OpenID, SXIP, Infocard 비교

W3C의 Dan Connolly 씨가 최근에 있었던 W3C Security Workshop을 참관하고나서 시맨틱웹의 관점에서 OpenID, SXIP, Infocard를 비교했습니다.

Yadis 진영 ACM으로 진격

Yadis의 대표주자인 Johannes Ernst(LID), Drummond Reed(XRI) 이 ACM DIM 2006의 프로그램 위원이 되었네요...
주제도 "Exploring User-Centric Identity Management" 입니다.

Digital Money Forum 발표자료

지난 번에 말씀드린 9번째 Digital Money Forum의 발표자료가 공개되었네요.

재미있는 내용들 많으니 관심있는 분들은 살펴보시길...

Identity2.0 발표자료

너무 늦은 감이 없진 않지만, NGWeb에서 발표했던 자료올립니다.

NGWeb2006-B53-id20-chlee.pdf


Technorati Tags: identity20, NGWeb

매쉬업에 비즈니스 모델?

재미와 명성을 제외하면, 매쉬업 서비스에 비즈니스 모델은 있을까요?

Read/WriteWeb에서는 다음과 같은 비즈니스 모델을 얘기한다.

• 광고 : Simplyhired.com 참조
• 제휴 : 매쉬업은 API를 제공한 업체에 트래픽을 제공하며, 이를 이용해서 제휴를 유도한다.
• 거래 매쉬업 (Transactional mashups) : 더욱 더 많은 사람들이 혼합된(mashed) 데이터만을 보고, 이를 통해서 거래를 일으키는 날이 올것이다.
• 기타모델 : 가입형 서비스, 트랜젝션별 과금, 프리미엄 서비스, 기업용 서비스

위의 사업모델을 곰곰히 생각해보면, 오프라인의 모델과 상당히 비슷하다는 생각을 하게된다.

첫번째로 제휴
이동통신 대리점은 이동통신 3사의 단말기를 판매하는 매쉬업 사이트라고 하고, 이통사를 데이터/서비스를 가지고 있는 API 제공업자라고하자. 이렇게 놓고, 이동통신사가 이동통신 대리점과 고객의 통화료를 일정기간 나누어가지는 것을 생각하면 쉽게 제휴 모델이 이해된다.


두번째로 거래 매쉬업
하이마트와 삼성디지털 플라자의 얘기를 생각해보자. 하이마트는 오프라인 가전 매쉬업 사이트라고 볼 수 있는 데, 모두다 "하이마트로 가요" 하니, 뒤늦게 구매력의 힘을 알게된 삼성에서 삼성디지털 플라자를 만들었다는 얘기. 물론 하이마트와 삼성의 협상이 원할하지 않아서 결국 삼성 독자 대리점을 운영하게 되었겠지만, 매쉬업 사이트에서 거래가 이루어진다면 훌륭한 사업모델이 될 것임은 쉽게 이해된다.

결국 매쉬업은 오프라인에서는 있을 수 없는 "혼합 프렌차이즈" 정도로 생각하고 사업모델을 생각해보면 좋을 듯 하다.


Technorati Tags: mashup, business

Web2.0과 Payment 2.0

웹2.0이 근래의 화두인 지라 제가 이니텍, 이니시스를 대상으로 사내 웹2.0 세미나를 준비해서 진행하고 있습니다.
지난 15일에는 석찬님을 초청하여 Payment 2.0에 대한 생각도 듣고, 많은 얘기나누었습니다.

석찬님 Payment 2.0 발표자료

29-31페이지를 보시면, Payment2.0과 web2.0 비교, Payment 2.0 TM(?), Longtail과 지불을 거론하고 있습니다. 웹2.0 시대에 지불은 어떤 형태여야할까에 대한 고민을 시작하기에는 충분히 좋은 질문들과 사용예라는 생각이 듭니다.

저는 개인적으로 다음과 같은 생각/고민들을 가지고 있습니다.

Payment 2.0 플랫폼 : 생산자이자 소비자인 사용자를 위한 플랫폼
초기에 쇼핑몰은 강력한 유통망을 가진 대기업이 주도했습니다. 하지만, 곧 소규도 판매상들이 주도하는 이른바 오픈마켓에게 자리를 내주게 되었습니다. 이런 소규모 상점들은 인터파크, 옥션, G마켓 등에 입점하여 판매를 합니다. 여기서 더 확장을 해보면, 입점하지 않는 소규모 상점들의 마켓 즉 분산마켓이 오픈마켓을 대체하리라 생각합니다. 즉, 생산자이자 소비자인 사용자를 위한 분산 마켓플랫폼, 지불플랫폼이 웹2.0 시대의 상거래에 필수적인 요소라 생각됩니다.

