내 직접 해결함으로써 취약한 제도를 바꾸고, 해법을 확산시키며, 사회 전체가 새로운 도약을 하도록 설득하는 사회적 혁신가들이다."
"사회적 기업가는 생선을 주는 것은 물론이고, 고기 잡는 법을 가르쳐주는 것으로도 만족하지 않는다. 그들은 고기잡이 산업을 혁명적을 바꿀 때까지 결코 멈추지 않을 것이다."

어떠세요? 사회적 기업이나 기업가에 대한 생각이 조금은 달라지지 않나요? 나도 뭔가 사회적 기업을 통한 활동에 참여하고 싶다는 생각이 들지 않으세요? 창업을 통한 사회적 기여를 생각해보신 분이라면 한 번 쯤 꼭 읽어보시라고 권하고 싶네요.

[도서리뷰] 미래를 읽는 기술

2008-04-14T06:58:00.004+09:00

디지털 카메라가 140년 된 필름기업인 아그파를 파산에 이르게했다는 얘기를 들어본 적이 있는가? 음반업계를 휘청거리게 만들고 음악 유통 구조의 변화를 가져온 mp3에 대해서 들어본 적이 있는가? 거꾸로 만약 이들 업계가 미래 연구를 통해 다가올 변화를 예측하고 미리 대비했다면 아이튠즈를 탄생시킨 애플, 고무장화 제조업체에서 세계적인 휴대폰 제조사가 된 노키아와 같은 기업이 되어있지 않을까?

미래연구는 어떻게 하는 것일까? 예지력? 예언?

흔 히 미래연구라고하면 예언가를 떠올리게 되는데, 저자는 미래연구는 절대로 예지력이 아니며, 정보를 수집하고 분석하여 전달하는 간단한 방법이라고 한다. 이 책은 미래연구를 맥주산업을 예로 들어서 설명하고 있는데, 그 방법을 한 번 살펴보자.

먼저 특정 산업을 분석하기 위한 첫 단계는 해당 분야를 넓은 시각에서 시스템적으로 분석하는 것이다. 예로 든 맥주 산업에 있어서는 "농업->양조->포장->운송->유통->소비자->폐기물과 재활용"에 이르는 맥주와 관련된 전체 시스템을 이해하는 것이다. 시스템을 보다 넓은 시각에서 살펴보기 위해서는 STEEP이라는 도구가 유용하다. STEEP은 사회, 기술, 경제, 환경, 정치(Society, Technology, Economy, Environment, Politics)의 약자로써, 거시적인 트렌트를 파악하는 데 도움이 되는 분석 툴이다.

두 번째 단계는 대상 산업 시스템의 미래를 예측하기 위한 전 단계로써 대상 산업의 트렌드를 조사하는 일이다. 트렌드 조사는 우선 관련 업계의 '오늘'을 파악하는 것에서부터 시작한다. 대상 산업을 전문적으로 다루는 잡지 및 웹사이트를 다음과 같은 관점하에 조사한다.

업계에서 가장 중요한 트렌드는 무엇인가?
여러 출처에서 계속 다루어지는 공통된 주제는 없는가?
계속 눈에 띄는 이름이나 주요 기관으로는 어떤 것들이 있는가?
이 분야를 대표하는 선두주자는 누구인가?

관 련 업계의 '오늘' 관심사를 파악한 후에는 상호 검토 학술지, 정부 보고서, 심층 기업 분석 등 보다 신빙성있는 출처를 조사하여 전문가들의 연구를 바탕으로 만들어진 정확한 데이터를 얻는다. 해당 데이터를 수집한 후에는 그 속에서 트렌드를 파악한다. 트렌드는 보통 직선형(상승, 하강, 정체 등), S곡선(상승 후 한계), 포물선(급격한 상승), 역포물선(급격한 하락) 등의 형태로 나타난다.

맥주 산업과 관련한 트렌드 몇 가지를 예로 들어보자.

미국의 맥주 소비량은 젊은이들 사이에서 와인이나 증류주외 비교해 줄어들고 있다.
맥주의 세계화가 진행중이다. 중국은 곧 세계 최대의 맥주 시장으로 부상할 것이다.
세계경제가 지식경제로 전환하고 있고, 사무직 근로자들은 맥주만큼이나 보드카를 즐긴다.

다음 단계는 트렌드로부터 미래를 예측하는 것이다. 이 단계에서는 가능한 최고의 전문가로부터의 데이터를 수집해야 한다. 잡지나 보고서의 예측, 증권회사들의 관련 산업 분석 및 예측 등의 자료를 살펴보면 도움이 된다.

전문가들의 미래 예측 자료를 수집한 후에는 이를 바탕으로 미래 예측이 가지는 '잠재효과'를 이해하는 것이다. 즉, 다음과 같은 질문을 하고 그 답을 찾으려고 노력하는 것이다.

우리의 사업을 잠식할 새로운 경쟁자가 등장할 것으로 보이는가?
고객은 늘거나 줄지는 않았는가?
새로운 규제의 가능성은? 지지해야할 공공정책은?
미래가 선진국, 제2, 제3세계 국가에 미칠 영향은?

잠재효과를 파악하기 위한 도구로써 미래 수레바퀴와 상호효과 분석을 이용할 수 있다. 도구에 대한 구체적인 설명은 책을 참조하기 바란다.

다 음 단계는 파악한 잠재효과를 효율적으로 전달하는 것이다. 사람은 분석적 글쓰기 보다 서술적 이야기를 통해서 전달된 내용을 훨씬 더 쉽게 이해한다고 한다. 이런 특성을 이용해서 파악한 잠재효과를 설명하는 것이다. 즉, 잠재효과들을 엮어서 미래에 있을만한 시나리오를 만들고 그 시나리오를 들려줌으로써 미래연구 결과에 대한 관심을 높이는 것이다.

어떤가? 그럴싸한가? "나도 한 번 관심있는 산업에 대한 분석을 이 책에서 소개한 방법에 따라 해보고 싶다"는 생각이 많이 나는, 정말 실전적으로 도움이 되는 책이다. 기획, 산업분석, 미래연구를 하시는 분들이라면 꼭 읽어보길 권하고 싶다.

오픈소스 라이센스의 적용범위

2008-01-08T06:58:00.000+09:00

소프트웨어진흥원 자료, KLDP 자료, IOSN자료들을 모두 살펴봤지만, 오픈소스 라이센스가 영향을 미치는 범위에 대해서 명쾌하게 설명한 자료는 찾을 수가 없어서 혼자서 다음 그림을 그려봤습니다.

오픈소스 라이센스의 적용범위를 설명하기 위해서 위 그림에서처럼 세 가지 경우로 나누었습니다.

오픈소스의 일부를 수정한 파일 A,
오픈소스를 수정하지는 않았지만, 오픈소스와 함께 하나의 모듈을 구성하고 있는 파일 B,
오픈소스의 derivative works를 static 또는 dynamic으로 링크해서 동작하는 파일C

이 세가지 경우에 대해서 GPL, LGPL, MPL, CPL의 적용범위를 설명한 것이 위 그림의 오른쪽 표입니다.
이렇게 그려보고 나니 좀 설명하기가 쉬워진 것 같네요. 혹시 틀린 점이 있으면 코멘트 남겨주세요.

PDF 논문 목록 만들기

2008-01-07T07:15:00.000+09:00

연구업무를 하다보면 논문을 살펴볼 일이 많은 것 같습니다.
특히 초기단계에는 더 많지요.
이 때 저는 다음과 같은 과정을 통해서 조사를 합니다.

처음에 조사할 분야의 적당한 용어를 선택해서 논문 검색
다운로드 받은 논문들을 읽어보고 중요논문 선택
중요논문에서 참고한 문헌들 다시 조사
중요논문을 읽고 조사할 분야의 보다 적합한 검색 키워드 선정
새로운 키워드로 1번 부터 반복

여기서 2번 과정에서 항상 다운로드 받은 pdf 논문 파일들을 일일이 열어보는 과정을 해야하는데요. 이 과정이 은근히 귀찮아서 스크립트를 만들어봤습니다.
특정 디렉토리를 지정하면 그 디렉토리의 모든 하위 디렉토리에 있는 pdf 파일들의 파일명, 제목과 abstract의 목록을 만듭니다. 파일명에는 해당 파일로의 링크를 걸어서 보기 편하게 만들었습니다.
단점은 현재는 IEEE 2-column 형식만 지원한다는 것입니다. 그래도 대부분의 논문이 이 형식을 지원합니다.
필요하신 분들 가져다가 유용하게 쓰세요(xpdf 툴킷 중 pdftotext.exe가 아래 python 스크립트와 같은 디렉토리에 있어야 합니다).
다른 형식을 지원하게 되었거나 향상된 점은 저에게도 알려주시구요.

# -*- coding: cp949 -*-

# Usage: "python pdflist.py starting_directory_path output_filename"
#  This script find the pdf files recursively from starting_directory_path and
#  get the title and the abstract of the file and build the list in HTML table.
#
# Written by guldook. 2008.1.6.
# You must let me know any changes you did (guldook at gmail)

import os, string, tempfile
import sys

def get_text(filename,start=0,end=0):
  try:
      cmd = "pdftotext.exe -f %d -l %d -enc UTF-8 %s -" % (start, end, filename)
      f = os.popen(cmd)
      text = f.read()
      err = f.close()
      if err is not None:
          print 'unable to read %s' % filename
          raise IOError
  except IOError:
      pass
  except:
      raise Exception,'unable to execute pdftotext'
  return text

# paper must be formatted by IEEE 8.5 x 11-inch Proceedings Manuscripts, IEEE 2-column format
# refer http://www.computer.org/portal/site/cscps/menuitem.02df7cde46985ea21618fc2e6bcd45f3/index.jsp?&pName=cscps_level1&path=cscps/cps/final&file=wi06.xml&xsl=generic.xsl&
# I need to extend to other format

def get_info(fname):

  title,abstract = None, None

  try:
      s = get_text(fname, 0, 10)
            
      # get the index of 'Introduction' section
      idx_abstract = s.index('Abstract')

      # get the index of 'Introduction' section
      idx_intro = s.index('Introduction')

      title = s[:s.index('\n')]
      abstract = " ".join(s[idx_abstract+len('Abstract'):idx_intro].split()).replace('\n','').replace(', ',' ')
      title = '"' + title + '"'
      abstract = '"' + abstract + '"'
    
  except (IOError, ValueError):
      raise
  finally: return title,abstract

header = "<html>\n<title>%s directory pdf file summary</title>\n<body>\n<table>\n<tr><td>Link</td><td>Title</td><td>Abstract</td>\n"
footer = "</table></body>\n</html>"

def get_pdflist(path, outfn):

  numlist = 0
  f = open(outfn, "w+")
  f.write(header % os.path.abspath(path))
        
  for root, dirs, files in os.walk(path):
      for fname in files:
          if fname.endswith('.pdf'):
              try:
                  title, abstract = get_info(os.path.join(root, fname))
                  if (title and abstract):
                      line = "<tr><td>"
                      link = "".join(['<a href="file:///', os.path.join(os.path.abspath(root), fname), '">', fname, '</a>'])
                      line += "</td><td>".join([link, title, abstract])
                      line += "</td></tr>"
                      f.write(line+"\n")
                      numlist += 1
              except IOError, ValueError:
##                    line = ", ".join([fname, "N/A", "It must be standard IEEE 2-column format"])
##                    f.write(line+"\n")
                  continue
  f.write(footer)          
  f.close()

if __name__ == '__main__':
  if len(sys.argv) == 1:
      get_pdflist('./test', "./pdflist.html")
  elif len(sys.argv) != 3: print "Usage: pdflist.py start_path output_filename"
  else : get_pdflist(sys.argv[1], sys.argv[2])

오픈소스 라이센스 정책에 대한 정리

2007-11-28T17:32:00.001+09:00

오픈소스를 사용해서 소프트웨어를 개발할 때 오픈소스 라이센스가 어떻게 적용되는 지에 대해서 검토하는 것은 중요한 일입니다.
이런 관점에서 활용할 수 있는 문헌을 찾다가 정말 좋은 책을 발견했습니다.
바쁘신 분들을 위해서 표 하나만 소개하지요. 이 표만으로도 충분히 유용할 듯 합니다.

(출처 : FOSS Licensing 18페이지)

레몬펜 서비스 베타테스터 활동

2007-11-23T10:14:00.001+09:00

특정 주제에 얽매이지 않고 이것저것 네비게이션을 해보려고 합니다.
오픈ID 커뮤니티를 통해서 관심을 가지게 된 오픈마루에서 레몬펜 서비스를 오픈했네요. 좋은 아이디어라 생각됩니다.
신문, 사진, 동영상 퍼블리싱 사이트로 계속 발전해가면 좋을 것 같네요.

이직

2007-09-27T07:09:00.001+09:00

자그마치 9년 2개월이란 시간을 이니텍에서 보냈습니다.

98년 입사해서 2년 동안은 낮에는 영업, 밤에는 개발하느라 정말 힘든 시간을 보냈었는데, 막상 떠날때는 그 때가 가장 기억에 남네요. "비자와 같은 회사"를 만들자던 원대한 꿈과 그 과정을 함께한 사람에게는 뭔가 커다란 보상이 있겠지하는 막연하고 순수한 기대, 이런 것들이 젊은 열정을 가지게 했고 그 시절의 힘든 일들을 참게 했던 것 같습니다. 한 4년은 인터넷뱅킹, 통신사 프로젝트를 하느라 정신없이 지냈던 것 같고, 최근 3년간은 기술전략연구소라는 이름으로 새로운 사업을 추진하는 일을 맡았었습니다.

이 블로그도 제가 기술전략연구소로 옮기면서부터 시작되었습니다. 처음에는 블로그가 뭔지 알아보자는 마음에 신변잡기와 관련된 내용을 올렸었고, 나중에는 좀 더 일관된 주제를 만들어보자는 생각에 보안, Identity 2.0, 지불 등에 관한 글을 올렸습니다.
이 블로그를 통하여 오픈ID를 알리고, 국내에 아직은 미약하지만 작은 흐름을 만들 수 있었다는 것은 제게는 너무나도 소중한 경험이었습니다. 그리고, 그 과정에서 만난 인터넷 사업을 하는 많은 사람들의 열정적인 모습들은 많은 자극이 되었습니다.

결국은 이런 일들이 계기가 되어 새로운 회사에서 새로운 일을 하기로 결정했습니다.
앞으로 보안, Identity 와는 좀 다른 주제로 블로깅을 해보려고 합니다(계속해서 이 주제와 관련된 관심을 가지기는 어려울 것 같아서).
아뭏든 좀 더 활기차고 즐거운 일들이 블로깅을 통해서 일어나기를 기원해봅니다.

소년박명수 스팸?

2007-07-31T12:49:00.001+09:00

떡이떡이님이 블로그 스팸이 어떻게 검색을 망치는 가에 대한 재미있는 글을 썼네요. DM에서 부터 전자우편, 메신저, 이제는 블로그까지 모든 커뮤니케이션 도구에는 스팸문제가 존재합니다. 어제 이를 해결하고자 정통부에서 "정보통신망 이용촉진 및 정보보호 등에 관한 법률"의 개정을 추진하겠다고 발표했습니다. 하지만, 아직 국내에는 블로그 스팸을 막고자 하는 연구나 사업은 많이 부족한 것 같아서 실효성에는 약간 의문입니다(아니면, 제가 모르고 있을 수도).

스팸관련해서 몇 가지 도움이 될만한 링크들을 소개합니다.

스팸포이즌 : 이메일 주소를 수집해가는 스패머들의 로봇을 엿먹이는 '링크'를 제공합니다.
Akismet : Wordpress에 플러그인으로 동작하는 스팸을 걸러주는 서비스입니다. 개인용과 상업용 모두 있습니다.
AIRWeb(Adversarial Information Retrieval on the Web) : 검색엔진 최적화, 코멘트 스팸, 블로그스팸, 불법 태깅 등 웹을 악용하는 것과 관련된 연구를 다루는 워크샵입니다.
봇마스터 : 스패머들이 대량스팸을 보낼 때 사용하는 도구입니다.
블로그스팸 DB : OpenAPI 또는 Pingoat를 통해서 만들어진 스팸 블로그 데이터베이스입니다.
검색엔진 순위조작 Spamdexing

구글, 공짜 무선인터넷을 만들겠다

2007-07-24T14:34:00.001+09:00

4.6조를 들여서 주파수를 사고 음성 및 데이터 통화료가 없는 무선인터넷을 만들겠다는 계획을 발표했습니다. 화끈해서 좋네요.
어제 정통부에서 발표한 '요금 인하 등 소비자이익을 위한 통신정책 추진' 방안과 너무 대비되네요.

