Sun.com의 OpenID를 가지면 Sun의 직원!

Sun이 OpenID를 지원하겠다고 합니다. 즉, 내부직원용 OpenID를 만들겠다는 것인데요.

하지만, 여기 저기서 "Sun.com의 OpenID를 가진 사람은 Sun의 직원입니다"라는 것은 아니다라는 의견을 내고 있네요, 왜냐하면 다른 OpenID provider (가령 idpia.com)에서 받은 OpenID는 아무런 암묵적인 의미를 가지지 않기 때문입니다. (어떤 openid url은 의미를 가지고, 어떤 것은 가지지 않으면 표준화할 수도 없고, 기계가 해석할 수도 없겠지요...)



Simon Willson씨는 다음과 같이 코멘트하고 있습니다.

I disagree about Sun’s OpenIDs being the first to convey some kind of
meaning. An OpenID from LiveJournal OpenID conveys a bunch of meanings:
“I have a LiveJournal at URL X”, “An RSS feed of my LiveJournal is
available at URL Y”, “A FOAF file detailing my LiveJournal friends is
available at URL Z”. Likewise, an AOL OpenID incorporates “You can send
me instant messages at this AIM address”

한 마디로 말해서 machine-readable identifiers가 필요하다는 내용인데요, 이미 이런 요구사항은 XRI를 통해서 구현가능합니다(참고).



XDI.org에서 7월부터는 i-name 등록 가격을 내린다고 하니, OpenID랑 연계해서 사용하면 좋을 것 같다는 생각이 듭니다(7월에 준비해보겠습니다.).

정통부에 OpenID 기술표준 채택 제안

월에 한 번씩 정통부에서 웹2.0기술표준 전략수립 전문가회의가 열리고 있고, Identity 분야에 관한 조언을 하고 있습니다.

OpenID 커뮤니티에 도움이 되고자 다음과 같은 과제를 제안했습니다. 참고하시고, 좋은 의견 있으시면 연락주세요.



1. 과제명 (또는 현안명)



SOA / 매쉬업 환경에 적합한 Identity 관리 기술



2. 현황 및 문제점 (또는 필요성)



SOA의 발전과 함께 다양한 형태의 매쉬업 서비스가 등장할 것으로 예상되며, 이에 따라 비공개 서비스와 공개 서비스, 유료와 무료 서비스 등을 매쉬업 해야할 필요성이 증가할 것이다. 이런 환경에서 서비스마다 다른 사용자 식별아이디, 인증방법, 정보교환 방법을 사용하는 것은 사용자들에게 불편함을 줄 뿐만 아니라, 매쉬업 서비스 활성화의 장애요인이 될 것이다. 따라서, 인터넷 사용자와 인터넷 서비스 간에 이루어지는 사용자 식별, 인증, 정보공유 방법을 표준화하는 것이 필요하다.

국내의 경우 실명확인/본인확인, 아이핀 서비스, 행자부 통합ID 등 다양한 형태의 Identity관리 방법들이 서로 다른 요구사항에 따라 개발되고 있지만, 오히려 향후 웹 서비스 활성화에 장애가 될 수 있음.



3. 사용자 중심 Identity 관리 기술



문제점을 해결하기 위해서는 다음과 같이 측면에서 Identity 관리 기술을 표준화해야 한다.

• 사용자 식별 표준화 : 서비스마다 상이한 사용자 아이디를 사용한다면, 사용자가 하나의 매쉬업 서비스를 위해서 다수의 아이디를 입력해야함. 따라서, 인터넷 서비스가 사용자를 식별하는 방법이 표준화되어야 한다.
• 정보교환 표준화 : 사용자가 인터넷 서비스에 가입할 때마다 개인정보를 입력하는 것은 매우 비효율적이다. 따라서, 인터넷 사용자와 인터넷 서비스 간에 정보를 교환하는 방법이 표준화되어야 한다.
• 다양한 인증수단 연동 표준화 : 인터넷 서비스마다 특정한 인증방법을 선택한다면, 사용자는 다수의 인증방법을 통해서 매쉬업 서비스를 이용해야 함. 따라서, 인터넷 서비스는 다양한 인증수단을 제공함으로써, 인터넷 사용자가 인증방법을 선택할 수 있도록 해야한다. 이를 위해서 인증방법이 표준화되어야 함.