Payment 2.0 : Identity와의 연관
가령, 자작 만화 컨텐츠를 자신의 블로그에서 판매하려면? 조금 그림을 그릴 줄 아는 사람이 누군가의 요청을 받아서 그 사람만의 아바타를 그려주는 장사를 하려면? 분산마켓에서는 어떻게 생산자를 확인할 것인가? 어떻게 돈을 받는 사람을 확인함으로써 위험(Risk)을 줄일 수 있을까? 그 답은 Identity와 평판시스템에서 찾아야하지 않을까 생각합니다. 온라인 상에서 Identity와 그 사람의 활동을 연관시킴으로써 평판으로 만들고, 그 평판에 근거하여 돈을 지불함으로써 위험을 줄일 수 있을 것입니다.

세미나와 재미있는 브레인스토밍 많이해주신 석찬님께 다시 한 번 감사드립니다. 저는 이 세미나를 계기로 이니시스가 좀 더 웹2.0과 지불플랫폼에 대해 고민했으면 하는 바램입니다.


Technorati Tags: payment20

MS Infocard 연동 방법

MS 연구소의 Mike Jones씨가 Infocard 연동방법에 대한 기술보고서를 배포했습니다.
기술보고서의 프로토콜 그림을 인용합니다(아래 그림에 관심이 있는 분들은 기술보고서를 살펴보시길).







Technorati Tags: infocard

피카사, 국내 인화 서비스 개시

언제나 피카사에 인화서비스가 연동되려나 하고 있었는 데...
드디어 OP와 zzixx가 연동되었네요.

이제 좀 편하게 인화할 수 있겠네요...
(그동안은 편집해서, 내보내기해서, 업로드해서, 주문했습니다.)

DIGITAL MONEY 9TH

3월 29일과 30일에 Digital Money Forum이 개최된다고 합니다. 다음과 같은 흥미있는 주제들이 있네요...

Replacing Cash with Mobile Phones
Susie Lonie, Vodafone
A case study on the African M-PESA scheme

Currency for Kids
Jonathan Attwood, Swap-it-Shop UK
The UK's "eBay for kids"

Cross-Border Funds Transfer before the Internet - The ransom of King Richard
David Boyle, Author of "Blondel's Song"

행사 후에 발표자료는 공개되니 그 때 다시 봐야겠네요...

Yadis 1.0 발표

Yadis 규격 1.0이 발표되었습니다. Identifier로써 Yadis URL 또는 URL로 resolving 될 수 있는 identifier를 사용하게 됩니다.

IIW 2006

Identity Woman, 아거님이 소개했던 Cluetrain Manifesto의 저자 Doc Searls, XRI 후원자이며 Brigham Young 대학 교수인 Phil Windley가 주최하는 Internet Identity Workshop 2006이 열린다고 합니다. 미국에 산다면 달려가보고 싶네요.

구글 Single Sign-On

zooomr이라는 사진 공유 사이트는 구글 계정을 통해서 사용자 확인을 한 후 서비스를 제공하고 있습니다(물론, OpenID 등도 사용할 수 있습니다, 아쉽게도 지금은 확장이전 공사 중이군요).

이 회사는 구글과 아무런 계약도 없이 어떻게 구글 계정과 패스워드를 확인할 수 있었을까요?

이것은 구글이 Gtalk의 근간을 이루는 XMPP 프로토콜의 인증 메커니즘을 그대로 차용했기 때문이라고 합니다.

관련 링크들

Using Google's Universal Authentication Engine
The Mysteries of X-GOOGLE-TOKEN and why it matters
Google's X-GOOGLE-TOKEN
XMPP Protocol

발신자번호 속이기

지난 몇 년 새, 인터넷 전화의 도움으로 발신자번호 속이기(스푸핑)가 훨씬 더 쉬워졌다고 합니다. 왜냐하면, 인터넷 전화는 발신자번호 시스템에 임의의 숫자를 표시할 수 있기 때문입니다.
심지어, 미국에는 발신자를 속여서 전화 통화를 할 수 있도록 해주는 서비스가 있다고 합니다. 사용자가 60분 통화를 위해서 10$를 지불하고 spoofcard.com에서는 가상 "전화 카드"를 구매한 후, spoofcard로 수신자 부담 전화를 걸어서, 수신자의 전화번호를 입력하면, 조작된 발신자번호를 표시해준다고 합니다.