공인인증체계에 대한 생각

2007-06-29T14:14:00.001+09:00

28일 커머스넷과 전자신문사에서 주최하는 eBiz클럽 토론회가 있었습니다.

토론주제는 "웹2.0 시대의 공인인증체계" 였습니다.
이준기 교수님의 사회로 정통부, KISA, 소프트웨어진흥원, 소프트뱅크 코리아 그리고 제가 참석해서 토론을 했습니다.

굉장히 발전적인 방향에서 토론이 이루어져서 즐거웠습니다. 제가 얘기했던 세 가지 의견을 다시 한번 정리해봅니다.

1.접근매체 선택권 부여

전자금융거래법 제 6조 1항에서는 "금융기관 또는 전자금융업자는 전자금융거래를 위하여 접근매체를 선정하여 사용 및 관리하고 이용자의 신원, 권한 및 거래지시의 내용 등을 확인하여야 한다."라고 쓰고있고, 동법 9조 1항에는 "금융기관 또는 전자금융업자는 접근매체의 위조나 변조로 발생한 사고, 계약체결 또는 거래지시의 전자적 전송이나 처리과정에서 발생한 사고로 인하여 이용자에게 손해가 발생한 경우에는 그 손해를 배상할 책임을 진다."라고 규정하고 있습니다. 그리고 9조 2항에는 몇 가지 예외적인 경우를 언급하고 있는데, 사고 발생이 이용자의 고의나 과실로부터 기인한 경우입니다.
이 법에 따라 은행은 손실을 최소화하기 위해 접근매체를 선정하고, 전자적 거래 처리과정의 사고를 막기위해서 각종 보안 프로그램을 설치하고 있습니다. 결국 은행이 선정한 접근매체나 보안 프로그램을 사용해야만 사고에 대한 보장을 받을 수 있습니다. 저는 9조 2항의 예외사항에 "금융기관과 이용자 간의 별도 약정이 하는 경우에는 해당 약정을 따른다"라는 형태로 서로 다른 수준의 접근방법을 수용할 수 있도록 해야 한다고 생각합니다. 물론 금융기관이 지정한 방법을 사용하지 않는 경우 그에 따른 사용자의 책임또한 증가할 것입니다. 하지만, 새로운 접근매체가 지속적으로 도입될 수 있는 구조를 만든다면 많은 사용자들의 요구사항을 수용할 수 있을 것입니다.

2. 지속적인 접근성 확보를 위한 접근매체 도입 구조 개선

웹 접근성이라는 측면에서 불거진 ActiveX 문제는 현재의 접근성 문제입니다. 5년 뒤에는 또다른 접근성의 문제가 생길 수 있을 것입니다. 즉, 모바일 및 TV를 포함한 미래형 단말기에 대한 접근성 문제가 또다시 발생할 것입니다. 따라서, 보다 근본적인 해결책은 기술의 발전에 따라서 고안될 다양한 접근매체 및 전자거래 보안방안들을 제안하고, 평가하는 과정을 개방하는 것입니다. 문제가 생겨서 기술개발을 하는 것이 아니고 새로운 환경에 대해 개발된 기술로 환경변화에 대응할 수 있도록 해야합니다. 이렇게 함으로써 서비스업체가 미래에 다가올 접근성의 문제를 발빠르게 해결할 수 있고, 사용자들도 편리할 것입니다.

3. 브라우징 매체와 접근매체의 분리

앞으로 브라우징 매체는 접근매체 보다 보다 빠르고 광범위하게 발전할 것입니다. 그에따라 모든 브라우징 매체에서 발생하는 보안문제를 해결하는 것은 점점 더 어려운 일이 될 것입니다. 따라서, 브라우징 매체와 독립적이면서도 안전한 접근매체를 사용함해야합니다(접근매체만을 안전하게 하는 일이 더 쉬운 일일테니까요). 근래에 OTP나 HSM의 도입은 상당히 바람직한 방향이라고 생각됩니다. 하지만, 핸드폰이나 스마트카드에서 사용할 수 있는 OTP 및 스마트카드 형태의 HSM 등은 편리하면서도 경제적인 접근매체임에도 불구하고 금융거래에 사용하지 못합니다. 금융거래의 위험정도(이체금액 등)가 작은 경우에는 충분히 사용할 수 있는데도 말이지요. 1번이나 2번에서 언급한 의견이 반영되어, 보다 많은 사용자의 요구사항을 수용할 수 있는 발전적인 접근매체의 운용체계가 수립되었으면 합니다.

Sun.com의 OpenID를 가지면 Sun의 직원!

2007-05-30T06:36:00.001+09:00

Sun이 OpenID를 지원하겠다고 합니다. 즉, 내부직원용 OpenID를 만들겠다는 것인데요.

하지만, 여기 저기서 "Sun.com의 OpenID를 가진 사람은 Sun의 직원입니다"라는 것은 아니다라는 의견을 내고 있네요, 왜냐하면 다른 OpenID provider (가령 idpia.com)에서 받은 OpenID는 아무런 암묵적인 의미를 가지지 않기 때문입니다. (어떤 openid url은 의미를 가지고, 어떤 것은 가지지 않으면 표준화할 수도 없고, 기계가 해석할 수도 없겠지요...)

Simon Willson씨는 다음과 같이 코멘트하고 있습니다.

I disagree about Sun’s OpenIDs being the first to convey some kind of
meaning. An OpenID from LiveJournal OpenID conveys a bunch of meanings:
“I have a LiveJournal at URL X”, “An RSS feed of my LiveJournal is
available at URL Y”, “A FOAF file detailing my LiveJournal friends is
available at URL Z”. Likewise, an AOL OpenID incorporates “You can send
me instant messages at this AIM address”

한 마디로 말해서 machine-readable identifiers가 필요하다는 내용인데요, 이미 이런 요구사항은 XRI를 통해서 구현가능합니다(참고).

XDI.org에서 7월부터는 i-name 등록 가격을 내린다고 하니, OpenID랑 연계해서 사용하면 좋을 것 같다는 생각이 듭니다(7월에 준비해보겠습니다.).

정통부에 OpenID 기술표준 채택 제안

2007-04-20T23:26:00.001+09:00

월에 한 번씩 정통부에서 웹2.0기술표준 전략수립 전문가회의가 열리고 있고, Identity 분야에 관한 조언을 하고 있습니다.

OpenID 커뮤니티에 도움이 되고자 다음과 같은 과제를 제안했습니다. 참고하시고, 좋은 의견 있으시면 연락주세요.

1. 과제명 (또는 현안명)

SOA / 매쉬업 환경에 적합한 Identity 관리 기술

2. 현황 및 문제점 (또는 필요성)

SOA의 발전과 함께 다양한 형태의 매쉬업 서비스가 등장할 것으로 예상되며, 이에 따라 비공개 서비스와 공개 서비스, 유료와 무료 서비스 등을 매쉬업 해야할 필요성이 증가할 것이다. 이런 환경에서 서비스마다 다른 사용자 식별아이디, 인증방법, 정보교환 방법을 사용하는 것은 사용자들에게 불편함을 줄 뿐만 아니라, 매쉬업 서비스 활성화의 장애요인이 될 것이다. 따라서, 인터넷 사용자와 인터넷 서비스 간에 이루어지는 사용자 식별, 인증, 정보공유 방법을 표준화하는 것이 필요하다.

국내의 경우 실명확인/본인확인, 아이핀 서비스, 행자부 통합ID 등 다양한 형태의 Identity관리 방법들이 서로 다른 요구사항에 따라 개발되고 있지만, 오히려 향후 웹 서비스 활성화에 장애가 될 수 있음.

3. 사용자 중심 Identity 관리 기술

문제점을 해결하기 위해서는 다음과 같이 측면에서 Identity 관리 기술을 표준화해야 한다.

사용자 식별 표준화 : 서비스마다 상이한 사용자 아이디를 사용한다면, 사용자가 하나의 매쉬업 서비스를 위해서 다수의 아이디를 입력해야함. 따라서, 인터넷 서비스가 사용자를 식별하는 방법이 표준화되어야 한다.
정보교환 표준화 : 사용자가 인터넷 서비스에 가입할 때마다 개인정보를 입력하는 것은 매우 비효율적이다. 따라서, 인터넷 사용자와 인터넷 서비스 간에 정보를 교환하는 방법이 표준화되어야 한다.
다양한 인증수단 연동 표준화 : 인터넷 서비스마다 특정한 인증방법을 선택한다면, 사용자는 다수의 인증방법을 통해서 매쉬업 서비스를 이용해야 함. 따라서, 인터넷 서비스는 다양한 인증수단을 제공함으로써, 인터넷 사용자가 인증방법을 선택할 수 있도록 해야한다. 이를 위해서 인증방법이 표준화되어야 함.

4. 대안들

현재 다음과 같은 대안들이 적용가능하며, 이러한 대안들을 포함한 다양한 기술들을 검토하고 실행가능한 표준을 제정해야 한다.

최근 URL을 사용자 아이디로 사용하는 방법이 널리 채택되고 있음. OpenID를 대표적인 예로 들 수 있음. 국내 특성 (실명확인, 아이핀, 통합ID) 들을 OpenID 2.0 표준에 반영하거나 OpenID 표준을 준수한다(현재 아이핀은 정보보호진흥원 표준, 통합ID는 OASIS SAML 표준을 따르고 있음).
OpenID 2.0 규격에 따라 인터넷 사용자와 인터넷 서비스가 정보교환하도록 한다. 개인정보는 OpenID 서비스 제공자 또는 개인이 직접 구축한 OpenID 서버에 저장하여 사용할 수 있도록 한다.

5. 참고 자료

http://openid.net/
http://www.openid.or.kr/
http://www.oasis-open.org/committees/tc_home.php?wg_abbrev=security
http://www.kisa.or.kr/kisa/ipin/jsp/ipin_0000.jsp
http://www.ddaily.co.kr/news/?fn=view&article_num=20751

미투데이 초대권 필요하신 분

2007-04-19T10:42:00.001+09:00

미투데이에 대해서 아실만한 분들은 이미 다 가입하셨을테고...

잘 모르시는 분들은 여기를 참고하세요.

언제부턴가 저에게 무한리필되는 초대권이 생겼네요...ㅋㅋ

가입을 위해서는 OpenID가 있어야하는데요, idpia.com에서 하나 만드시고, 댓글이나 연락처로 이름,이메일주소,OpenID를 남겨주세요.

A Password Stretching Method with User Specific Salts

2007-03-31T00:50:00.001+09:00

WWW2007 논문들이 공개되었습니다.

제가 제출한 논문은 쉬운 패스워드로부터 어려운 패스워드를 만들어내는 방법인 Password Stretching에 관한 것입니다.

기존의 방법들은 모두 레인보우 테이블을 사용한 공격에 약한데요, 이것을 극복하는 방법에 관한 것입니다.

관심있는 분들이 많을 지는 모르겠지만, 필요하신 분들은 참고하십시오.

"웹 구조개혁의 제안"에 부쳐

2007-03-07T16:50:00.001+09:00

공인인증서 소프트웨어를 다루고 있는 회사에 몸담고 있는 사람으로써 최근의 ActiveX와 공인인증에 대한 논의는 너무나도 민감한 사안이기 때문에 제 의견은 적지 않습니다. 다만, 김국현님의 웹 구조개혁의 제안에 있어서 바로잡아야할 '사실' 들과 제안의 현실화에 도움이 될 만한 내용들만 적습니다.

구조개혁 1에 대한 의견

대안1의 버츄얼 키보드는 안전하지 않습니다.
공인인증서의 안전성은 공인인증서와 한쌍을 이루는 개인키(전자서명키)를 보관하는 저장매체의 안정성에 의존합니다. 즉, 공인인증서라는 기술의 문제가 아니고 공인인증서 저장매체가 문제인 것입니다. HSM을 사용한다고 해서 공인인증서 기술을 사용하지 않는 것은 아니며, 개인키 저장방법이 변경되는 것입니다.
은행에서 공인인증서를 HSM에 담아서 제공하지 않았던 것은 비용문제였는데, OTP 하드웨어를 모든 인터넷뱅킹 사용자에게 보급하기 위해서는 마찬가지의 비용문제가 있습니다. 은행들이 안전카드는 공짜로 제공하지만, 암호생성기(OTP)는 유료로 제공하고 있는 이유가 여기에 있습니다.
안전한 하드웨어가 모든 전자금융/지불 사용자에게 보급되지 않는다면, 구조개혁 1의 현실성은 없어보입니다.

구조개혁 2에 대한 의견

SEED는 2005년에 이미 RFC4009가 되었고, TLS(SSL의 IETF 표준화 버전)에 알고리즘으로 추가하는 방법도 RFC4162가 되었습니다. 그런데도 왜 브라우저 업체들은 구현하지 않았을까요? 진정한 대안이 되려면 오픈웹 운동 같은 곳이 나서서 이 표준들을 브라우저 업체들이 구현하도록 해야합니다.

WWW2007 poster accepted!

2007-03-06T17:11:00.001+09:00

지난 번에 정보처리학회에 발표한 패스워드 강화방법을 보강해서 WWW2007에 포스터 논문을 냈는데, 오늘 accept 되었습니다.

Conference proceeding과 ACM Digital Library에 공개된다는군요. 이제 특허와 논문과의 연관도 조금은 알것 같습니다.

논문은 공개되는대로 올리겠습니다.

5월 포스터 발표겸 가족여행으로 WWW2007 다녀와야겠네요...

특허자축

2007-02-15T12:04:00.001+09:00

언젠가 소개했었던 피싱방지 방법이 특허를 획득했습니다. 2005년 열심히 특허를 냈는데 그 결과가 작년말,올해 나오고 있습니다.

올해만 3개째 특허를 획득했습니다. 제 개인적으로는 4개의 특허를 보유하게 되었네요.

이제 아이디어를 특허로 만드는 일은 80% 이상의 확율로 가능하겠다는 생각입니다.

앞으로는 특허등록한 아이디어가 성공적인 사업이 되는 확율을 높이는 일을 잘 해볼 생각입니다.

첫번째는 MOTP 였고, 개인적으로는 어느 정도 성공적인 사업이 되어가고 있다고 생각합니다. 올해는 피싱/OpenID 관련 사업을 진행해보려고 합니다. 잘 되야될텐데...ㅋ

마이크로소프트, OpenID와 협력

2007-02-08T13:30:00.001+09:00

마이크로소프트, Verisign, Janrain, Sxip 이렇게 네개 회사에서 Windows CardSpace와 OpenID간에 호환성을 유지하는데 노력하기로 합의했습니다. 국내에서도 많은 분들이 소개를 해주셨습니다.

제가 Windows CardSpace에 대해서 작성한 자료들도 참고하세요.

개인적으로는 발표에 참여한 네 개 회사의 전략에 대해서 추측해봅니다.

MS : Vista 활성화 및 인터넷 인증/Identity 인프라를 잡자.
Verisign : PIP 서비스 활성화 혹은 OATH, IETF Keyprov과의 결합을 통한 Strong Authentication Service 시장 창출
Janrain : OpenID 또는 평판서비스 활성화
Sxip : Identity 기술 리더쉽을 통한 IdM 솔루션 판매 강화

아뭏든, 나름대로 서로 다른 목적을 가진 네 회사의 제휴가 인터넷 Identity 기술에 도움이 되었으면 좋겠네요.

Yahoo 계정 OpenID 계정으로 만들기

2007-01-29T08:54:00.001+09:00

Yahoo의 Browser-based Authentication API와 OpenID를 사용해서 야후 계정을 OpenID 계정으로 사용할 수 있도록 만드는 서비스가 등장했습니다.

같은 개념으로 Daum 인증 API를 OpenID 계정으로 사용하는 것도 가능하겠네요.