4. 대안들



현재 다음과 같은 대안들이 적용가능하며, 이러한 대안들을 포함한 다양한 기술들을 검토하고 실행가능한 표준을 제정해야 한다.

• 최근 URL을 사용자 아이디로 사용하는 방법이 널리 채택되고 있음. OpenID를 대표적인 예로 들 수 있음. 국내 특성 (실명확인, 아이핀, 통합ID) 들을 OpenID 2.0 표준에 반영하거나 OpenID 표준을 준수한다(현재 아이핀은 정보보호진흥원 표준, 통합ID는 OASIS SAML 표준을 따르고 있음).
• OpenID 2.0 규격에 따라 인터넷 사용자와 인터넷 서비스가 정보교환하도록 한다. 개인정보는 OpenID 서비스 제공자 또는 개인이 직접 구축한 OpenID 서버에 저장하여 사용할 수 있도록 한다.

5. 참고 자료

• http://openid.net/
• http://www.openid.or.kr/
  
  
• http://www.oasis-open.org/committees/tc_home.php?wg_abbrev=security
• http://www.kisa.or.kr/kisa/ipin/jsp/ipin_0000.jsp
• http://www.ddaily.co.kr/news/?fn=view&article_num=20751

미투데이 초대권 필요하신 분

미투데이에 대해서 아실만한 분들은 이미 다 가입하셨을테고...

잘 모르시는 분들은 여기를 참고하세요.



언제부턴가 저에게 무한리필되는 초대권이 생겼네요...ㅋㅋ



가입을 위해서는 OpenID가 있어야하는데요, idpia.com에서 하나 만드시고, 댓글이나 연락처로 이름,이메일주소,OpenID를 남겨주세요.

Yahoo 계정 OpenID 계정으로 만들기

Yahoo의 Browser-based Authentication API와 OpenID를 사용해서 야후 계정을 OpenID 계정으로 사용할 수 있도록 만드는 서비스가 등장했습니다.

같은 개념으로 Daum 인증 API를 OpenID 계정으로 사용하는 것도 가능하겠네요.

OpenID, 피싱, 인터넷뱅킹 사고

류근우님께서 지적하신 OpenID와 피싱의 문제는 정확하게는 Microsoft의 Kim cameron의 글에서부터 시작됩니다. 이것을 구글의 Ben이 거들면서 문제가 본격화됩니다.

OpenID 로그인 절차는 다음과 같습니다.

1. 인터넷 사이트에 OpenID URL을 입력한다.
2. 인터넷 사이트가 OpenID URL로 Redirection 시킨다.
3. OpenID provider의 로그인 페이지에 패스워드를 입력하고 로그인한다.

여기서 2,3번 과정에서 문제가 발생합니다. 즉, 인터넷사이트가 피싱페이지로 redirection시키고, OpenID provider가 제공하는 UI와 동일한 화면을 피싱페이지를 통해서 보여주면, 사용자는 아무생각없이 패스워드를 입력할 것이고 피싱공격이 성공할 것이다라는 것입니다.이 이후부터는 OpenID의 장점(SSO, Attribute Exchange)이 모두 단점이 되겠지요.

simon씨는 사용자가 OpenID provider의 주소를 북마크하도록 하고, 위의 3번 과정에서 로그인페이지를 보여주지 말고 사용자가 북마크를 통해서 직접 provider를 찾아가도록 하자는 제안을 했습니다.