더 무서운 사례는 훔친 신용카드 번호를 산 후, 카드 주인의 집전화번호를 발신번호로 표시하도록 속인 후, Western Union과 같은 서비스에 전화를 해서 송금 신청을 하는 것입니다.

아뭏든 점점 더 안전한 전자금융에 대한 노력이 절실해지는 때입니다.


Technorati Tags: CID, spoofing

차세대 웹 통합 컨퍼런스와 Identity 2.0

3월 13~14일에 NGWeb2006 - "웹2.0 + 모바일" 컨퍼런스가 개최됩니다.

저는 둘째날, 5시에 Identity 2.0 발표(B53)를 맡게되었습니다.
현재의 웹2.0은 "OpenAPI를 통해서 공개된 정보들을 서로 공유하고, 기능 확장에 참여하는 것"입니다. 하지만, 앞으로 "보이지 않는 웹", 즉 공개되지 않은 정보들을 연결하고, 서로 확장하기 위해서 선결되어야할 필수요소는 Identity 문제입니다.

이제까지 해결하고자 했던 Identity에 대한 문제는 "어떻게 하면 (매번 회원가입하고 아이디를 만드는) 귀찮음을 해소할 수 있을까"입니다.
하지만, Identity 2.0은 이런 단순한 Identity 문제를 해결하자는 것이 아니며, 다음과 같은 세 가지 측면에서의 해결책을 찾자는 것입니다.

• 표현 : 어떻게 사람(subject)를 식별하고, 관련된 속성을 표현할 것인가?
• 공유 : 어떻게 속성을 교환할 것인가? (프라이버시를 보호하고, 사용자가 통제권을 가지면서)
• 인증 : 어떻게 일관된 인터페이스를 통해서 범용적인 인증 환경을 구축할 것인가?

첫째날에는 맥주파티를 겸한 BOF가 개최됩니다. 많은 분들 모여서 좋은 얘기나누었으면 합니다.

Technorati Tags: NGWeb, Identity2.0

IBM과 Novell, User-centric IdM에 동참

Eclipse!
Java 개발자라면 다 아시는 통합 개발 환경입니다.

프로젝트 Higgins
Eclipse 재단의 새로운 프로젝트 Higgins는 "user-centric" identity 관리 소프트웨어를 개발하는 것이라고 합니다.

기사 참고하세요.

YADIS 0.9 배포

YADIS 0.9 버전 규격이 배포되었습니다.

가장 큰 변화는 URL로 매핑될 수 있는 XRI와 OASIS의 Extensible Resource Descriptor(XRD) 규격을 수용했다는 것입니다.
이제 i-name도 본격적으로 YADIS에 합류하게 되었네요...

근데, 규격은 갈수록 복잡해져간다는 느낌이네요.

mashup camp와 YADIS

YADIS의 Johannes씨가 Mashupcamp에서 URL-based identity에 대한 세션을 진행했군요, 다음과 같은 주제가 논의되었다고 합니다.

• 사용자의 identity에 기반하여 mash-up을 개인화하기
• 사용자의 identity에 기반하여 데이터 피드를 개인화하기
• mashup에서 사람과 사람에 대한 속성들을 식별하기

주제명만으로도 흥미가 있네요. 이제 점점 보이지 않는 웹과의 mashup을 시도하려고 하는 듯 하네요...

Technorati Tags: yadis, mashupcamp

W3C 웹 인증 워크샵 논문 리스트

3월에 있을 웹 인증 워크샵에 제출되고 받아들여진 논문들입니다. 다음과 같은 움직임이 눈에 띄네요.

• RSA를 중심으로 한 OTP 진영의 참여
• YADIS, XRI, SXIP 등 User-Centric Identity 진영의 참여
• MS Infocard와 이에 포함될 high-value 인증서를 밀고있는 Verisign
• 그 외 IBM, Yahoo, 은행, 학교 등
  

시맨틱웹 - 행복한 철학은 행복한 기술과 문화를 만든다

김중태씨가 쓴 "시맨틱 웹: 웹2.0 시대의 기회"를 읽었습니다.

저자는 "한국이 앞선 것은 초고속인터넷망 시설과 환경이었지 인터넷 기술이 아니다", "국내 사이트의 문제 원인은 기술 부족이 아니라 철학 부재이다", 라고 야단(?)을 치면서 이야기를 시작합니다.