OpenID, 피싱, 인터넷뱅킹 사고

2007-01-24T00:17:00.000+09:00

류근우님께서 지적하신 OpenID와 피싱의 문제는 정확하게는 Microsoft의 Kim cameron의 글에서부터 시작됩니다. 이것을 구글의 Ben이 거들면서 문제가 본격화됩니다.

OpenID 로그인 절차는 다음과 같습니다.

인터넷 사이트에 OpenID URL을 입력한다.
인터넷 사이트가 OpenID URL로 Redirection 시킨다.
OpenID provider의 로그인 페이지에 패스워드를 입력하고 로그인한다.

여기서 2,3번 과정에서 문제가 발생합니다. 즉, 인터넷사이트가 피싱페이지로 redirection시키고, OpenID provider가 제공하는 UI와 동일한 화면을 피싱페이지를 통해서 보여주면, 사용자는 아무생각없이 패스워드를 입력할 것이고 피싱공격이 성공할 것이다라는 것입니다.이 이후부터는 OpenID의 장점(SSO, Attribute Exchange)이 모두 단점이 되겠지요.

simon씨는 사용자가 OpenID provider의 주소를 북마크하도록 하고, 위의 3번 과정에서 로그인페이지를 보여주지 말고 사용자가 북마크를 통해서 직접 provider를 찾아가도록 하자는 제안을 했습니다.

UsableSecurity의 Ka-ping Yee씨는 simon의 제안에 더해서 Referer 헤더를 가진 request에 대해서만 로그인페이지를 보여주지 말자고 제안을 향상시켰고, Sxip의 Martin은 Group Membership 프로토콜을 제안했습니다.

이후에 simon씨는 사람들이 유지하는 whitelist를 통해서 해결하자는 제안을 했습니다. 즉, 우리가 믿는 OpenID provider/consumer whitelist를 만들자는 것이지요.

하지만, 최근 국내에 발생한 피싱공격과 스웨덴 은행의 해킹사고를 살펴보면 여전히 이런 것들로 피싱문제를 해결할 수는 없다는 것을 알 수 있습니다. 왜냐하면 북마크된 OpenID provider의 주소(IP) 또한 속일 수 있을테니까요. 만약 OpenID가 점점 더 가치있는 서비스에 사용될수록 피싱에 대한 해결책이 절실하게 필요할 것이라고 생각합니다.

저는 OpenID와 Strong Auth가 결합된 형태의 서비스만이 이 문제를 해결할 수 있다고 생각하고, 이런 서비스를 제공하기 위해서 노력할 것입니다.

OTP, 가장 선호하는 보안서비스

2007-01-17T11:33:00.000+09:00

엔씨소프트에 ASP형태로 제공중인 OTP 서비스가 가장 선호하는 보안서비스로 선정되었습니다.
OTP를 핸드폰에 올려서 사용하는 것을 기획해서, 특허추진하고, 서비스를 오픈했고, 가장 선호하는 보안서비스가 되었네요.

2 월 초에는 OpenID와 OTP를 결합해서 새로운 서비스를 오픈하려고 합니다. OpenID를 채택하는 사이트가 많아질수록, Single Sign On 기능이 중요해질테고, 그렇게되면 패스워드만으로 OpenID를 사용하는 것이 좀 불안해지겠지요? 그래서, Mobile OTP로 로그인할 수 있는 OpenID 서비스를 제공할 것입니다.

Futurecamp 2007 참가후기

2007-01-15T14:57:00.000+09:00

Futurecamp 2007에 다녀왔습니다. 워낙 많은 분들이 한 트랙으로 발표를 했기때문에 정작 마지막 세션에서 발표를 하는 분들에게는 시간이 많이 주어지지 않았습니다. 저 역시도 마찬가지였구요...충분히 말씀드리고 얘기하지 못한 부분들이 많은 것 같아 좀 아쉽네요...

말씀드리려고 했던 부분을 다시 한 번 정리합니다 (발표자료 참고)

모 든 웹 사이트가 광고판(구글 애드센스처럼)이 될 수 있는 것처럼, 모든 웹 사이트는 상점이 될 수 있다. 즉, 분산마켓이 활성화될 것이다.따라서, Web2.0 회사들은 광고만을 수익모델로 생각하지말고 전자상거래를 수익모델로써 생각해야할 때이다.
OpenID 는 사용자와 서비스제공자에게 모두 이익을 주는 사용자 관리 프레임워크이다. 외국의 경우 550개 사이트에서 이미 채택중이며, 매주 5%씩 적용사이트가 늘어가고 있다. 매쉬업 서비스 인증, 정보교환, SSO 등 다양한 곳에 사용될 것이다. 국내 서비스 제공자들은 OpenID를 검토하고 적극적으로 채택을 함으로써 OpenID의 잇점을 누려야할 때이다 (OpenID 커뮤니티 참조)

다른 분들의 발표 중 재미있게 들었던 내용을 정리합니다.

박재범님, "Pay per Feel"
느끼지 않으면 지불하지 않는다.
염동훈님, "핸드폰은 background 서비스이다"
핸드폰이 서비스를 나에게 가져다주는 것이다. 내가 찾는 것이 아니고...그런데, 스마트폰의 경우에는 좀 다르지 않나요?
강재호님, "나는 표현하는 태그와 개인화 검색의 연결"
iTags를 참고하시면 도움이 될 듯
김효곤님, "상품의 경량화, 필터(다양한 컨텐츠에서 내가 원하는 것을 뽑아내는 것)의 고성능화, 틈새 Aggregator의 필요성"
분산마켓과 연결해서 생각해보면, 상품정보를 Aggregation하는 서비스가 나와야하고, 각 개인의 관심과 생산자들을 효과적으로 연결하는 필터 서비스가 나와야한다는 얘기가 되겠네요.
서승덕님, "User Collected Contents"
컨텐츠를 다시 생성하는 것을 장려하지 말고, 모아주는 것을 장려하자. DJ, 평론가처럼?
김현국님, "네트웍 단에서 Identity를 연동해서 Bandwidth 차별화등 개인화에 이용하자"

아뭏든 좋은 분들의 많은 얘기를 들을 수 있어서 좋았고, 다음에는 모든 발표분들과 청중들에게 많은 시간이 주어질 수 있는 좋은 컨퍼런스가 되었으면 합니다.

2007년 전망 - Futurecamp

2007-01-12T12:06:00.000+09:00

Futurecamp2007에서 발표할 자료입니다.
"분산마켓이 활성화될 것이다", "OpenID가 활성화될 것이다"라는 두가지 전망을 가지고 발표합니다.

FutureCamp 2007 Seoul - 2007년도를 전망한다

2007-01-07T00:00:00.001+09:00

13일 FutureCamp 2007이 개최됩니다.

Barcamp Seoul에 참가하지 못한 것이 못내 아쉬웠는데, 이번에는 많은 분들과 좋은 얘기 나누었으면 좋겠네요.

저는 두가지 얘기를 해보려고 합니다. 하나는 web2.0과 payment2.0에서 조금 말씀드렸던 분산마켓이 좀더 구체화되고 활성화될 것이다라는 것이고 다른 하나는 OpenID의 활성화입니다. 발표자료는 만들어지는 대로 13일 전에 다시 한번 올리도록 하겠습니다.

하드웨어는 소프트웨어보다 안전하다(?)

2006-12-29T12:55:00.001+09:00

사람들은 일반적으로 하드웨어는 소프트웨어보다 안전하다고 생각합니다.
가령, ATM기를 이용하는 것이 집에서 인터넷뱅킹을 하는 것보다 안전하다고 생각하는 것이지요.

하지만, "무인발급기 해킹" 기사를 보면 특정 목적의 하드웨어는 소프트웨어와 전혀 다르지 않으며 오히려 더 위험할 수 있다는 것을 알 수 있습니다. 이런 사태는 물리적 보안만을 고려하고 논리적보안을 고려하지 않았기 때문입니다. 즉, 물리적으로 보면 안전한 장소에서 운용되고 있고 감시카메라도 있으니 문제없을 수 있지만, 논리적으로보면 그냥 윈도우 PC라는 사실입니다.

이와 관련해서 캠브리지 대학의 연구원은 테트리스를 실행하는 신용카드 조회기를 만드는 재미있는 일을 했네요...
특정 목적의 하드웨어라고해서 안전한 것은 아니다라는 것을 너무 재미있게 가르쳐주는 동영상이네요.

OpenID 커뮤니티 블로그 탄생

2006-12-26T15:50:00.001+09:00

OpenID 활성화 모임 이후에 오픈마루 Kay 님의 봉사를 통해서 OpenID 커뮤니티 블로그가 탄생했습니다.

수고해주신 Kay님 감사드리고, 앞으로 Kay, steve 님과 함께 OpenID 커뮤니티를 활성화하기 위해서 노력하겠습니다.

OpenID에 관심이 있는 많은 분들의 참여도 부탁드리겠습니다~

SAML 2.0과 OpenID, i-name

2006-12-15T16:16:00.001+09:00

Sun의 Identity 제품 설계자인 Pat Patterson씨가 IIW2006b에서 Yadis/XRI resolution과 SAML 2.0을 결합하는 방법을 데모했습니다.

즉, SAML이 연동되어 있는 서비스 제공자와 SAML identity provider 간에 identifier로써 OpenID URL 또는 i-name을 사용할 수 있고 이것을 어떻게 구현해야 하는 지를 설명하는 자료입니다.

국내에서도 정통부 아이핀, 행자부 통합 ID 등의 ID 관리 서비스가 논의되고 있는데요, identifier와 Service Discovery와 관련된 얘기는 없는 듯 합니다. 내년 OpenID 모임들을 준비하면서, 이런 부분들도 고민해봐야겠네요...

OpenID 활성화 모임

2006-12-08T11:17:00.001+09:00

몇일 전에 OpenID에 관심이 있는 몇 분들과 간단한 미팅을 했습니다.

앞으로 OpenID를 국내에서도 활성화시켜보자, 이를 위해 내년 3월까지 OpenID 제공서비스 2-3개를 오픈하고, 신규서비스를 중심으로 OpenID를 채택하도록 권고해보자. 그리고, 채택한 사이트를 OpenID 한글페이지에 게시해서 타의 모범으로 삼자등의 얘기들이 오갔습니다.

이제까지 열심히 id 2.0 떠들고만 다녔는데, 실제 서비스를 여기저기서 준비하고 계신분들을 만나니 기분이 좋았습니다. 이제 저도 본격적으로 준비를 해야할 때가 된 것 같네요.

OpenID korean mirror

2006-11-16T11:22:00.001+09:00

openid.co.kr을 소유하고 계신 kayflow 님께서 openid.net의 mirror 사이트를 만드시고, openid.co.kr 도메인을 기증하셨네요.

한동안 여기저기 id2.0에 대해서 떠들고 다녔는데, 이렇게 좋은 일을 해주시는 분들이 있으니 조만간 한국에서도 OpenID가 활성화될 것 같습니다.

패스워드 강화 및 피싱관련 논문

2006-11-15T23:48:00.000+09:00

이번에 논문쓰면서 참고했던 논문리스트입니다. 참고하시고, 도움이 될만한 다른 논문이 있으면 코멘트로 추가해주세요.

Phishing Attacks Rising, But Dollar losses Down, Rebecca L. Deuel
Lightweight Email Signatures, Ben Adida, David Chau, Susan Hohenberger, Ronald L.Rivest
Separable Identity-Based Ring Signatures: Theoretical Foundations For Fighting Phishing Attacks, Ben Adida, Ronald L.Rivest
Phish and HIPs: Human Interactive Proofs to Detect Phishing Attacks, Rachna Dhamija, J.D. Tygar
Modeling and Preventing Phishing Attacks , Markus Jakobsson
Online Identity Theft: Phishing Technology, Chokepoints and Countermeasures" (ppt), Aaron Emigh
Anti-Phishing Technology , Aaron Emigh
Technical Responses to Spam ,Taughannock Networks
Why Phishing Works , Rachna Dhamija, Marti Hearst
Accredited DomainKeys: A Service Architecture for Improved Email Validation , Michael T.Goodrich, Roberto Tamassia, Danfeng Yao
Authentication Using Graphical Passwords: Effects of Tolerance and Image Choice , Susan Wiedenbeck, Jean-camille Birget, Alex Brodskiy
Attacking Information Visualization System Usability Overloading and Deceiving the Human , Gregory Conti, Mustaque Ahamad, John Stasko
Social Navigation as a Model for Usable Security , Paul DiGioia and Paul Dourish
Detection of Phishing Webpages based on visual similarity , Liu Wenyin, Guang Huang, Liu Xiaoyue, Zhang Min, Xiaotie Deng
Protecting (even) Naive Web Users, or: Preventing Spoofing and Establishing Credentials of Web Sites , Amir Herzberg, Ahmad Gbara
Visual Spoofing of SSL Protected Web Sites and Effective Countermeasures , Andre Adelsbach, Sebastian Gajek, and J¡§org Schwenk
User Centric Identity Management , Audun Josang, Simon Pope
Protecting web users from phishing, spoofing and malware (ppt), Amir Herzberg
The Battle Against Phishing: Dynamic Security Skins (ppt), Rachna Dhamija, J.D. Tygar
Do Security Toolbars Actually Prevent Phishing Attacks? , Min Wu, Robert C. Miller, Simson L. Garfinkel
ViWiD : Visible Watermarking based Defense against Phishing (ppt), Mercan Topkara, Ashish Kamra, Mikhail J. Atallah, Cristina Nita-Rotaru
Phoolproof Phishing Prevention , Bryan Parno, Cynthia Kuo, Adrian Perrig
Preventing Web-Spoofing with Automatic Detecting Security Indicator , Fang Qi, Feng Bao, Tieyan Li, Weijia Jia, and Yongdong Wu
Dejavu: A User Study Using Images for Authentication , Rachna Dhamija, Adrian Perrig
Hash Visualization: a New Technique to improve Real-World Security , Adrian Perrig, Dawn Song
Client-side defense against web-based identity theft , Neil Chou, Robert Ledesma, Yuka Teraguchi, Dan Boneh, John C.Mitchell
WaterkenTM YURL Trust Management for Humans , Waterken YURL
Web Spoofing Revisited: SSL and Beyond , Eileen Zishuang Ye, Yougu Yuan, Sean Smith
Trusted Paths for Browsers: An Open-Source Solution to Web Spoofing , Zishuang Ye, Sean Smith
Trusted Paths for Browsers , Zishuang Ye, Sean Smith, Denise Anthony
Designing Ethical Phishing Experiments: A study of (ROT13) rOnl query features , Markus Jakobsson, Jacob Ratkiewicz
Net Trust
Next Steps toward More Trustworthy Interfaces, Burt Kaliski
Cache Cookies for Browser Authentication, Ari Juels, Markus Jakobsson, Tom N.Jagatic
Secure Web Authentication With Mobile Phones (another, another, another), Min Wu, Simson Garfinkel, Robert Miller
State-transition Model of Trust Management and Access Control, Ajay Chander, Drew Dean, John C.Mitchell
Hash Visualization, Rachna Dhamija
Invasive Browser Sniffing and Countermeasures, Markus Jakobsson, Sid Stamm
Funny Thing Happened on the way to the marketplace, S.W. Smith
Distributed Phishing Attacks, Markus Jakobsson, Adam Young
Social Phishing, Tom Jagatic, Nathaniel Johnson, Markus Jakobsson
PKI seeks a Trusting Relationship, Audun Josang, Ingar Glenn Pedersen
Thesis Proposal: Fighting Phishing at the User Interface, Min Wu
Stronger Password Authentication Using Browser Extensions (ppt), Blake Ross, Collin Jackson, Nick Miyake
Web Spoofing: An Internet Con Game, Edward W.Felten, Dirk Balfanz, Drew Dean
Dos and Don’ts of Client Authentication on the Web (another), Kevin Fu, Emil Sit, Kendra Smith, Nick Feamster
Timing Attacks on Web Privacy, Edward W. Felten
Trust on Web Browser: Attack vs. Defense, Tie-Yan Li, Yongdong Wu
User Interface Requirements for Authentication of Communication, Audun Josang, Mary Anne Patton
Security in Mobile Communications: Challenges and Opportunities, Audun Josang, Gunnar Sanderud
Effective Protection against phishing and Web Spoofing, Rolf Oppliger, Sebastian Gajek
BaffleText: a Human Interactive Proof, Monica Chew, Henry S.Baird
Provably Secure Password-Authenticated Key Exchange Using Diffie-Hellman, Victor Boyko, Philip Mackenzie, Sarvar Patel
Security of Web Browser Scripting Languages: Vulnerabilities, Attacks, and Remedies, Vinod Anupam, Alain Mayer
Authentication for Humans, Audun Josang, Mary Anne Patton, Anthony Ho
Phishing Activity Trends Report March, 2006, APWG
Convenient Method for Securely Managing Passwords, J.Alex Halderman, Brent Waters, Edward W.Felten
Secure Applications of Low-Entropy Keys, John Kelsey, Bruce Schneier, Chris Hall, David Wagner
Password Security: A case History, Robert Morris, Ken Thompson
Web Wallet: Preventing Phishing Attacks by Revealing User Intentions, Min Wu, Robert C.Miller, Greg Little
Framework for Password-based Authenticated Key Exchange, Rosario Gennaro, Yehuda Lindell
Efficient Password-Authenticated Key Exchange Using Human-Memorable Passwords, Jonathan Katz, Rafail ostrovsky, Moti yung
Design and Analysis of graphical passwords, Ian Jermyn, Alain Mayer, Fabian Monrose, Michael K.Reiter
How to make Personalized Web Browsing Simple, Secure and Anonymous, Eran Gabber, Phillip B. Gibbons, Yossi Matias, Alain Mayer
An Antiphishing Strategy Based on Visual Similarity Assessment, Wenyin Liu, Xiaotie Deng, Guanglin Huang, and Anthony Y. Fu
Strengthening Passwords, Martin Abadi, T.Mark A.Lomas, Roger Needham
Spyware Resistant Web Authentication Using Virtual Machines, Collin Jackson, Dan Boneh, John C. Mitchell
A Simple scheme to make passwords based on one-way functions much harder to crack, Udi Manber
Server-Assisted Generation of a Strong Secret from a Password, Warwick Ford, Kaliski

패스워드 강화방법

2006-11-09T16:42:00.000+09:00

이번에 정보처리학회 추계학술발표대회에 논문을 발표하게 되었습니다.
패스워드 강화방법이란 하나의 약한 패스워드로부터 강한 패스워드를 생성하는 방법입니다.