UsableSecurity의 Ka-ping Yee씨는 simon의 제안에 더해서 Referer 헤더를 가진 request에 대해서만 로그인페이지를 보여주지 말자고 제안을 향상시켰고, Sxip의 Martin은 Group Membership 프로토콜을 제안했습니다.

이후에 simon씨는 사람들이 유지하는 whitelist를 통해서 해결하자는 제안을 했습니다. 즉, 우리가 믿는 OpenID provider/consumer whitelist를 만들자는 것이지요.

하지만, 최근 국내에 발생한 피싱공격과 스웨덴 은행의 해킹사고를 살펴보면 여전히 이런 것들로 피싱문제를 해결할 수는 없다는 것을 알 수 있습니다. 왜냐하면 북마크된 OpenID provider의 주소(IP) 또한 속일 수 있을테니까요. 만약 OpenID가 점점 더 가치있는 서비스에 사용될수록 피싱에 대한 해결책이 절실하게 필요할 것이라고 생각합니다.

저는 OpenID와 Strong Auth가 결합된 형태의 서비스만이 이 문제를 해결할 수 있다고 생각하고, 이런 서비스를 제공하기 위해서 노력할 것입니다.

OTP, 가장 선호하는 보안서비스

엔씨소프트에 ASP형태로 제공중인 OTP 서비스가 가장 선호하는 보안서비스로 선정되었습니다.
OTP를 핸드폰에 올려서 사용하는 것을 기획해서, 특허추진하고, 서비스를 오픈했고, 가장 선호하는 보안서비스가 되었네요.

2 월 초에는 OpenID와 OTP를 결합해서 새로운 서비스를 오픈하려고 합니다. OpenID를 채택하는 사이트가 많아질수록, Single Sign On 기능이 중요해질테고, 그렇게되면 패스워드만으로 OpenID를 사용하는 것이 좀 불안해지겠지요? 그래서, Mobile OTP로 로그인할 수 있는 OpenID 서비스를 제공할 것입니다.

Futurecamp 2007 참가후기

Futurecamp 2007에 다녀왔습니다. 워낙 많은 분들이 한 트랙으로 발표를 했기때문에 정작 마지막 세션에서 발표를 하는 분들에게는 시간이 많이 주어지지 않았습니다. 저 역시도 마찬가지였구요...충분히 말씀드리고 얘기하지 못한 부분들이 많은 것 같아 좀 아쉽네요...

말씀드리려고 했던 부분을 다시 한 번 정리합니다 (발표자료 참고)

• 모 든 웹 사이트가 광고판(구글 애드센스처럼)이 될 수 있는 것처럼, 모든 웹 사이트는 상점이 될 수 있다. 즉, 분산마켓이 활성화될 것이다.따라서, Web2.0 회사들은 광고만을 수익모델로 생각하지말고 전자상거래를 수익모델로써 생각해야할 때이다.
• OpenID 는 사용자와 서비스제공자에게 모두 이익을 주는 사용자 관리 프레임워크이다. 외국의 경우 550개 사이트에서 이미 채택중이며, 매주 5%씩 적용사이트가 늘어가고 있다. 매쉬업 서비스 인증, 정보교환, SSO 등 다양한 곳에 사용될 것이다. 국내 서비스 제공자들은 OpenID를 검토하고 적극적으로 채택을 함으로써 OpenID의 잇점을 누려야할 때이다 (OpenID 커뮤니티 참조)

다른 분들의 발표 중 재미있게 들었던 내용을 정리합니다.