국내 사이트가 가지고 있지 않은 철학은 "연결link, 즉 공개 정신과 공유 정신"이라고 얘기합니다. 즉, 국내 포털은 연결이라는 웹의 정신을 통해서 수익기반을 마련했지만, 자신들의 사이트에 머물도록 하기 위해서 이 정신을 저버렸다는 것이지요. 하지만, 저자는 포털의 사용자들이 웹의 철학에 더욱 더 충실한 컨텐츠를 만들 수 있도록 돕는 것이 장기적으로는 더 유리하며, 실제로 많은 신생기업들이 이 사실을 입증하고 있으며, 이들의 성공이 웹 2.0이라는 키워드로 표현되고 있습니다.

요즘 가장 많이 언론의 조명을 받는 단어는 웹2.0일 것입니다. 하지만, 김중태씨는 책 제목을 시맥틱웹이라고 정했는데요, 그 이유를 "웹 2.0은 시맨틱웹을 경제적 관점이나 플랫폼으로 보고, 응용해 구현된 상태를 표현하는 말이다", "차세대 웹이라는 의미로 '웹 2.0'을 사용하는 것은 큰 무리가 없으나 컴퓨터끼리 대화하는 자동화된 지능형 웹을 뜻할 때는 '시맨틱웹'으로 표현하는 것이 좀더 정확한 사용법이 될 것이다"라는 대목에서 찾을 수 있습니다. 또한 이러한 대목에서 저자가 단순히 흥미를 위해 책을 쓴 것이 아니고 기술적으로 정확하게 표현함으로써, 일반인들을 올바른 방향으로 입문하도록 하기 위해 책을 썼다는 것을 알 수 있습니다.

"시맨틱웹은 컴퓨터끼리 정보를 주고받을 때 잘 정리된 좀더 많은 정보를 추가로 제공해 정보 해석력을 높이고, 이를 통해 자동화 처리를 향상시킨 웹이다"라고 정의내리면서, RSS를 중심으로 한 마이크로컨텐츠, OpenAPI 만으로도 웹 2.0 신생기업들은 충분한 성공가능성을 보여주었으며, 시맨틱웹 기술을 적극적으로 이용하고 발전시키는 것이 다가올 기회를 잡는 것이다라고 말합니다.
"웹2.0"이라는 키워드, 즉 현재에 성공한 모델의 분석에만 매달리지말고, "공개와 공유"라는 철학을 가지고 "시맨틱웹, 자동화된 웹"을 적극적으로 수용하고 발전시키려고 노력해야 한다는 것입니다.

이 책을 통해 현재의 인터넷 기업들은 어떻게 성공하게 되었는 지, 또 이들 기업들은 어떻게 성공하고 실패할 지, 이러한 기업들의 성공은 어떤 기술로부터 이루어졌는 지, 어떤 철학이 있었는 지를 너무나도 잘 배울 수 있습니다. 다가올 시맨틱 웹 세상을 준비하시는 사업가, 개발자 그리고 웹을 점점 더 도움이 되는 컨텐츠로 가득차도록 만들고자 하는 모든 인터넷 사용자들에게 이 책을 권합니다.

패스워드의 종말과 identity 2.0

빌게이츠 「패스워드의 종말」을 고한다

이 기사가 소개하고 있는 것은 .NET passport의 핵심 설계자인 Kim cameron씨의 The laws of Identity(번역)의 설계철학에 기반하여 설계된 identity metasystem에 관한 것입니다.

중요한 것은 Infocard 프로젝트는 특정한 Identity 관리 기술이나 Identity Provider에 국한된 것이 아니라는 것입니다.
이 프로젝트의 목적은 사용자에게 일관된 Identity negotiation 인터페이스를 제공하기 위해 만들어진 것입니다. 따라서, 어떤 형태의 identity 또는 ID 관리 기술을 가진 기업이든 WS-Security 규격을 따르면, identity selector(zdnet 기사의 인포카드 실행화면이라고 하는 것)에 자신이 공급하는 identity를 카드로 추가할 수 있고, 고객과 윈도우가 제공하는 안전한 방법에 따라 identity negotiation을 할 수 있습니다.

기술적인 내용이 궁금하신 분들은 다음 링크를 참고하십시오.

The Identity Metasystem: A User-Centric, Inclusive Web Authentication Solution
Design Rationale behind the Identity Metasystem Architecture

Infocard 프로젝트는 다음과 같은 변화를 가져올 것이라고 생각합니다.