대부분의 사용자들이 여러 웹 사이트에 동일한 패스워드를 사용하는 데, 이러한 점을 악용하여 보안이 낮은 사이트를 공격하여 얻는 패스워드를 다른 사이트를 공격하는 데 사용할 수 있습니다.
이러한 공격을 막기 위한 방법이 패스워드 강화방법(Password Stretching method)입니다.

제가 제안한 방법은 사용자들이 가지고 있는 매체(신용카드, 신분증)의 정보를 이용하여 salting을 하는 방법입니다.

앞으로 브라우저 확장모듈에 붙이고, 영문으로 작성해서 WWW2007에 포스터를 내보려고 합니다.

NHN R2 OTP

2006-10-27T11:29:00.000+09:00

NHN의 새로운 게임 R2의 로그인 시스템에 OTP 서비스를 제공하게 되었습니다.
올해 초에 엔씨소프트와 린OTP 서비스를 오픈한 후에 좀 오래걸렸네요..

참고로, OTP 서비스는 Two-factor 인증 아웃소싱 서비스입니다. 아직까지는 게임사들이 주로 사용하고 있지만, 언젠가는 금융계열도 핸드폰을 이용한 OTP 서비스를 사용할 것이라 믿습니다.

Technorati, OpenID 지원

2006-10-24T14:05:00.000+09:00

Technorati가 OpenID를 지원합니다.
앞으로 Technorati 사용자들은 자신의 계정에 자신의 블로그를 등록하는 과정에서 OpenID를 사용할 수 있게 된다는 내용의 발표입니다.
이것이 OpenID 확대의 계기가 될 것이라는 zdnet의 글과 Firefox에 OpenID를 채택하고자 하는 노력들도 참고하세요.

Technorati Tags: Technorati, OpenID, firefox

RFID 신용카드 공격

2006-10-24T13:31:00.000+09:00

교통카드 등에서 많이 사용하고 있는 RF신용카드(비접촉식 카드)로부터 사용자명, 신용카드 번호, 유효기간, 카드종류, 지원 프로토콜 종류 등을 얻을 수 있다고 하고, 복사한 카드로 거래를 할 수 있다고 합니다. 관련 공격에 대한 논문과 기술보고서입니다.

Technorati Tags: RFID, Attack

구글 코드 검색과 Bugle

2006-10-09T14:15:00.000+09:00

구글 코드 검색의 위험에 대해서 여기, 저기서 경고하고 있습니다.
Bugle은 이러한 위험한 코드들의 모음입니다. 자신의 사이트가 위험한 지 아닌지를 역으로 추적해볼 수 있으니 많은 도움이 되실 듯 합니다.

Technorati Tags: 구글코드검색, Google Code Search, Bugle

Google Search API Worms

2006-09-18T13:15:00.000+09:00

Web worm이 구글 검색을 이용해서 전파될 수 있다는 내용의 글입니다.
정리하면, Worm이 스스로 SQL Injection, XSS 등의 공격에 취약한 사이트를 구글 검색 API를 이용해서 찾고 해당 사이트를 공격하여 컨텐츠에 스스로를 복제하는 방법으로 botnet을 만들 수 있다는 내용입니다.

Technorati Tags: webworm, botnet

i-name 이벤트

2006-09-11T00:56:00.000+09:00

알립니다.

i-name GRS에서 가격이 USD $20/year인 개인용 i-name을 $5에 판매합니다. 관심있는 분들의 많은 참여를 바랍니다.
본 행사는 Digital ID World 컨퍼런스 개최를 기념하는 행사이며, 컨퍼런스 기간인 9월 10일 22:00 (GMT) ~ 9월 14일 2:00 (GMT) 사이에만 신청된 건에 한해서만 유효합니다.

정식 기사는 월요일 아침 8시 (Eastern Time)에 배포될 예정이며, 해당 시간 이후 inames.net에서 자세한 내용을 참고하시기 바랍니다.

7월 12일 i-broker 서비스를 시작한 후 미국, 중국, 한국, 러시아까지 예상보다는^^ 많은 분들이 다양한 관심을 보여주셨고, i-name 서비스도 신청해주셨습니다. 덕분에 openid.cn을 운영하고 계신 중국 분도 알게 되었습니다^^. 저에게는 이렇게 적은 비용으로(그러니까 허접하지~ 하는 분도 있겠으나...ㅋ), 서비스를 할 수도 있겠구나를 스스로 시험해본 좋은 계기였습니다.

그리고, 또 다른 소식으로 9월 12일 이후 i-name과 OpenID authentication이 호환이 됩니다. 즉, janrain의 openid library 버전 1.1 이상으로 openid 로그인을 구축한 모든 사이트에서 i-name을 입력해서 로그인할 수 있습니다.
(점점 더 i-sso가 편리한 서비스가 되어가는 듯 하네요...ㅋ)

아뭏든, 1년 후에 다시 한 번 되짚어보면 재미있겠네요...

Technorati Tags: i-name, event, openid

Barclays 은행 OTP 채택

2006-08-28T20:17:00.000+09:00

그동안 피싱공격의 대상이 되어왔던 Barclays 은행이 OTP를 채택한다고 하는군요.
계산기만한 카드 리더기가 직불카드를 읽어서, 인터넷뱅킹 로그인에 필요한 OTP 값을 생성한다고 하는군요.

인터넷 뱅킹에 OTP를 채택하는 것은 대세가 되어가고,
누가 먼저 Man-in-middle Attack을 해결하느냐가 그 다음 연구과제가 되겠군요.

271,712개의 Malware 데이터베이스

2006-08-28T19:32:00.000+09:00

보안 시스템과 악성코드 탐지 시스템을 개발하시는 분들 참고하세요.
Malware Distribution Project

OpenID 보조금

2006-08-01T11:02:00.000+09:00

OpenID를 채택하는 첫번째 10개의 프로젝트 각각에 US$5,000를 지원한다고 합니다. 지원자격은 다음과 같습니다.

OSI-approved license로 배포
최소 200,000명의 사용자와 월 5천 다운로드 이상이어야 함
OpenID 2.0을 인증시스템 또는 identity Provider에 사용해야 함
8월에 발표될 OpenID 호환성 테스트를 만족해야 함
OpenID를 가능한 적은 설정변경으로 동작시킬 수 있도록 해야함
로그인 폼에 OpenID 로고를 표시해야 함.
로그인 폼 옆에 "What is OpenID?"의 답변에 대한 링크를 달아야 함.

자세한 것은 여기를 참고하시고, WebCalendar, Socialtext, DSpace, Fedora 프로젝트가 관심을 보이고 있네요.

조건에 비하면 보조금이 작은 것 같기도하고^^, 아뭏든 관심있는 분들 참여해보시길.
(앗! 아니군요...각 프로젝트에 $5,000 씩 지원한다고 합니다.)

Technorati Tags: OpenID, Bounty

IETF66에서 열린 Identity 2.0 BOF

2006-07-21T00:15:00.000+09:00

정확한 이름은 WAE(Web Authentication Enhancements) BOF였습니다.
왜 이런 BOF가 열리게 되었는 지는 WAE Requirement를 보시면 도움이 되실 것 같고, BOF에 대한 보고서는 여기에 있으니 같이 보시면 피싱 연구하시는 분들께는 도움이 되겠습니다.

Technorati Tags: WAE, Phishing

Apache Heraldry 프로젝트 승인

2006-07-20T23:57:00.000+09:00

여기서 소개했던 Apache Heraldry 프로젝트가 승인되었습니다.
이것은 조만간 i-name, OpenID, Yadis 등을 지원하는 아파치 서버가 생긴다는 것을 의미합니다.
ID2.0 아파치 모듈이 설치된 두 개의 서버 간에 SSO, Profile Exchange 등을 지원할 수 있다는 얘기가 됩니다.
이런 모듈이 활성화될 쯤에는 매쉬업의 영역이 넓어지는 것을 볼 수 있겠군요...

Technorati Tags: Heraldry, Identity2.0

i-broker 서비스 시작

2006-07-14T15:23:00.000+09:00

2006년 7월 12일, 저희 회사가 세 가지 i-service를 제공하는 최초의 i-broker가 되었습니다. 그동안 i-name 등록, i-services 연동, 지불서비스 연동하느라 고생 좀 했네요...

이제 여기서 i-name을 등록하시면 바로 ISSO, Contact, Forwarding 서비스를 받을 수 있습니다.

블로그에 연락처 남기실 때 메일주소 바로 남기지 마시고, i-name을 사용해보세요. i-name 연락페이지(예: http://xri.net/=changhee.lee)로 메시지를 받고서 상대방에게 메일주소를 알리고 싶지 않은 경우에는 계속해서 i-name 연락서비스를 이용해서 메시지를 주고받을 수 있습니다. 물론 메일주소를 알려도 상관없는 사람에게는 직접 메일로 연락하시면 되겠구요. i-name을 등록하시고 스팸방지 연락서비스를 받으시기 바랍니다.

또 한 가지 좋은 점은 블로그를 옮기실 때입니다. 블로그 주소를 직접 알리지 마시고 i-name 만 알려주세요, 그러면 구독자들은 =changhee.lee/(+blog) 를 통해서 블로그에 방문할 수 있고, 주인장께서는 위 URL에 해당되는 변경된 주소를 연결해두면 됩니다. 피드주소는 =changhee.lee/(+feed) 로 등록하시면 되겠구요. 이런 식으로 태그들을 만들어서 i-name으로 모두 연결할 수 있습니다.

ISSO 서비스는 모든
Identity 및 인증을 i-name과 연결하는 서비스입니다. 현재는 SAML을 이용한 인증만을 제공하지만, 9월에는 OpenID 인증도 제공할 것입니다. 즉, i-name을 아이디로 SAML 인증 사이트 및 OpenID 인증사이트에 접속하실 수 있게 되는 것이지요.

1년에 $20 인데요, 공개적인 연락처나 공개된 사이트를 많이 운영하고 계신 분들은 많은 도움이 되리라 생각됩니다.
(써보고 싶으신 분은 제 연락처에 Email, Name 적으시고, message 란에 운영중인 블로그와 원하는 i-name을 적어주시면, 서포터 모집 추가 건의하지요)

User-centric Identity는 ... 지갑이다

2006-07-13T14:13:00.000+09:00

ayo님께서 What is user-centric identity? 라는 Dick Hardt의 글을 소개하고 '사용자의 자유'를 추가했습니다.
그리고, 사용자 중심의 ID관리는 도메인 중심의 ID 관리를 포함한다에서는 user-centric identity도 domain-centric(or enterprise-centric) 처럼 복잡해질 것이다라는 예측을 하셨습니다.

User-centric Identity에 대한 논의가 시작된 처음으로 돌아가봐야할 것 같습니다. Kim cameron 씨의 Law of Identity(번역)를 다시 살펴보지요.

User Control and Consent
Minimal Disclosure for a Constrained Use
Justifiable Parties
Directied Identity
Pluralism of Operators and Technologies
Human Integration
Consistent Experience Across Contexts

위 법칙들을 하나하나 읽다가 보면, 위 조건을 모두 만족하는 것은 다름아닌 지갑입니다. 어디한번 살펴볼까요?

User Control and Consent : 얘기하지 않아도 자명합니다. 지갑에서 뭘 꺼낸다는 것은 이미 정보제공 동의를 한 것입니다.
Minimal Disclosure for a Constrained Use : 필요한 곳에 필요한 카드/신분증 만을 꺼내며, 받는 사람은 필요한 정보만을 확인합니다. 카드/신분증에 필요하지 않은 정보는 아예 적혀있지도 않구요.
Justifiable Parties : 제가 제시한 카드/신분증을 다른 사람에게 전달하면 기분나쁘겠지요? 당연히 Identity 소유자와 사용자에게만 정보가 공개됩니다.
Directed Identity : 지갑에는 공개할 수 있는 카드와 그렇지 않은 신분증 등 모두다 함께 공존합니다.
Pluralism of Operators and Technologies : 지갑에 포함된 카드/신분증의 발급/인증/확인 절차는 모두 다르지만 모두 같은 지갑안에서 공존합니다.
Human Interaction : 지갑과 사람 사이에는 "꺼낸서 사용한다"라는 메커니즘이 있으며, 인간은 명확하게 Identity 시스템의 일부입니다.
Consistent Experience Across Contexts : 지갑에 포함된 카드/신분증은 모두 다르지만 어디서 사용하든 동일하게 "호주머니에서 꺼내서 제출하는" 인터페이스를 가집니다.

저는 다음과 같은 정의를 내리겠습니다.

"User-Centric Identity는 Identity 법칙을 만족하는 온라인 지갑이다"

이런 온라인 지갑을 만들기 위한 노력이 Identity 2.0이 아닐까합니다. 기술이 복잡하냐, 간단하냐가 아니고 지갑의 카드처럼 서로 다른 Identity들이 공존하며, 쉽게 버릴 수도 만들 수도 있으며, 이러한 통제권이 모두 나에게 있는 그런 Identity 시스템을 어떻게 만들 수 있을까가 논의의 출발점이 되어야한다고 생각합니다.

우리의 지갑안에는 멤버쉽카드, 신용카드, 포인트카드, 신분증 등 수많은 Identity들이 새로이 생기고 없어지고 했지만, 언제나 동일한 방식으로 카드를 꺼내서 제출하고있습니다. 이렇게 이기종의 Identity 들이 공존하며, 자유롭게 주고 받을 수 있는 시스템이 필요합니다.

Technorati Tags: identity20, user-centric identity, law of identity, identity management

i-name 서포터 모집

2006-06-30T14:13:00.000+09:00

제 블로그를 보시는 분들 중, i-name을 써보시고 자신의 홈페이지에 i-name 연락처 페이지를 링크해서 홍보해주실 분들을 10명 정도 모집하고자 합니다.
(현재 준비중인 i-name 등록 서비스의 개인 iname 가격은 $20/Year입니다.)

제공받게될 서비스는 SAML 인증 서비스, Contact 서비스, Forwarding 서비스 입니다. SAML 인증 서비스는 아직 적용된 사이트가 많지 않으니 다음에 소개하기로 하고, Contact 서비스와 Forwarding 서비스를 소개해드리겠습니다.