• 박재범님, "Pay per Feel"
  느끼지 않으면 지불하지 않는다.
• 염동훈님, "핸드폰은 background 서비스이다"
  핸드폰이 서비스를 나에게 가져다주는 것이다. 내가 찾는 것이 아니고...그런데, 스마트폰의 경우에는 좀 다르지 않나요?
• 강재호님, "나는 표현하는 태그와 개인화 검색의 연결"
  iTags를 참고하시면 도움이 될 듯
• 김효곤님, "상품의 경량화, 필터(다양한 컨텐츠에서 내가 원하는 것을 뽑아내는 것)의 고성능화, 틈새 Aggregator의 필요성"
  분산마켓과 연결해서 생각해보면, 상품정보를 Aggregation하는 서비스가 나와야하고, 각 개인의 관심과 생산자들을 효과적으로 연결하는 필터 서비스가 나와야한다는 얘기가 되겠네요.
• 서승덕님, "User Collected Contents"
  컨텐츠를 다시 생성하는 것을 장려하지 말고, 모아주는 것을 장려하자. DJ, 평론가처럼?
• 김현국님, "네트웍 단에서 Identity를 연동해서 Bandwidth 차별화등 개인화에 이용하자"

아뭏든 좋은 분들의 많은 얘기를 들을 수 있어서 좋았고, 다음에는 모든 발표분들과 청중들에게 많은 시간이 주어질 수 있는 좋은 컨퍼런스가 되었으면 합니다.

2007년 전망 - Futurecamp

Futurecamp2007에서 발표할 자료입니다.
"분산마켓이 활성화될 것이다", "OpenID가 활성화될 것이다"라는 두가지 전망을 가지고 발표합니다.

FutureCamp 2007 Seoul - 2007년도를 전망한다

13일 FutureCamp 2007이 개최됩니다.

Barcamp Seoul에 참가하지 못한 것이 못내 아쉬웠는데, 이번에는 많은 분들과 좋은 얘기 나누었으면 좋겠네요.

저는 두가지 얘기를 해보려고 합니다. 하나는 web2.0과 payment2.0에서 조금 말씀드렸던 분산마켓이 좀더 구체화되고 활성화될 것이다라는 것이고 다른 하나는 OpenID의 활성화입니다. 발표자료는 만들어지는 대로 13일 전에 다시 한번 올리도록 하겠습니다.

SAML 2.0과 OpenID, i-name

Sun의 Identity 제품 설계자인 Pat Patterson씨가 IIW2006b에서 Yadis/XRI resolution과 SAML 2.0을 결합하는 방법을 데모했습니다.

즉, SAML이 연동되어 있는 서비스 제공자와 SAML identity provider 간에 identifier로써 OpenID URL 또는 i-name을 사용할 수 있고 이것을 어떻게 구현해야 하는 지를 설명하는 자료입니다.



국내에서도 정통부 아이핀, 행자부 통합 ID 등의 ID 관리 서비스가 논의되고 있는데요, identifier와 Service Discovery와 관련된 얘기는 없는 듯 합니다. 내년 OpenID 모임들을 준비하면서, 이런 부분들도 고민해봐야겠네요...

OpenID 활성화 모임

몇일 전에 OpenID에 관심이 있는 몇 분들과 간단한 미팅을 했습니다.

앞으로 OpenID를 국내에서도 활성화시켜보자, 이를 위해 내년 3월까지 OpenID 제공서비스 2-3개를 오픈하고, 신규서비스를 중심으로 OpenID를 채택하도록 권고해보자. 그리고, 채택한 사이트를 OpenID 한글페이지에 게시해서 타의 모범으로 삼자등의 얘기들이 오갔습니다.

이제까지 열심히 id 2.0 떠들고만 다녔는데, 실제 서비스를 여기저기서 준비하고 계신분들을 만나니 기분이 좋았습니다. 이제 저도 본격적으로 준비를 해야할 때가 된 것 같네요.

OpenID korean mirror

openid.co.kr을 소유하고 계신 kayflow 님께서 openid.net의 mirror 사이트를 만드시고, openid.co.kr 도메인을 기증하셨네요.

한동안 여기저기 id2.0에 대해서 떠들고 다녔는데, 이렇게 좋은 일을 해주시는 분들이 있으니 조만간 한국에서도 OpenID가 활성화될 것 같습니다.