• Vista, IE7이 출시되고 본격적으로 infocard가 활용되기 시작할 것이고, 많은 기업들이 지금의 HTML form 로그인을 바꿔야할 것이다.
• 키보드보안, 개인방화벽, 바이러스 업체들은 본격적으로 위협을 받게될 것이다 (Infocard는 MS의 보안서비스와 밀접하게 연관을 가지고 있습니다. 왜냐하면, Identity Selector를 통해 백오리피스, 키보드 후킹 등을 방지하면서 다양한 Identity Provider들과의 Identity Negotiation을 가능하도록 하고 있기 때문입니다.)
• high-value 인증서가 기존 인증서를 대체할 것입니다. 기존 SSL 인증서는 기관의 로고 등이 포함되어 있지 않으므로 인해 사용성이 크게 떨어졌지만, high-value 인증서에 포함된 기관로고를 identity selector를 통해서 보여줌으로써 좀 더 사용성 높은 인증서를 채택하게 될 것입니다. (기술적인 내용은 RFC3709 참조)

Technorati Tags: infocard, identity20

Infocard 설계 원칙

Kim cameron씨가 윈도우 Vista의 Identity 프로젝트인 Infocard의 설계 원칙을 배포했습니다.

구글스토리는 구글얘기가 아니다?

검색으로 세상을 바꾼 구글스토리를 읽었습니다.
원 제목은 "The Search : How google and Its Rivals Rewrote the Rules of Business and Transformed Our Culture" 입니다.
확실히 원제가 이 책을 더 잘 설명하고 있네요...

이 책은 검색을 통해 바라본 인터넷 사업의 역사입니다. 초기 검색엔진의 역할에 대해서 다음과 같이 언급하고 있습니다.

인터넷 항해자들이 탐험하는 입장("인터넷에 뭐가 들어 있을까")에서 기대하는 입장("나는 인터넷에 들어 있다고 생각하는 문언가를 찾고 싶어.")으로 이동하는 가운데 항해의 상징으로서 검색은 점차 더 의미를 갖게 되었다

이와 같은 변화를 포착해서 성공한 기업이 바로 YAHOO입니다. 이런 식으로 이 책에서는 알타비스타, 야후, 고투닷컴, 오버추어, 구글이 어떤 변화를 포착하고, 어떤 기술로 변화를 수용했는 지, 또한 남아있는 도전과제는 무었인지를 얘기합니다.

사실 이 책에 언급된 부분 중 가장 흥미있는 부분은 구글에 대한 이야기가 아니고, "빌 그로스"에 대한 얘기입니다.
초기 검색엔진들은, 고객이 입력한 검색키워드와는 무관하게 유료광고를 게시했습니다. 당연히 검색 키워드와 해당 광고의 관련성은 크지 않았으며, 고객이 클릭할 확율을 떨어뜨렸습니다. 즉, 광고주들은 스팸광고를 위해 돈을 허비해버리게 된 것이지요...

빌 그로스는 이런 스팸을 줄이고 광고로의 트래픽의 질을 높임으로써, 트래픽의 가격을 훨씬 더 높일 수 있다고 생각했습니다. 즉, 낮은 가격에 트래픽을 구매하여(포털의 광고주가 되어) 높은 가격에 광고주들에게 판매를 하는 것이지요(책에서는 차익거래라고 표현합니다).
빌 그로스는 이런 아이디어로 고투닷컴을 창업하였으며, 이후에 구글의 Adwords, Adsense 등에 영향을 줍니다.

어느 정도는 예상하셨겠지만, 그러면 "특정 키워드에 대한 광고의 적합성"은 언제나 올바르게 동작할까요? 이 책에서는 BlackHat 이라는 개념을 소개함으로써, 그렇지 않다고 얘기합니다. BlackHat은 자신의 페이지가 검색엔진의 상위순위에 나타나도록 하기 위해, 특정 키워드와의 관련성이 높도록 페이지를 조작하는 것입니다. 이러한 BlackHat으로부터 광고주들의 돈을 보호해줄 수 있는 마케팅 모델이 나온다면 다시 한 번 성공할 수 있을까요?

아뭏든 책읽고 검색의 역사도 살펴보시고, 스팸, BlackHat 등 재미있는 문제도 살펴보세요...

XRI, XDI, and Identity - Moving on to XDI

XDI에 관한 나머지 글은 wikipedia의 XDI로 대신합니다(예를 든 내용이 조금 이상해서요...).

XRI, XDI 와 Identity - Single Sign On

이 글은 Phil Windley씨의 XRI, XDI, and Identity를 세 개로 나누어서 번역한 두번째 글입니다.