이니텍에서 준비중인 서비스를 통해서 발급된 제 i-name은 =changhee.lee 입니다.
먼저 Contact 서비스는 http://xri.net/=changhee.lee 를 클릭하시면, 제 연락페이지로 연결되도록 하는 서비스입니다.
(여기서, xri.net은 향후 XRI resolving 서비스를 하는 임의의 URL이 될 수 있습니다.)

Forwarding 서비스는 http://xri.net/=changhee.lee/(+blog) 가 제 블로그 주소로 연결되도록 하는 서비스입니다.
"+" 밑에 태그를 정의하시면 여러 가지 링크들(홈페이지, 블로그)을 i-name 에 연결할 수 있습니다.

i-name을 원하시는 분들은 자신의 블로그 주소와 원하시는 i-name 후보들을 적어서 제 연락페이지에 남겨주세요.
조만간 실시할 등록 서비스에 i-name을 만들어드리겠습니다.

Technorati Tags: i-name, supporter, i-contact, i-forwarding

OpenID 2.0 Draft

2006-06-30T13:23:00.000+09:00

Yadis 메일링리스트에 올라온 OpenID 2.0 Draft (local copy) 입니다.
Appendix C의 "Changes"를 보시면 OpenID 2.0과 XRI에서 소개한 내용들이 규격으로 어떻게 반영되고 있는 지 보실 수 있겠습니다.

OpenID 2.0 과 XRI

2006-06-24T01:50:00.000+09:00

Drummond Reed씨가 OpenID 2.0과 XRI의 컨버전스에 대해 언급하고 있습니다. OpenID 2.0의 주요 요구사항은 다음과 같습니다.

URL과 XRI(i-name 또는 i-number)를 모두 지원한다.
Yadis XRDS 기반 service discovery를 채택한다. 이렇게 함으로써 인증 뿐만 아니라, 프로파일 교환, 속성 검증, 평판과 같은 identity-based service('i-service')를 제공할 수 있다.
인증 프로토콜의 보안성 강화

역시나 예상했던 대로 i-name을 identifier로 채택하고 있으며, i-service에 대한 구상을 하고 있습니다. 조금만 더 기다리면, i-name을 OpenID로 사용할 수 있겠네요...
(다음 주 쯤에는 저희 회사도 i-name 등록 서비스가 가능할 것 같습니다.)

자!, 이제 microformats 들과 i-service들이 어떻게 연계될 지를 지켜보는 것이 그 다음이 되겠네요...

참고로, Cordance는 XRI 기술의 특허를 소유한 회사이자, 관련 특허를 xri.org를 통해 공유자산화하고 OASIS 표준화를 주도한 회사이며, Drummond Reed씨는 Cordance의 CTO입니다.

Technorati Tags: OpenID20, XRI, i-name, i-service

대동단결!, User-centric Identity System

2006-06-24T00:41:00.000+09:00

Identity Mashup 컨퍼런스에서 OSIS 프로젝트가 발표되었고, 여기 저기에서 이를 언급하고 있습니다.
프로젝트의 위키페이지를 보시면 아시겠지만, MS, Verisign, Netmesh(LID)가 발의하고 Cordance(XRI 진영), Google, IBM, Neustar(XRI GRS operator), DigiSense, Eclipse, Novell, Red Hat, Ohio state, Sxip, Tucows가 참여했습니다. 목표는 오픈소스 Identity Selector를 만드는 것이며, 나아가 Identity System 들 간의 호환성을 유지하는 것입니다.
또한 기사에서 언급된 것처럼, Apache 에서는 Heraldry Identity Project로써 OSIS와 보조를 맞추어가려고 합니다.

이렇게하여 Identity Ecosystem이 갖추어져가는 것 같습니다. Identifier는 URL 또는 XRI, 프로토콜은 LID, OpenID, XRI, 사용자를 위한 OSIS 프로젝트와 MS CardSpace, Identity Consumer를 위한 Apache Heraldry Project, 개발자를 위한 Eclipse Higgins까지...이 정도면 Identity 생태계에 거의 모든 참여자를 포함하게 되는 게 아닐까요? 이제 남은 것은 여러분입니다.^^

참고할만한 링크들
OSIS
Verisign PIP
Microsoft labs STS
IdentityGang reference

Technorati Tags: OSIS, identity20, XRI

i-name, 웹 서비스를 위한 abstract identifier

2006-06-21T13:46:00.000+09:00

i-name 국제 등록 서비스가 시작되었습니다. 아직 대부분의 i-broker들이 조회 서비스만을 제공하고 있지만, 몇 일내로 등록도 가능할 것입니다.
개인을 위한 "=" 이름에 대해서 $20, 기관을 위한 "@" 이름에 대해서 $55를 책정하고 있습니다.

근데 i-name을 어디에 써요?

웹 페이지에 변하지 않는 자신의 연락처를 공개할 수 있습니다. 블로그를 운영하고 있는 분 혹은 회사 홈페이지에 메일주소를 공개한 분들은 스팸메일의 귀찮음에 대해서 잘 아실테고, 대부분 공개하는 메일주소를 따로 가지고 계실 겁니다. 이제 그러지마시고 i-name을 등록하고 홈페이지에 연락정보를 편안하게 공개하시면 됩니다. (I-Contact 서비스 오픈하는 날 다시 포스팅하겠습니다.) (참고)

왜 이렇게 해야하나요? (지금도 메일주소로 충분히 필터링하고 있는데?)

가령 이런 시나리오를 생각해보지요.

Alice씨는 ABC여행사 예약 담당자에게 제주도가는 비행기에 대해서 문의하려고 한다.
Alice씨는 검색엔진에 'ABC 여행사'를 입력하고, 검색결과를 클릭하여 'ABC 여행사'에 접속한다.
'회사소개', '연락처' 등을 찾는다.
찾은 메일주소로 메일을 보낸다.

아마도 한 번씩은 해본 시나리오일 것입니다. 그런데 이것을 기계에게 시키려면? 다음과 같은 시나리오는 어떨까요?

Alice씨는 agent에 ABC 여행사에 제주도 예약을 지시한다.
Agent는 i-broker에게 ABC여행사를 질의하고, ABC 여행사의 i-name을 얻는다. 이것을 "@abc" 라고 하자.
Agent는 "@abc/+email"을 수신주소로 하여 여행사로 질의를 한다.

여기서, "@abc/+email"은 "ABC여행사의 연락메일주소"를 가르키는 abstract identifier입니다. 따라서, ABC여행사의 메일주소가 바뀌어도 abstract identifier를 변경된 메일주소와 연결하면 항상 연결할 수 있습니다(사람과 Agent 모두).

아직도 "그래서 뭐?" 라고 하시는 분들을 위해, 위 시나리오에서 Agent에게 "10개의 여행사에 메일을 보내서 답을 받아놔라"라고 지시한다면...

Agent는 i-broker에 "여행사"로 질의하여 10개 회사의 i-name들을 얻는다.
Agent는 각 회사에 "@iname/+email" 주소로 연락을 한다.
Agent는 답을 수신하여 Alice씨에게 보고한다.

괜찮은 시나리오 아닌가요?

이런 시나리오가 가능하도록, I-Service를 열심히 만들어가려고 합니다.

Technorati Tags: XRI, i-name, i-service, i-broker

MediaWiki, OpenID와 Yadis 지원

2006-06-04T23:48:00.000+09:00

Wikipedia의 핵심개발자 Brion Vibber시가 Google Tech talk에서, Wikipedia에 consistent identity로써 OpenID와 Yadis를 도입하기로 했다고 발표했습니다(아래 스크린샷 참조). Verisign의 PIP 서비스에 이어서 User-centric Identity의 활성화에 또하나의 기폭제가 되겠네요

OpenID의 경우 Delegation 기능을 이용하면, 자신의 블로그를 그대로 Identity URL로 사용할 수 있습니다.
즉, myOpenID.com에 가서 abc라는 아이디로 가입을 하고나면 Identity Server의 URL이 abc.myopenid.com이 되는데,
이것을 이용해서 자신의 블로그 주소를 Identity URL이 되도록 할 수 있습니다.

제 블로그의 소스보기를 해보세요. <head> 부분을 살펴보시면,

<link rel="openid.server" href="http://www.myopenid.com/server" />
<link rel="openid.delegate" href="http://kkami.myopenid.com/" />

위와 같은 부분을 보실 수 있습니다. 이게 뭐냐면, 바로 제 블로그 주소(http://guldook.blogspot.com/)를 Identity URL로 사용하기 위해서 myopenid.com의 기능을 이용한 것이 되겠습니다.
즉, 이렇게 함으로써 wikipedia 아이디로 "http://guldook.blogspot.com/"을 사용할 수 있으며, OpenID 프로토콜의 처리는 myopenid.com에서 하게된다는 얘기가 되겠지요. 다들 OpenID 계정 만들어서 livejournal에서 실험해보시면 좋을 듯...

Technorati Tags: mediawiki, openid, yadis

i-name 서비스

2006-06-04T23:02:00.000+09:00

지난 2월에 XRI와 i-name을 소개해드렸는데요, 개인적으로 2월부터 EGS Program에 참여하고 있었습니다.
지금까지 150,000 명의 사용자가 i-name을 발급받아서, EGS 프로그램은 성공적으로 마쳤고, 6월 13일에 드디어 Global Launch를 하게됩니다.

저희 회사는 4월에 i-broker(i-name 등록기관) 신청서를 냈는 데, 오늘 드디어 승인을 받았습니다. 이로써 6월 Global Launch에 참가하게 되었네요...
앞으로 i-service를 국내에 알리는 데 노력하겠습니다.

Technorati Tags: XRI, i-name, i-broker

Verisign, OpenID로 identity 2.0 서비스 시작

2006-05-18T09:40:00.000+09:00

5월 16일, Verisign은 블로그를 통해 Verisign Personal Identity Provider 서비스를 시작한다고 알렸습니다.
이 서비스는 OpenID를 기반으로 하는 Identity 관리 서비스입니다.

이제 OpenID 호스팅 서비스는 Janrain의 myopenid와 Verisign의 PIP 두 개로 늘었네요...

Technorati Tags: identity20

RSS와 인증

2006-04-29T00:06:00.000+09:00

Syndicate conference 에서 RSS와 Authentication에 대한 토론을 한답니다.
예상대로 RSS가 Private Channel로 확장되려는 움직임이 컨퍼런스에서 나타나고 있네요. 조만간 RSS를 통해서 영수증, 청구서 등을 받아볼 날이 오지않을까 싶습니다.

그룹웨어와 Thunderbird

2006-04-26T11:53:00.000+09:00

저는 회사에서 몇 안되는 Thunderbird 사용자인데요,
첨부가 붙은 메일을 회사내의 다른 사람에게 전달하면(즉, 그룹웨어를 통해서 보면), 항상 첨부가 떼어져버리는 사고때문에 골치가 아팠습니다. (저희 회사의 그룹웨어는 노츠입니다.)
언젠가 원인을 파악해야지 하다가, 업무에 밀려서 미루다가 오늘 드디어 해결했습니다 (Thunderbird 만세^^)

해결하면서 알게된 thunderbird 옵션들을 정리합니다.
(Thunderbird 1.5 이상에서 "도구->환경설정->고급탭->일반탭->설정편집" 을 실행하면 나타나는 옵션들 중 첨부와 관련된 옵션들입니다)

mail.strictly_mime_headers
true이면 첨부파일명에 8bit 문자를 사용하지 않고, RFC2231 또는 RFC2047에 따라 인코딩합니다, false이면 무시하고 그냥 8비트 문자대로 사용합니다. true인 경우 다음과 같이 인코딩됨.
name="=?EUC-KR?B?MjAwNjA0MjXAzLTPxdgouq/B2LjwwvfA5bTUKS5kb2M=?="
false인 경우 다음과 같이 인코딩됨.
name="테스트.doc"
mail.strictly_mime.parm_folders
이 값이 0 또는 1이면 파일명을 RFC2047에 따라 인코딩하고, 2이면 RFC2231에 따라 인코딩한다.
mail.content_disposition_type
이 값이 1이면 "Content-Disposition: attachment;"로 처리하고, 0이면 "Content-Disposition: inline;"으로 처리합니다.

위의 값들을 이용해서 상황에 맞게 조정하시면, 거의 모든 수신자에 대한 첨부파일 문제를 해결하실 수 있습니다.

Technorati Tags: thunderbird, attachment, encoding

Paypal로 콜라를?

2006-04-25T15:12:00.000+09:00

eSecure Peripherals 사는 네트웍이 연결된 무전(cashless) 자판기에서 paypal을 이용할 수 있도록 Paypal Payment Module을 개발할 것이라고 합니다.
이것도 OpenAPI의 힘이라고 할 수 있을려나요? 근데 한가지 걱정되는 것은 발신자 번호 속이기 공격을 어떻게 피하려나 궁금합니다.

Dynamic Security Skin의 실망스러운 실험결과

2006-04-25T11:58:00.000+09:00

Dynamic Security Skin이라는 것은, 사용자가 미리 지정한 그림이 패스워드를 입력하는 창에 나타나면 안전한 것이고, 그렇지 않으면 안전하지 않은 것으로 판단하도록 하여 피싱공격을 피하는 방법입니다.

하지만, 22명의 사람들에게 20개의 사이트를 대상으로 실험한 결과, 참가자의 22%는 주소창, status 창 등을 전혀보지 않았답니다.
안전한 웹을 만드는 길은 멀고도 험한가 봅니다^^

OpenID, SXIP, Infocard 비교

2006-04-25T11:45:00.000+09:00

W3C의 Dan Connolly 씨가 최근에 있었던 W3C Security Workshop을 참관하고나서 시맨틱웹의 관점에서 OpenID, SXIP, Infocard를 비교했습니다.

Yadis 진영 ACM으로 진격

2006-04-18T11:10:00.000+09:00

Yadis의 대표주자인 Johannes Ernst(LID), Drummond Reed(XRI) 이 ACM DIM 2006의 프로그램 위원이 되었네요...
주제도 "Exploring User-Centric Identity Management" 입니다.

Digital Money Forum 발표자료

2006-04-11T03:51:00.000+09:00

지난 번에 말씀드린 9번째 Digital Money Forum의 발표자료가 공개되었네요.

재미있는 내용들 많으니 관심있는 분들은 살펴보시길...

Identity2.0 발표자료

2006-04-05T07:31:00.000+09:00

너무 늦은 감이 없진 않지만, NGWeb에서 발표했던 자료올립니다.

NGWeb2006-B53-id20-chlee.pdf

Technorati Tags: identity20, NGWeb

매쉬업에 비즈니스 모델?

2006-04-04T13:49:00.000+09:00

재미와 명성을 제외하면, 매쉬업 서비스에 비즈니스 모델은 있을까요?

Read/WriteWeb에서는 다음과 같은 비즈니스 모델을 얘기한다.

광고 : Simplyhired.com 참조
제휴 : 매쉬업은 API를 제공한 업체에 트래픽을 제공하며, 이를 이용해서 제휴를 유도한다.
거래 매쉬업 (Transactional mashups) : 더욱 더 많은 사람들이 혼합된(mashed) 데이터만을 보고, 이를 통해서 거래를 일으키는 날이 올것이다.
기타모델 : 가입형 서비스, 트랜젝션별 과금, 프리미엄 서비스, 기업용 서비스

위의 사업모델을 곰곰히 생각해보면, 오프라인의 모델과 상당히 비슷하다는 생각을 하게된다.

첫번째로 제휴
이동통신 대리점은 이동통신 3사의 단말기를 판매하는 매쉬업 사이트라고 하고, 이통사를 데이터/서비스를 가지고 있는 API 제공업자라고하자. 이렇게 놓고, 이동통신사가 이동통신 대리점과 고객의 통화료를 일정기간 나누어가지는 것을 생각하면 쉽게 제휴 모델이 이해된다.

두번째로 거래 매쉬업
하이마트와 삼성디지털 플라자의 얘기를 생각해보자. 하이마트는 오프라인 가전 매쉬업 사이트라고 볼 수 있는 데, 모두다 "하이마트로 가요" 하니, 뒤늦게 구매력의 힘을 알게된 삼성에서 삼성디지털 플라자를 만들었다는 얘기. 물론 하이마트와 삼성의 협상이 원할하지 않아서 결국 삼성 독자 대리점을 운영하게 되었겠지만, 매쉬업 사이트에서 거래가 이루어진다면 훌륭한 사업모델이 될 것임은 쉽게 이해된다.