전통적으로 인증은 사용자 인터페이스와 아이디, 비밀번호를 저장하고 있는 저장소 간에 이루어진다. 싱글 사인 온 (SSO)을 채택하면, 사용자가 제공한 사용자명으로 해당되는 인증 서비스를 찾는다. 어플리케이션은 인증 서비스에게 사용자 인증을 한 후 토큰을 줄 것을 요청한다. 따라서 여러 웹 사이트들과 어플리케이션들(service Providers)은 하나의 인증 서비스(AuthN)를 사용할 수 있다. 이 과정에서 사용자명으로부터 인증 서비스를 찾는 것이 핵심적인 부분이다.

I-names는, 인증 서비스를 찾는 XRD로의 해석(resolution)을 통해서, SSO를 지원할 수 있다. 인증 서비스는 사용자의 i-broker일 수 있으며 패스워드를 요청할 것이다. 사용자가 요청한 i-broker가 믿을 만하다는 것을 안다고 가정하면, 사용자는 패스워드를 입력할 것이다. 사용자는 세션을 인증한 후 SP로 돌아갈 것이다. 실제로도 브라우저를 통한 리다이렉션을 사용한다. SP와 AuthN은 서로 직접 통신하지는 않는다. SSO의 가장 약한 고리는 패스워드 페이지이고 스푸핑될 수 있다.

i-name SSO를 적용하기 위한 라이브러리들이 있다(PHP, Java, Perl, Python, Ruby에서 동작). BooksWeLike가 i-name 기반 SSO를 구현한 사이트의 예제이다. 나는 거기가서, 내 i-name과 전자우편 주소를 넣고 등록했고, 따라서 내 i-name을 사용해서, 2idi(내 i-broker)를 통해서 인증한 후, 사이트에 로그인할 수 있다. 나는 여러 단계의 페이지들을 싫어하지만, 이것이 동작한다는 것은 신선했다. 여기가 내 BooksWeLike 페이지이다. URL로의 내 i-name에 주목해라.


Technorati Tags: i-name, ISSO, XRI, identity

XRI, XDI 와 Identity - Globally Unique Identifiers

이 글은 Phil Windley씨의 XRI, XDI, and Identity를 세 개로 나누어서 번역한 첫번째 글입니다.

Globally Unique identifiers

전세계적으로 유일한 식별자(GUI, Globally Unique Identifier)에 대한 얘기를 빼놓고 분산 관리(distributed management)에 대해서 말할 수는 없습니다. 예를 들어 전화번호는 전세계적으로 유일한 식별자이며, 내선번호는 국지적인 식별자라 할 수 있습니다. 전자우편주소는 전세계적으로 유일한 식별자로써 사용될 수 있지만, 사람들은 그것을 공개하기를 꺼립니다. 이것을 고려하지 않더라도, 가상의 식별자(abstract identifier) 로써 고정된 식별자를 사용하는 것은 문제가 있습니다.

GUI로써 전화번호, 전자우편, URL 등을 언급할 수 있습니다, 하지만 이것들은 실존하는 식별자들입니다. 반면에 DNS와 XRI는 GUI이면서도, 추상적인 식별자입니다. 추상적인 식별자는 실존하는 식별자로의 링크로써 사용됩니다. 도메인 명은 IP 주소로 연결되도록 설계된 것처럼요.

I-name은 XRI에 기반하고 있으며 여러 가지 확장 가능한 서비스들을 선보이고 있습니다. i-name을 해석(resolution)함으로써, XRD(eXtensible Resource Descriptor)를 얻게 됩니다.

I-name 해석은 왼쪽에서 오른쪽으로 이루어집니다. i-name에서는 마침표(.)가 구분자(delegator)가 아니며 별표(*)가 구분자입니다. 현재는 다섯개의 root들이 있습니다. 등호(=)는 개인들에 대한 root입니다, 따라서 =windley는 저를 가르킵니다. @는 기관들에 대한 root, +는 tag space에 대한 root, $는 system tag들에 대한 root, !는 i-number에 대한 root입니다.

이런 영역들 각각은 계층적이고 확장 가능한 구조입니다. 즉, =windley*friends*steve는 내 친구 steve에 대한 식별자일 수 있습니다. 또한 기관root를 사용하여 저를 표현하면, @technometria*=windley 가 됩니다.

i-name은 i-broker로부터 등록할 수 있습니다. I-broker들은 i-name 등록기관입니다 (도메인 등록기관 처럼). GRS는 DNS top-level registry service와 같이 global registry service입니다. @technometria*=windley를 등록하기 위해서는 먼저 commercial i-broker를 통해서 @technometria란 이름을 등록해야 합니다. 이 등록과정은 @technometria를 GRS에 등록합니다. 그 다음에 (technometria의) community i-broker에게 등록요청을 합니다. community i-broker, commercial i-broker 그리고 등록자는 서로 인증을 합니다. 인증이 완료되면, community i-broker에 @technometria*=windley가 등록됩니다.