결국 매쉬업은 오프라인에서는 있을 수 없는 "혼합 프렌차이즈" 정도로 생각하고 사업모델을 생각해보면 좋을 듯 하다.

Technorati Tags: mashup, business

Web2.0과 Payment 2.0

2006-03-28T11:37:00.000+09:00

웹2.0이 근래의 화두인 지라 제가 이니텍, 이니시스를 대상으로 사내 웹2.0 세미나를 준비해서 진행하고 있습니다.
지난 15일에는 석찬님을 초청하여 Payment 2.0에 대한 생각도 듣고, 많은 얘기나누었습니다.

석찬님 Payment 2.0 발표자료

29-31페이지를 보시면, Payment2.0과 web2.0 비교, Payment 2.0 TM(?), Longtail과 지불을 거론하고 있습니다. 웹2.0 시대에 지불은 어떤 형태여야할까에 대한 고민을 시작하기에는 충분히 좋은 질문들과 사용예라는 생각이 듭니다.

저는 개인적으로 다음과 같은 생각/고민들을 가지고 있습니다.

Payment 2.0 플랫폼 : 생산자이자 소비자인 사용자를 위한 플랫폼
초기에 쇼핑몰은 강력한 유통망을 가진 대기업이 주도했습니다. 하지만, 곧 소규도 판매상들이 주도하는 이른바 오픈마켓에게 자리를 내주게 되었습니다. 이런 소규모 상점들은 인터파크, 옥션, G마켓 등에 입점하여 판매를 합니다. 여기서 더 확장을 해보면, 입점하지 않는 소규모 상점들의 마켓 즉 분산마켓이 오픈마켓을 대체하리라 생각합니다. 즉, 생산자이자 소비자인 사용자를 위한 분산 마켓플랫폼, 지불플랫폼이 웹2.0 시대의 상거래에 필수적인 요소라 생각됩니다.

Payment 2.0 : Identity와의 연관
가령, 자작 만화 컨텐츠를 자신의 블로그에서 판매하려면? 조금 그림을 그릴 줄 아는 사람이 누군가의 요청을 받아서 그 사람만의 아바타를 그려주는 장사를 하려면? 분산마켓에서는 어떻게 생산자를 확인할 것인가? 어떻게 돈을 받는 사람을 확인함으로써 위험(Risk)을 줄일 수 있을까? 그 답은 Identity와 평판시스템에서 찾아야하지 않을까 생각합니다. 온라인 상에서 Identity와 그 사람의 활동을 연관시킴으로써 평판으로 만들고, 그 평판에 근거하여 돈을 지불함으로써 위험을 줄일 수 있을 것입니다.

세미나와 재미있는 브레인스토밍 많이해주신 석찬님께 다시 한 번 감사드립니다. 저는 이 세미나를 계기로 이니시스가 좀 더 웹2.0과 지불플랫폼에 대해 고민했으면 하는 바램입니다.

Technorati Tags: payment20

MS Infocard 연동 방법

2006-03-26T08:10:00.000+09:00

MS 연구소의 Mike Jones씨가 Infocard 연동방법에 대한 기술보고서를 배포했습니다.
기술보고서의 프로토콜 그림을 인용합니다(아래 그림에 관심이 있는 분들은 기술보고서를 살펴보시길).

Technorati Tags: infocard

피카사, 국내 인화 서비스 개시

2006-03-24T16:26:00.000+09:00

언제나 피카사에 인화서비스가 연동되려나 하고 있었는 데...
드디어 OP와 zzixx가 연동되었네요.

이제 좀 편하게 인화할 수 있겠네요...
(그동안은 편집해서, 내보내기해서, 업로드해서, 주문했습니다.)

DIGITAL MONEY 9TH

2006-03-23T00:27:00.000+09:00

3월 29일과 30일에 Digital Money Forum이 개최된다고 합니다. 다음과 같은 흥미있는 주제들이 있네요...

Replacing Cash with Mobile Phones
Susie Lonie, Vodafone
A case study on the African M-PESA scheme

Currency for Kids
Jonathan Attwood, Swap-it-Shop UK
The UK's "eBay for kids"

Cross-Border Funds Transfer before the Internet - The ransom of King Richard
David Boyle, Author of "Blondel's Song"

행사 후에 발표자료는 공개되니 그 때 다시 봐야겠네요...

Yadis 1.0 발표

2006-03-21T13:50:00.000+09:00

Yadis 규격 1.0이 발표되었습니다. Identifier로써 Yadis URL 또는 URL로 resolving 될 수 있는 identifier를 사용하게 됩니다.

IIW 2006

2006-03-15T00:33:00.000+09:00

Identity Woman, 아거님이 소개했던 Cluetrain Manifesto의 저자 Doc Searls, XRI 후원자이며 Brigham Young 대학 교수인 Phil Windley가 주최하는 Internet Identity Workshop 2006이 열린다고 합니다. 미국에 산다면 달려가보고 싶네요.

구글 Single Sign-On

2006-03-15T00:22:00.000+09:00

zooomr이라는 사진 공유 사이트는 구글 계정을 통해서 사용자 확인을 한 후 서비스를 제공하고 있습니다(물론, OpenID 등도 사용할 수 있습니다, 아쉽게도 지금은 확장이전 공사 중이군요).

이 회사는 구글과 아무런 계약도 없이 어떻게 구글 계정과 패스워드를 확인할 수 있었을까요?

이것은 구글이 Gtalk의 근간을 이루는 XMPP 프로토콜의 인증 메커니즘을 그대로 차용했기 때문이라고 합니다.

관련 링크들

Using Google's Universal Authentication Engine
The Mysteries of X-GOOGLE-TOKEN and why it matters
Google's X-GOOGLE-TOKEN
XMPP Protocol

발신자번호 속이기

2006-03-07T15:17:00.000+09:00

지난 몇 년 새, 인터넷 전화의 도움으로 발신자번호 속이기(스푸핑)가 훨씬 더 쉬워졌다고 합니다. 왜냐하면, 인터넷 전화는 발신자번호 시스템에 임의의 숫자를 표시할 수 있기 때문입니다.
심지어, 미국에는 발신자를 속여서 전화 통화를 할 수 있도록 해주는 서비스가 있다고 합니다. 사용자가 60분 통화를 위해서 10$를 지불하고 spoofcard.com에서는 가상 "전화 카드"를 구매한 후, spoofcard로 수신자 부담 전화를 걸어서, 수신자의 전화번호를 입력하면, 조작된 발신자번호를 표시해준다고 합니다.

더 무서운 사례는 훔친 신용카드 번호를 산 후, 카드 주인의 집전화번호를 발신번호로 표시하도록 속인 후, Western Union과 같은 서비스에 전화를 해서 송금 신청을 하는 것입니다.

아뭏든 점점 더 안전한 전자금융에 대한 노력이 절실해지는 때입니다.

Technorati Tags: CID, spoofing

차세대 웹 통합 컨퍼런스와 Identity 2.0

2006-03-03T10:59:00.000+09:00

3월 13~14일에 NGWeb2006 - "웹2.0 + 모바일" 컨퍼런스가 개최됩니다.

저는 둘째날, 5시에 Identity 2.0 발표(B53)를 맡게되었습니다.
현재의 웹2.0은 "OpenAPI를 통해서 공개된 정보들을 서로 공유하고, 기능 확장에 참여하는 것"입니다. 하지만, 앞으로 "보이지 않는 웹", 즉 공개되지 않은 정보들을 연결하고, 서로 확장하기 위해서 선결되어야할 필수요소는 Identity 문제입니다.

이제까지 해결하고자 했던 Identity에 대한 문제는 "어떻게 하면 (매번 회원가입하고 아이디를 만드는) 귀찮음을 해소할 수 있을까"입니다.
하지만, Identity 2.0은 이런 단순한 Identity 문제를 해결하자는 것이 아니며, 다음과 같은 세 가지 측면에서의 해결책을 찾자는 것입니다.

표현 : 어떻게 사람(subject)를 식별하고, 관련된 속성을 표현할 것인가?
공유 : 어떻게 속성을 교환할 것인가? (프라이버시를 보호하고, 사용자가 통제권을 가지면서)
인증 : 어떻게 일관된 인터페이스를 통해서 범용적인 인증 환경을 구축할 것인가?

첫째날에는 맥주파티를 겸한 BOF가 개최됩니다. 많은 분들 모여서 좋은 얘기나누었으면 합니다.

Technorati Tags: NGWeb, Identity2.0

IBM과 Novell, User-centric IdM에 동참

2006-03-02T11:13:00.000+09:00

Eclipse!
Java 개발자라면 다 아시는 통합 개발 환경입니다.

프로젝트 Higgins
Eclipse 재단의 새로운 프로젝트 Higgins는 "user-centric" identity 관리 소프트웨어를 개발하는 것이라고 합니다.

기사 참고하세요.

YADIS 0.9 배포

2006-02-22T23:50:00.000+09:00

YADIS 0.9 버전 규격이 배포되었습니다.

가장 큰 변화는 URL로 매핑될 수 있는 XRI와 OASIS의 Extensible Resource Descriptor(XRD) 규격을 수용했다는 것입니다.
이제 i-name도 본격적으로 YADIS에 합류하게 되었네요...

근데, 규격은 갈수록 복잡해져간다는 느낌이네요.

mashup camp와 YADIS

2006-02-22T23:40:00.000+09:00

YADIS의 Johannes씨가 Mashupcamp에서 URL-based identity에 대한 세션을 진행했군요, 다음과 같은 주제가 논의되었다고 합니다.

사용자의 identity에 기반하여 mash-up을 개인화하기
사용자의 identity에 기반하여 데이터 피드를 개인화하기
mashup에서 사람과 사람에 대한 속성들을 식별하기

주제명만으로도 흥미가 있네요. 이제 점점 보이지 않는 웹과의 mashup을 시도하려고 하는 듯 하네요...

Technorati Tags: yadis, mashupcamp

W3C 웹 인증 워크샵 논문 리스트

2006-02-21T16:10:00.000+09:00

3월에 있을 웹 인증 워크샵에 제출되고 받아들여진 논문들입니다. 다음과 같은 움직임이 눈에 띄네요.

RSA를 중심으로 한 OTP 진영의 참여
YADIS, XRI, SXIP 등 User-Centric Identity 진영의 참여
MS Infocard와 이에 포함될 high-value 인증서를 밀고있는 Verisign
그 외 IBM, Yahoo, 은행, 학교 등

시맨틱웹 - 행복한 철학은 행복한 기술과 문화를 만든다

2006-02-21T15:49:00.000+09:00

김중태씨가 쓴 "시맨틱 웹: 웹2.0 시대의 기회"를 읽었습니다.

저자는 "한국이 앞선 것은 초고속인터넷망 시설과 환경이었지 인터넷 기술이 아니다", "국내 사이트의 문제 원인은 기술 부족이 아니라 철학 부재이다", 라고 야단(?)을 치면서 이야기를 시작합니다.

국내 사이트가 가지고 있지 않은 철학은 "연결link, 즉 공개 정신과 공유 정신"이라고 얘기합니다. 즉, 국내 포털은 연결이라는 웹의 정신을 통해서 수익기반을 마련했지만, 자신들의 사이트에 머물도록 하기 위해서 이 정신을 저버렸다는 것이지요. 하지만, 저자는 포털의 사용자들이 웹의 철학에 더욱 더 충실한 컨텐츠를 만들 수 있도록 돕는 것이 장기적으로는 더 유리하며, 실제로 많은 신생기업들이 이 사실을 입증하고 있으며, 이들의 성공이 웹 2.0이라는 키워드로 표현되고 있습니다.

요즘 가장 많이 언론의 조명을 받는 단어는 웹2.0일 것입니다. 하지만, 김중태씨는 책 제목을 시맥틱웹이라고 정했는데요, 그 이유를 "웹 2.0은 시맨틱웹을 경제적 관점이나 플랫폼으로 보고, 응용해 구현된 상태를 표현하는 말이다", "차세대 웹이라는 의미로 '웹 2.0'을 사용하는 것은 큰 무리가 없으나 컴퓨터끼리 대화하는 자동화된 지능형 웹을 뜻할 때는 '시맨틱웹'으로 표현하는 것이 좀더 정확한 사용법이 될 것이다"라는 대목에서 찾을 수 있습니다. 또한 이러한 대목에서 저자가 단순히 흥미를 위해 책을 쓴 것이 아니고 기술적으로 정확하게 표현함으로써, 일반인들을 올바른 방향으로 입문하도록 하기 위해 책을 썼다는 것을 알 수 있습니다.

"시맨틱웹은 컴퓨터끼리 정보를 주고받을 때 잘 정리된 좀더 많은 정보를 추가로 제공해 정보 해석력을 높이고, 이를 통해 자동화 처리를 향상시킨 웹이다"라고 정의내리면서, RSS를 중심으로 한 마이크로컨텐츠, OpenAPI 만으로도 웹 2.0 신생기업들은 충분한 성공가능성을 보여주었으며, 시맨틱웹 기술을 적극적으로 이용하고 발전시키는 것이 다가올 기회를 잡는 것이다라고 말합니다.
"웹2.0"이라는 키워드, 즉 현재에 성공한 모델의 분석에만 매달리지말고, "공개와 공유"라는 철학을 가지고 "시맨틱웹, 자동화된 웹"을 적극적으로 수용하고 발전시키려고 노력해야 한다는 것입니다.

이 책을 통해 현재의 인터넷 기업들은 어떻게 성공하게 되었는 지, 또 이들 기업들은 어떻게 성공하고 실패할 지, 이러한 기업들의 성공은 어떤 기술로부터 이루어졌는 지, 어떤 철학이 있었는 지를 너무나도 잘 배울 수 있습니다. 다가올 시맨틱 웹 세상을 준비하시는 사업가, 개발자 그리고 웹을 점점 더 도움이 되는 컨텐츠로 가득차도록 만들고자 하는 모든 인터넷 사용자들에게 이 책을 권합니다.

패스워드의 종말과 identity 2.0

2006-02-16T15:50:00.000+09:00

빌게이츠 「패스워드의 종말」을 고한다

이 기사가 소개하고 있는 것은 .NET passport의 핵심 설계자인 Kim cameron씨의 The laws of Identity(번역)의 설계철학에 기반하여 설계된 identity metasystem에 관한 것입니다.

중요한 것은 Infocard 프로젝트는 특정한 Identity 관리 기술이나 Identity Provider에 국한된 것이 아니라는 것입니다.
이 프로젝트의 목적은 사용자에게 일관된 Identity negotiation 인터페이스를 제공하기 위해 만들어진 것입니다. 따라서, 어떤 형태의 identity 또는 ID 관리 기술을 가진 기업이든 WS-Security 규격을 따르면, identity selector(zdnet 기사의 인포카드 실행화면이라고 하는 것)에 자신이 공급하는 identity를 카드로 추가할 수 있고, 고객과 윈도우가 제공하는 안전한 방법에 따라 identity negotiation을 할 수 있습니다.

기술적인 내용이 궁금하신 분들은 다음 링크를 참고하십시오.

The Identity Metasystem: A User-Centric, Inclusive Web Authentication Solution
Design Rationale behind the Identity Metasystem Architecture

Infocard 프로젝트는 다음과 같은 변화를 가져올 것이라고 생각합니다.

Vista, IE7이 출시되고 본격적으로 infocard가 활용되기 시작할 것이고, 많은 기업들이 지금의 HTML form 로그인을 바꿔야할 것이다.
키보드보안, 개인방화벽, 바이러스 업체들은 본격적으로 위협을 받게될 것이다 (Infocard는 MS의 보안서비스와 밀접하게 연관을 가지고 있습니다. 왜냐하면, Identity Selector를 통해 백오리피스, 키보드 후킹 등을 방지하면서 다양한 Identity Provider들과의 Identity Negotiation을 가능하도록 하고 있기 때문입니다.)
high-value 인증서가 기존 인증서를 대체할 것입니다. 기존 SSL 인증서는 기관의 로고 등이 포함되어 있지 않으므로 인해 사용성이 크게 떨어졌지만, high-value 인증서에 포함된 기관로고를 identity selector를 통해서 보여줌으로써 좀 더 사용성 높은 인증서를 채택하게 될 것입니다. (기술적인 내용은 RFC3709 참조)

Technorati Tags: infocard, identity20

Infocard 설계 원칙

2006-02-15T13:01:00.000+09:00

Kim cameron씨가 윈도우 Vista의 Identity 프로젝트인 Infocard의 설계 원칙을 배포했습니다.