@technometria*=windley를 해석하는 과정은 DNS와 유사하게 동작합니다. 먼저 @에 대한 GRS를 찾고, technometria로 windley에 대한 질의를 합니다. 상황은 DNS와 유사하지만 훨씬 더 풍부한 표현이 가능합니다. Neustar가 XRI에 대한 GRS 입니다.

i-name을 등록하고나면, 인증(authentication) 서비스 (ISSO - SAML 1.1)와 contact page를 이용할 수 있습니다.

Technorati Tags: i-name, ISSO, XRI, identity

일본의 전자화페 사용 현황

Interwired에서 일본의 전자화폐 시장에 대한 조사를 했습니다.

어디서 전자화폐를 쓰고싶냐는 질문에, 700명은 "슈퍼마켓", 446명은 "편의점", 427명은 "교통", 251명은 "자판기"라고 답을 했네요...

아직 가장 요구가 많은 슈퍼마켓에 전자화폐를 사용하지 못하니, 기회가 많은 것 같기도 하고...
이마트 계산대에 먼지쌓인 휴대폰 동글을 생각하면 틀린 것 같기도 하고...

마음껏 연락처를 공개하고 싶으세요?

이제 많은 사람들이 스팸메일의 귀찮음과 그로 인한 피해들을 어느 정도 경험했기 때문에 메일주소를 직접 웹 페이지에 공개하는 것은 매우 꺼립니다.

그 이후 나타난 경향은 기계가 홈페이지에서 이메일주소를 긁어서 스팸메일을 보내지 못하도록 "id at mailserver.com" 과 같이 표기하거나 이미지로 표현하는 것이었습니다. 하지만, 이것도 오래 못가겠지요?

제 블로그의 왼쪽 편에 사진 옆을 보시면 =guldook 라는 연락 정보를 보실 수 있습니다. 이것이 제 I-name 입니다.
클릭하시면 저한테 메시지를 남기실 수 있습니다.

물론 메시지를 작성하기 위해서는 I-name 또는 Email 주소를 입력해야 합니다. 그리고 2idi에서는 I-name 또는 Email 주소의 검증이 제대로 된 경우에만 제 메일로 메시지가 전달됩니다.

즉, 홈페이지에 연락 정보를 남기고도 스팸으로부터 해방될 수 있습니다.

어떻게 만드냐구요? 여기서 원하는 i-name이 가능한 지 체크하시고, 25$를 지불하시면 됩니다. 25$이 비싸다고 생각하실 수도 있겠으나 50년간 사용가능하니 년 500원 정도이고, 충분히 등록할만한 가치가 있다고 생각합니다.

i-name은 OASIS XRI 표준을 사용하고 있습니다. 자세한 기술적인 내용은 다른 글로 다시 한 번 소개하겠습니다.

adware vs myware

애드웨어는 잊어버리세요. 여기 마이웨어가 있습니다. 당신의 웹 사용 성향을 기록하시고, 수익도 챙기세요!
Forget spyware. Here comes myware. Soon you'll collect data on your own Web use for fun and profit.

CNNMoney에서 최초의 attention 데이터 수집/분석 서비스인 Root vault를 소개하고 있습니다.

누군가 내 PC에 몰래 깔아서 내 의지와 상관없이 광고를 띄우는 프로그램을 애드웨어라고 합니다.
그에 반해서 attention 데이터를 자신의 의지에 따라 수집하도록 돕는 프로그램은 마이웨어라고 할 수 있다고 소개합니다.

마지막에 last.fm이라는 회사를 소개하고 있습니다. 이 회사는 PC에서 들은 음악리스트를 기록하고 공유하도록 합니다. 즉, playstream+쇼셜 네트웍 이라고 표현할 수 있겠습니다.


사실 Root vault 서비스에서 수집/분석해주는 정보는 아직까지는 초보적인 단계로써 그다지 유용한 정보라는 생각은 들지 않습니다.
항상 궁금한 것은 어떻게 AttentionRecorder가 상품리스트, 쇼핑에 사용된 카드, 거래하는 주식 등 clickstream의 의미를 해석하느냐였습니다.

last.fm을 보면서, "사용자의 다양한 action을 수집하는 여러 서비스들이 생길 수 있겠구나!" 라는 생각을 했습니다.