구글스토리는 구글얘기가 아니다?

2006-02-14T13:32:00.000+09:00

검색으로 세상을 바꾼 구글스토리를 읽었습니다.
원 제목은 "The Search : How google and Its Rivals Rewrote the Rules of Business and Transformed Our Culture" 입니다.
확실히 원제가 이 책을 더 잘 설명하고 있네요...

이 책은 검색을 통해 바라본 인터넷 사업의 역사입니다. 초기 검색엔진의 역할에 대해서 다음과 같이 언급하고 있습니다.

인터넷 항해자들이 탐험하는 입장("인터넷에 뭐가 들어 있을까")에서 기대하는 입장("나는 인터넷에 들어 있다고 생각하는 문언가를 찾고 싶어.")으로 이동하는 가운데 항해의 상징으로서 검색은 점차 더 의미를 갖게 되었다

이와 같은 변화를 포착해서 성공한 기업이 바로 YAHOO입니다. 이런 식으로 이 책에서는 알타비스타, 야후, 고투닷컴, 오버추어, 구글이 어떤 변화를 포착하고, 어떤 기술로 변화를 수용했는 지, 또한 남아있는 도전과제는 무었인지를 얘기합니다.

사실 이 책에 언급된 부분 중 가장 흥미있는 부분은 구글에 대한 이야기가 아니고, "빌 그로스"에 대한 얘기입니다.
초기 검색엔진들은, 고객이 입력한 검색키워드와는 무관하게 유료광고를 게시했습니다. 당연히 검색 키워드와 해당 광고의 관련성은 크지 않았으며, 고객이 클릭할 확율을 떨어뜨렸습니다. 즉, 광고주들은 스팸광고를 위해 돈을 허비해버리게 된 것이지요...

빌 그로스는 이런 스팸을 줄이고 광고로의 트래픽의 질을 높임으로써, 트래픽의 가격을 훨씬 더 높일 수 있다고 생각했습니다. 즉, 낮은 가격에 트래픽을 구매하여(포털의 광고주가 되어) 높은 가격에 광고주들에게 판매를 하는 것이지요(책에서는 차익거래라고 표현합니다).
빌 그로스는 이런 아이디어로 고투닷컴을 창업하였으며, 이후에 구글의 Adwords, Adsense 등에 영향을 줍니다.

어느 정도는 예상하셨겠지만, 그러면 "특정 키워드에 대한 광고의 적합성"은 언제나 올바르게 동작할까요? 이 책에서는 BlackHat 이라는 개념을 소개함으로써, 그렇지 않다고 얘기합니다. BlackHat은 자신의 페이지가 검색엔진의 상위순위에 나타나도록 하기 위해, 특정 키워드와의 관련성이 높도록 페이지를 조작하는 것입니다. 이러한 BlackHat으로부터 광고주들의 돈을 보호해줄 수 있는 마케팅 모델이 나온다면 다시 한 번 성공할 수 있을까요?

아뭏든 책읽고 검색의 역사도 살펴보시고, 스팸, BlackHat 등 재미있는 문제도 살펴보세요...

XRI, XDI, and Identity - Moving on to XDI

2006-02-07T00:06:00.000+09:00

XDI에 관한 나머지 글은 wikipedia의 XDI로 대신합니다(예를 든 내용이 조금 이상해서요...).

XRI, XDI 와 Identity - Single Sign On

2006-02-05T23:54:00.000+09:00

이 글은 Phil Windley씨의 XRI, XDI, and Identity를 세 개로 나누어서 번역한 두번째 글입니다.

전통적으로 인증은 사용자 인터페이스와 아이디, 비밀번호를 저장하고 있는 저장소 간에 이루어진다. 싱글 사인 온 (SSO)을 채택하면, 사용자가 제공한 사용자명으로 해당되는 인증 서비스를 찾는다. 어플리케이션은 인증 서비스에게 사용자 인증을 한 후 토큰을 줄 것을 요청한다. 따라서 여러 웹 사이트들과 어플리케이션들(service Providers)은 하나의 인증 서비스(AuthN)를 사용할 수 있다. 이 과정에서 사용자명으로부터 인증 서비스를 찾는 것이 핵심적인 부분이다.

I-names는, 인증 서비스를 찾는 XRD로의 해석(resolution)을 통해서, SSO를 지원할 수 있다. 인증 서비스는 사용자의 i-broker일 수 있으며 패스워드를 요청할 것이다. 사용자가 요청한 i-broker가 믿을 만하다는 것을 안다고 가정하면, 사용자는 패스워드를 입력할 것이다. 사용자는 세션을 인증한 후 SP로 돌아갈 것이다. 실제로도 브라우저를 통한 리다이렉션을 사용한다. SP와 AuthN은 서로 직접 통신하지는 않는다. SSO의 가장 약한 고리는 패스워드 페이지이고 스푸핑될 수 있다.

i-name SSO를 적용하기 위한 라이브러리들이 있다(PHP, Java, Perl, Python, Ruby에서 동작). BooksWeLike가 i-name 기반 SSO를 구현한 사이트의 예제이다. 나는 거기가서, 내 i-name과 전자우편 주소를 넣고 등록했고, 따라서 내 i-name을 사용해서, 2idi(내 i-broker)를 통해서 인증한 후, 사이트에 로그인할 수 있다. 나는 여러 단계의 페이지들을 싫어하지만, 이것이 동작한다는 것은 신선했다. 여기가 내 BooksWeLike 페이지이다. URL로의 내 i-name에 주목해라.

Technorati Tags: i-name, ISSO, XRI, identity

XRI, XDI 와 Identity - Globally Unique Identifiers

2006-02-02T13:54:00.000+09:00

이 글은 Phil Windley씨의 XRI, XDI, and Identity를 세 개로 나누어서 번역한 첫번째 글입니다.

Globally Unique identifiers

전세계적으로 유일한 식별자(GUI, Globally Unique Identifier)에 대한 얘기를 빼놓고 분산 관리(distributed management)에 대해서 말할 수는 없습니다. 예를 들어 전화번호는 전세계적으로 유일한 식별자이며, 내선번호는 국지적인 식별자라 할 수 있습니다. 전자우편주소는 전세계적으로 유일한 식별자로써 사용될 수 있지만, 사람들은 그것을 공개하기를 꺼립니다. 이것을 고려하지 않더라도, 가상의 식별자(abstract identifier) 로써 고정된 식별자를 사용하는 것은 문제가 있습니다.

GUI로써 전화번호, 전자우편, URL 등을 언급할 수 있습니다, 하지만 이것들은 실존하는 식별자들입니다. 반면에 DNS와 XRI는 GUI이면서도, 추상적인 식별자입니다. 추상적인 식별자는 실존하는 식별자로의 링크로써 사용됩니다. 도메인 명은 IP 주소로 연결되도록 설계된 것처럼요.

I-name은 XRI에 기반하고 있으며 여러 가지 확장 가능한 서비스들을 선보이고 있습니다. i-name을 해석(resolution)함으로써, XRD(eXtensible Resource Descriptor)를 얻게 됩니다.

I-name 해석은 왼쪽에서 오른쪽으로 이루어집니다. i-name에서는 마침표(.)가 구분자(delegator)가 아니며 별표(*)가 구분자입니다. 현재는 다섯개의 root들이 있습니다. 등호(=)는 개인들에 대한 root입니다, 따라서 =windley는 저를 가르킵니다. @는 기관들에 대한 root, +는 tag space에 대한 root, $는 system tag들에 대한 root, !는 i-number에 대한 root입니다.

이런 영역들 각각은 계층적이고 확장 가능한 구조입니다. 즉, =windley*friends*steve는 내 친구 steve에 대한 식별자일 수 있습니다. 또한 기관root를 사용하여 저를 표현하면, @technometria*=windley 가 됩니다.

i-name은 i-broker로부터 등록할 수 있습니다. I-broker들은 i-name 등록기관입니다 (도메인 등록기관 처럼). GRS는 DNS top-level registry service와 같이 global registry service입니다. @technometria*=windley를 등록하기 위해서는 먼저 commercial i-broker를 통해서 @technometria란 이름을 등록해야 합니다. 이 등록과정은 @technometria를 GRS에 등록합니다. 그 다음에 (technometria의) community i-broker에게 등록요청을 합니다. community i-broker, commercial i-broker 그리고 등록자는 서로 인증을 합니다. 인증이 완료되면, community i-broker에 @technometria*=windley가 등록됩니다.

@technometria*=windley를 해석하는 과정은 DNS와 유사하게 동작합니다. 먼저 @에 대한 GRS를 찾고, technometria로 windley에 대한 질의를 합니다. 상황은 DNS와 유사하지만 훨씬 더 풍부한 표현이 가능합니다. Neustar가 XRI에 대한 GRS 입니다.

i-name을 등록하고나면, 인증(authentication) 서비스 (ISSO - SAML 1.1)와 contact page를 이용할 수 있습니다.

Technorati Tags: i-name, ISSO, XRI, identity

일본의 전자화페 사용 현황

2006-02-02T12:59:00.000+09:00

Interwired에서 일본의 전자화폐 시장에 대한 조사를 했습니다.

어디서 전자화폐를 쓰고싶냐는 질문에, 700명은 "슈퍼마켓", 446명은 "편의점", 427명은 "교통", 251명은 "자판기"라고 답을 했네요...

아직 가장 요구가 많은 슈퍼마켓에 전자화폐를 사용하지 못하니, 기회가 많은 것 같기도 하고...
이마트 계산대에 먼지쌓인 휴대폰 동글을 생각하면 틀린 것 같기도 하고...

마음껏 연락처를 공개하고 싶으세요?

2006-02-02T12:55:00.000+09:00

이제 많은 사람들이 스팸메일의 귀찮음과 그로 인한 피해들을 어느 정도 경험했기 때문에 메일주소를 직접 웹 페이지에 공개하는 것은 매우 꺼립니다.

그 이후 나타난 경향은 기계가 홈페이지에서 이메일주소를 긁어서 스팸메일을 보내지 못하도록 "id at mailserver.com" 과 같이 표기하거나 이미지로 표현하는 것이었습니다. 하지만, 이것도 오래 못가겠지요?

제 블로그의 왼쪽 편에 사진 옆을 보시면 =guldook 라는 연락 정보를 보실 수 있습니다. 이것이 제 I-name 입니다.
클릭하시면 저한테 메시지를 남기실 수 있습니다.

물론 메시지를 작성하기 위해서는 I-name 또는 Email 주소를 입력해야 합니다. 그리고 2idi에서는 I-name 또는 Email 주소의 검증이 제대로 된 경우에만 제 메일로 메시지가 전달됩니다.

즉, 홈페이지에 연락 정보를 남기고도 스팸으로부터 해방될 수 있습니다.

어떻게 만드냐구요? 여기서 원하는 i-name이 가능한 지 체크하시고, 25$를 지불하시면 됩니다. 25$이 비싸다고 생각하실 수도 있겠으나 50년간 사용가능하니 년 500원 정도이고, 충분히 등록할만한 가치가 있다고 생각합니다.

i-name은 OASIS XRI 표준을 사용하고 있습니다. 자세한 기술적인 내용은 다른 글로 다시 한 번 소개하겠습니다.

adware vs myware

2006-01-27T15:44:00.000+09:00

애드웨어는 잊어버리세요. 여기 마이웨어가 있습니다. 당신의 웹 사용 성향을 기록하시고, 수익도 챙기세요!
Forget spyware. Here comes myware. Soon you'll collect data on your own Web use for fun and profit.

CNNMoney에서 최초의 attention 데이터 수집/분석 서비스인 Root vault를 소개하고 있습니다.

누군가 내 PC에 몰래 깔아서 내 의지와 상관없이 광고를 띄우는 프로그램을 애드웨어라고 합니다.
그에 반해서 attention 데이터를 자신의 의지에 따라 수집하도록 돕는 프로그램은 마이웨어라고 할 수 있다고 소개합니다.

마지막에 last.fm이라는 회사를 소개하고 있습니다. 이 회사는 PC에서 들은 음악리스트를 기록하고 공유하도록 합니다. 즉, playstream+쇼셜 네트웍 이라고 표현할 수 있겠습니다.

사실 Root vault 서비스에서 수집/분석해주는 정보는 아직까지는 초보적인 단계로써 그다지 유용한 정보라는 생각은 들지 않습니다.
항상 궁금한 것은 어떻게 AttentionRecorder가 상품리스트, 쇼핑에 사용된 카드, 거래하는 주식 등 clickstream의 의미를 해석하느냐였습니다.

last.fm을 보면서, "사용자의 다양한 action을 수집하는 여러 서비스들이 생길 수 있겠구나!" 라는 생각을 했습니다.

저는 이니텍과 이니시스를 위한 연구개발 업무를 하고 있습니다. 두 회사 모두 인터넷뱅킹과 인터넷 지불을 위한 소프트웨어들을 가지고 있습니다.
가만히 생각해보면, 당연히 이 소프트웨어도 마이웨어들이며 사용자가 동의한다면, 인터넷뱅킹 거래형태, 구매상품 분석, 상품평 관리, 사용카드 종류, 평균 지불에 걸리는 시간 등 다양한 데이터들을 효과적으로 수집해서 고객에게 제공할 수 있지 않을까란 생각이 듭니다.

Technorati Tags: adware, myware, attention

Identity 블로거를 만나다

2006-01-24T01:08:00.000+09:00

Channy님의 포스트가 다리가 되어 ETRI에 계신 김승현님이 제 블로그에 코멘트를 달아주셨네요.
(저는 엔씨소프트가 아니고, 이니텍에 다니고 있습니다^^)

제가 블로그를 쓰는 목적 중에 하나가

이렇게 재미없는 글을 읽어주는 사람을 만나는 것

이었는 데, 드디어 만났군요. 그래서, 오늘은 굉장히 기쁜 날입니다.

너무 반갑습니다.

그리고, 김승현님이 쓰신 Identity 2.0과 OTP 와의 관계에 대해서 첨언합니다.

현재 논의되고 있는 Identity 2.0은 user-centric identity system, 즉 사용자 자신이 자신의 digital Identity 및 정보에 대한 통제권을 가지면서 (또한 더 나아가서는 Kim cameron의 laws of identity를 준수하면서), digital Identity를 교환할 수 있는 시스템입니다.
OTP는 물론 Authentication mechanism으로 해석되어왔습니다. 하지만, OTP 장치와 이 장치에 대한 Identifier를 생각해본다면 쉽게 ID 관리 수단이 될 수 있음을 예상할 수 있습니다. 신용카드가 지불시스템에 있어서 개인의 Identifier인 것처럼요...

지불서비스 - 신용카드번호 - 신용카드의 소지 - 뒷면서명일치
웹서비스 - 아이디 - OTP장치의 소지 - OTP값
서비스 - Identifier - Identity - Authentication of assertion

위와 같이 유추해볼 수 있지 않을까요? 물론 위에서 '아이디'는 현재 논의되고 있는 Identity 2.0에서의 Identifier들(URL, GUPI 등)이 될 수 있겠지요...

Technorati Tags: OTP, Identity20

구글 비디오의 결제 시스템

2006-01-20T23:46:00.000+09:00

eBay Strategies에서 구글 비디오 상점의 지불 시스템을 소개했습니다.
국내 카드는 될까해서 구글 비디오에 얼른 달려가봤더니...역시나

We're sorry, but this video is not available in your country.

스크린샷을 보시면 아시겠지만, 웹 기반 전자지갑입니다.
("중국발 해킹/피싱은 어쩔려나?" 하는 생각이 드네요...)

Technorati Tags: 구글비디오, 지불

Sun의 Identity 웹 서비스 데모

2006-01-20T22:36:00.000+09:00

Sun사의 Identity System 설계자인 SuperPattern씨가 Liberty ID-FF 기반의 Single Sign-on과 ID-WSF 기반의 개인정보(속성) 교환 방법을 보여주는 데모를 소개했습니다.
LibertyAlliance가 얘기하는 Identity 웹 서비스가 궁금하신 분들은 이 데모만 대~충 봐도 알 수 있을 듯 합니다.

Technorati Tags: digitalIdentity, LibertyAlliance

MBTI 테스트 결과 : ISTJ

2006-01-20T22:19:00.000+09:00

오늘 회사 교육 프로그램의 하나로 MBTI (한글)테스트를 했습니다.
제 유형은 ISTJ 입니다. 한국심리검사연구소의 해석은

실제 사실에 대하여 정확하고 체계적으로 기억하며 일 처리에 있어서도 신중하며 책임감이 강하다. 집중력이 강한 현실감각을 지녔으며 조직적이고 침착하다. 보수적인 경향이 있으며, 문제를 해결하는데 과거의 경험을 잘 적용하며, 반복되는 일상적인
일에 대한 인내력이 강하다. 자신과 타인의 감정과 기분을 배려하며, 전체적이고 타협적 방안을 고려하는 노력이 때로 필요하다. 정확성과 조직력을 발휘하는 분야의 일을 선호한다. 즉 회계, 법률, 생산, 건축, 의료, 사무직, 관리직 등에서 능력을 발휘하며, 위기상황에서도 안정되어 있다.

그리고, 다음과 같은 강점과 약점이 있습니다.

(강점)

정확하고 빈틈없이 일을 한다.
정해진 일과와 절차를 따른다.
집중력이 뛰어나며 사람들과의 접촉없이도 혼자서 일을 잘 한다.
조직의 유지가 안정적이며, 책임감이 강하며 끝마무리를 잘한다.

(단점)

변화하는 체계에 적응하는데 것이 어려울 수 있다.
변화를 좋아하지 않는 경향이 있다. 융통성이 부족할 수 있다.
자신의 욕구와 다른 욕구를 이해하지 못할수 있다.
그들 자신과 조직에 대한 그들의 공헌을 낮게 평가할 수 있다.

뭐, 조금 아닌 것 같은 부분들도 있지만 대체로 맞는 것 같습니다.

저의 I 성향을 E 성향으로 바꾸면 ESTJ, 사업가 형이 되는데요, 전에 많은 분들이 사업할 성격인 것 같다고 얘기한 것이 생각나는군요...

Technorati Tags: MBTI, ISTJ, 심리검사

2006년 Identity 전망

2006-01-17T11:43:00.000+09:00

2006년 Identity 시스템은 세 가지 축으로 나뉠 것이고, 그 축이 더욱 공고해질 것이다라고 합니다.

그 축들은 위 그림에서 보는 것처럼, Company-controlled, "Microsoft"-controlled, user-controlled identity 입니다.

Company-controlled identity는 LibertyAlliance 표준에 기반한 ID 관리 시스템으로써, 회사가 identity를 부여하고, 어떤 identity attributes들을 관리하고 공유할 것인가를 결정합니다.
"Microsoft"-controlled identity는 WS-* 표준에 기반한 ID 관리 시스템으로써, Infocard 프로젝트를 통해 구현될 것이며, Windows Vista를 통해 광범위하게 적용될 것입니다.
user-controlled identity는 개인이 Identity provider, 개인정보, 하나의 identity를 운용할 것인 지 아닌 지 등에 관한 모든 통제권을 가지는 시스템입니다. 가장 눈에 띄는 것은 URL을 identifier로 하는 YADIS 규격입니다.

현재 YADIS 메일링리스트에서는 netmesh(lid), sixapart(openid), sxip 등이 활발한 활동을 하고 있습니다. 이러한 활동과 위 그림에 비추어 2006년 Identity 관련 흐름을 조금 예측해봅니다.

올해는 openid 기반의 typekey, sxip 기반의 sxore 등 user-controlled identity에 기반한 평판/코멘트 시스템을 채택한 블로그들이 늘어난다.
그에 따라 user-controlled, URL 기반의 identity를 만드는 구독자들이 늘어난다.
Windows Vista와 함께 배포된 Infocard에서는 이러한 구독자들의 Identity를 지원한다.
결국 이러한 사용자 중심의 움직임이 LibertyAlliance에 속한 회사들을 움직여서 user-centric identity가 채택되고, 해당 회사들이 제공하는 웹 서비스들이 변화된다.
user-controlled identity가 web 2.0의 신뢰기반구조가 된다 (?)

Technorati Tags: user-controlledidentity, identity20

사용자 중심 Internet Identity 포드캐스트

2006-01-16T20:04:00.000+09:00

사용자 중심 Identity의 전문가들이 지금까지 이루어진 것과 올해의 전망에 대한 포드캐스팅을 했습니다.
URL/URI 기반 ID 관리 시스템에 많은 진전이 있었다는 것에 동의했다는군요.

관심있는 분들은 들어보시길...

Technorati Tags: Identity20

Liberty Alliance, Identity 2.0에 동참?

2006-01-16T00:05:00.000+09:00

Liberty Alliance는 최근에 ID-WSF 2.0 프레임워크에 추가된 세 가지 업데이트를 소개했습니다.
그 중에서도 단연 눈에 띄는 것은 "Liberty ID-WSF People Service" 입니다. 원문을 인용합니다.

The Liberty ID-WSF People Service™, a key component in this latest release, is the industry’s first comprehensive platform for managing social information within an open federated network environment. People Service allows consumers and enterprise users to manage social applications such as bookmarks, blogging, calendars, photo sharing and instant messaging from a common layer within the ID-WSF 2.0 framework.

Identity 1.0은 각각의 웹 서비스들마다 자신만의 Identity를 관리하는 것입니다. 즉, 사용자가 두 개의 웹 서비스를 이용하고 있다면 서로 다른 두 개의 Identity(예: 아이디/비밀번호)를 가지게 됩니다.
Liberty Alliance는 "Circle of Trust"로 연합(Federation)한 웹 서비스들은 서로의 Identity들을, 보안과 프라이버시가 보장되는 방법으로, 공유함으로써 사용자에게 SSO(Single Sign-on), Single Logout 등의 편리함을 제공합니다. 즉, "Circle of Trust" 내에 있는 웹 서비스들에 대해서는 하나의 Identity 만을 유지하면 됩니다. 이런 의미에서 Identity 1.5라고 불리었구요.
그런데, 문제는 모든 웹 서비스들이 "Circle of Trust"를 만들고 SAML 토큰을 주고받을 수 있을까요? 답은 당연히 "아니오"가 될 것이며, 여기서부터 Identity 2.0의 개념이 시작됩니다. 즉, 웹 서비스 중심의 Identity 시스템은 결코 Internet-scale이 될 수 없으며, 사용자 중심의 Identity 시스템을 고안해야 한다는 개념말이지요!

위 인용문처럼 "Circle of Trust", SAML 토큰을 근간으로 하는 ID-WSF 2.0 프레임워크 위에 Identity 2.0의 개념이 제대로 성립될 수 있을까요?

Technorati Tags: LibertyAlliance, Identity20, PeopleService

리니지 게임과 계정 도용 방지

2006-01-11T11:05:00.000+09:00

그동안 블로그 포스팅할 시간도 주지 않고 저를 괴롭히던 린OTP 서비스의 대 고객 테스트 서비스가 시작되었습니다.

린OTP는 핸드폰에 일회용 비밀번호를 생성하는 프로그램을 탑재한 후, 리니지 로그인 시에 아이디, 비밀번호에 부가적으로 핸드폰에 탑재된 프로그램이 생성한 비밀번호를 입력함으로써 계정 도용을 방지하는 서비스입니다.

이 서비스는 기존 계정 방지 서비스/솔루션과 비교하여 다음과 같은 탁월한 장점을 갖습니다.

아이디/비밀번호를 알고, 린OTP가 탑재된 핸드폰이 있어야 하는 Two-factor 인증 방법이면서도 핸드폰을 이용함으로써 소지가 편리한 Authentication Service 이다.
소액결제에 사용되는 SMS를 통한 인증방법과는 달리 린OTP 프로그램은 서버와 통신하지 않으므로 통신 및 SMS비용이 발생하지 않는다.
PC에 별도의 추가 프로그램(ActiveX류^^)이 필요없다.(린OTP가 생성한 8자리 비밀번호만 로그인 시에 입력하면 되므로)

오늘은 저희 회사가 솔루션 회사에서 서비스 회사로의 첫발을 내딛게 된 중요한 날이자, 개인적으로는 Service Product Manager로써의 첫 결과물을 내놓는 날입니다.

윈도우 P2P와 Mesh 네트웍

2006-01-04T22:09:00.000+09:00

차니님이 쓴 Firefox 기반 P2P 서비스를 읽다가 문득 전에 읽은 MS의 P2P 네트웍과 mesh 네트웍을 소개했던 글이 생각났습니다. 해당 글을 조금 인용하면,

For years I have been tracking the "wireless mesh networking" space.
This is where each node in a wireless network is a repeater/relay for any other
node that is within range. With true mesh technologies I can communicate
with other users, even if they are beyond the reach of my wireless signal, if
there are one or more nodes between us that are part of the "mesh"
network. Mesh networks are the next big thing ... even the cellular
carriers are talking about adding emergency mesh capabilities into cell
phones

마지막에 말이 항상 마음에 와 닿네요...
더군다나 오늘 KT에서 3월부터 강남, 분당, 신촌에서 와이브로 시범사업을 하겠다고 발표한 내용까지 연결해보면 아마 이러한 mesh network의 킬러 어플리케이션이 탄생은 우리나라에서 이루어지지 않을까요?
차니의 모질라 플랫폼 기반 어플리케이션에서 한 발 더 나아가, 와이브로 폰을 가진 사용자 혹은 PC사용자가 mesh network 위에서 P2P 서비스를 가능하게 하는 어플리케이션을 개발해야 하지 않을까요? 근데 KT의 와이브로 서비스는 mesh network 기능을 제공할까요?

구글 RSS 리더 API 공개

2005-12-28T00:30:00.000+09:00

Technorati의 community manager인 Niall Kennedy씨는 Google Reader API를 소개합니다.

API를 통해서 할 수 있는 일은,

피드 가져오기
구독 리스트 가져오기
새글 목록 가져오기
읽은 글 목록 가져오기
tag별로 새글 가져오기
별표처리된 글 가져오기
구독 리스트 추가/삭제
tag 추가

이 정도면 거의 모든 것이 공개되었다고 해도 과언이 아니지요?

자!, 다음과 같이 자신의 블로그를 구글 리더를 통해서 배포해보시지요.

http://www.google.com/reader/atom/feed/ + [Feed URL]

해보시면 아시겠지만, 모든 피드 형식을 Atom 형식으로 변환해서 배포하고 있습니다.

구글 리더로 배포한 ChangHee Lee 블로그

즉, 이와 같이 Atom 형식으로 변환해줌으로써 구글은 데이터만을 배포하고, Presentation은 API를 사용하는 참여자(개발자)들의 몫으로 남겨두었습니다. Presenation에 확장성을 제공함으로써 간단하게 기존의 feed aggregation 서비스들을 능가할 수 있겠군요...

구글 리더 API 공개 소식과 양방향 웹과 미래의 데이터베이스에서 말씀드린 분산형 XML 데이터 저장소를 연결해서 생각해보면, "피드도 Google base(분산형 XML 데이터 저장소)에 저장될 데이터의 한 종류이다"라는 것을 보여주고 있습니다. 다양한 서비스를 통합된 기술로 처리하고, 해당 기술에 있어서 경쟁력을 확보할 줄 아는 일관성! 언제나 놀랍습니다.

구글은 블로그 검색에 있어서도 곧 1등이 되겠네요.

실전 웹 표준 가이드

2005-12-27T13:29:00.000+09:00

Tabula Rasa 블로그에서 "실전 웹 표준 가이드"가 배포되었습니다.
Cross Browsing에 관한 좋은 (한글) 자료가 되겠네요...

문서

W3C, 웹 인증을 위한 워크샵 개최

2005-12-23T12:29:00.000+09:00

W3C에서 피싱 등 웹 사이트를 통한 fraud 문제를 해결하기 위한 워크샵을 개최한다고 합니다. 아쉽게도 position paper와 관계가 없으면 참석할 수가 없네요...

Linksys CIT200 Skype phone review

2005-12-21T23:46:00.000+09:00

Linksys에서 출시한 'Skype' 폰을 CNET에서 리뷰했습니다.

근데, 국내 AP 생산업체들은 왜 VoIP 폰을 만들지 않는 걸까요?
Skype과 제휴하여 자사의 무선랜 처리 기술과 접목하여 VoIP 폰을 개발하고 AP를 판매하면서 번들로 판매한다면 충분히 승산이 있는 얘기인 것 같은데 말이지요.

ADSL회선을 무선랜 AP를 통해 공유해서 사용하면서, 무선랜 AP의 수요는 급격하게 늘어났으며, 이는 무선랜 AP의 가격을 급락시켰고, 이런 낮아진 가격이 또한 무선랜 AP의 수요가 폭발적으로 증가하도록 했습니다.

이런 현상을 조금 더 연장해서 생각해보면, 케이블 업체들이 제공하는 인터넷 회선, 무선랜 AP, 집전화를 대신하는 VoIP 폰을 함께 제공하는 상품 또한 가능성이 있어 보입니다.

아뭏든 조만간 전화의 개방 또한 멀지않은 얘기인 것 같습니다.

마스터카드와 peppercoin 제휴

2005-12-13T17:18:00.000+09:00

Payments News: MasterCard Supports Micro and Small Payments Via Aggregation Model

RSA 알고리즘을 만든 Ron Rivest 교수가 설립한 소액지불 회사인 PepperCoin과 마스터카드가 제휴를 했네요...
Aggregation Model이 궁금하신 분은 Rivest교수의 논문을 참고하세요...

tags : peppercoin, micropayment, mastercard

분산형 Identity 호환 규격, YADIS

2005-12-06T21:33:00.000+09:00

YADIS의 탄생 배경을 설명하기 위해 YADIS 규격의 일부를 발췌합니다.

2005년 초, NetMesh는 분산형, URL 기반 personal digital identity 시스템으로써LID(Light-Weight Digital Identity)를 제안하고, 곧이어 Movable type의 Six Apart가 블로그 코멘트를 인증하기 위해 OpenID 규격을 제안했습니다.
이 두 시스템의 핵심 개발자들이 두 시스템이 상호보완적이다라는 것을 깨닫고, 두 시스템이 호환이 되도록 했습니다...

YADIS는 이렇게 탄생하게 되었고, 다음과 같은 설계 원칙을 따르고 있습니다.

Fully decentralized, and no one point of control
Let many (interoperable) flowers bloom
URLs as identifiers
REST-ful and easy to use for developers

YADIS를 identity 시스템으로 채택한 사이트에서 사용자와 웹사이트는 다음과 같은 시나리오를 사용합니다.

웹 사이트는 사용자에게 "My URL"이라는 text field를 보여줌으로써, YADIS-enabled identifier를 요구한다.
사용자는 "My URL" text field에 YADIS-enabled URL(LID 또는 OpenID URL)을 입력한다.
웹 사이트는 YADIS Capability Discovery Protocol을 사용해서 사용자가 제시한 identifier를 사용하는 데 어떤 YADIS-compatible identity protocol이 필요한 지 결정한다.
사용자를 인증한 후에, 웹 사이트는 사용자가 제시한 YADIS URL로부터 사용자 프로필을 얻는다.

YADIS와 비슷한 움직임으로써 Microsoft의 identity metasystem을 언급할 수 있겠습니다. 두 시스템은 철학에 있어서는 굉장히 비슷하지만, 구조에 있어서는 굉장히 상이합니다. MS의 identity metasystem은 아래 그림처럼 WS-*, SOAP 등을 사용합니다.

하지만, YADIS는 간단한 서버 기반 스크립트만으로 자신만의 identity system을 구축할 수 있습니다. 스스로 구축할 수 없는 경우에는 물론 호스팅하는 것도 가능하구요...

OpenID의 경우에는 typekey와 이미 연동이 되어 있으며, 스스로 구축하기 어려운 사용자를 위해 URL identifier를 위임하는 기능까지 갖추고 있습니다. Six Apart가 grass-root 접근 방법으로 movable type을 성공시켰던 것처럼, typekey를 de facto identity system으로 만들 수 있을까요?

technorati tag: YADIS, lid, openid, identity metasystem