저는 이니텍과 이니시스를 위한 연구개발 업무를 하고 있습니다. 두 회사 모두 인터넷뱅킹과 인터넷 지불을 위한 소프트웨어들을 가지고 있습니다.
가만히 생각해보면, 당연히 이 소프트웨어도 마이웨어들이며 사용자가 동의한다면, 인터넷뱅킹 거래형태, 구매상품 분석, 상품평 관리, 사용카드 종류, 평균 지불에 걸리는 시간 등 다양한 데이터들을 효과적으로 수집해서 고객에게 제공할 수 있지 않을까란 생각이 듭니다.


Technorati Tags: adware, myware, attention

Identity 블로거를 만나다

Channy님의 포스트가 다리가 되어 ETRI에 계신 김승현님이 제 블로그에 코멘트를 달아주셨네요.
(저는 엔씨소프트가 아니고, 이니텍에 다니고 있습니다^^)

제가 블로그를 쓰는 목적 중에 하나가

이렇게 재미없는 글을 읽어주는 사람을 만나는 것

이었는 데, 드디어 만났군요. 그래서, 오늘은 굉장히 기쁜 날입니다.

너무 반갑습니다.

그리고, 김승현님이 쓰신 Identity 2.0과 OTP 와의 관계에 대해서 첨언합니다.

현재 논의되고 있는 Identity 2.0은 user-centric identity system, 즉 사용자 자신이 자신의 digital Identity 및 정보에 대한 통제권을 가지면서 (또한 더 나아가서는 Kim cameron의 laws of identity를 준수하면서), digital Identity를 교환할 수 있는 시스템입니다.
OTP는 물론 Authentication mechanism으로 해석되어왔습니다. 하지만, OTP 장치와 이 장치에 대한 Identifier를 생각해본다면 쉽게 ID 관리 수단이 될 수 있음을 예상할 수 있습니다. 신용카드가 지불시스템에 있어서 개인의 Identifier인 것처럼요...

• 지불서비스 - 신용카드번호 - 신용카드의 소지 - 뒷면서명일치
• 웹서비스 - 아이디 - OTP장치의 소지 - OTP값
• 서비스 - Identifier - Identity - Authentication of assertion

위와 같이 유추해볼 수 있지 않을까요? 물론 위에서 '아이디'는 현재 논의되고 있는 Identity 2.0에서의 Identifier들(URL, GUPI 등)이 될 수 있겠지요...

Technorati Tags: OTP, Identity20

구글 비디오의 결제 시스템

eBay Strategies에서 구글 비디오 상점의 지불 시스템을 소개했습니다.
국내 카드는 될까해서 구글 비디오에 얼른 달려가봤더니...역시나

We're sorry, but this video is not available in your country.

스크린샷을 보시면 아시겠지만, 웹 기반 전자지갑입니다.
("중국발 해킹/피싱은 어쩔려나?" 하는 생각이 드네요...)



Technorati Tags: 구글비디오, 지불

Sun의 Identity 웹 서비스 데모

Sun사의 Identity System 설계자인 SuperPattern씨가 Liberty ID-FF 기반의 Single Sign-on과 ID-WSF 기반의 개인정보(속성) 교환 방법을 보여주는 데모를 소개했습니다.
LibertyAlliance가 얘기하는 Identity 웹 서비스가 궁금하신 분들은 이 데모만 대~충 봐도 알 수 있을 듯 합니다.


Technorati Tags: digitalIdentity, LibertyAlliance

MBTI 테스트 결과 : ISTJ

오늘 회사 교육 프로그램의 하나로 MBTI (한글)테스트를 했습니다.
제 유형은 ISTJ 입니다. 한국심리검사연구소의 해석은

실제 사실에 대하여 정확하고 체계적으로 기억하며 일 처리에 있어서도 신중하며 책임감이 강하다. 집중력이 강한 현실감각을 지녔으며 조직적이고 침착하다. 보수적인 경향이 있으며, 문제를 해결하는데 과거의 경험을 잘 적용하며, 반복되는 일상적인
일에 대한 인내력이 강하다. 자신과 타인의 감정과 기분을 배려하며, 전체적이고 타협적 방안을 고려하는 노력이 때로 필요하다. 정확성과 조직력을 발휘하는 분야의 일을 선호한다. 즉 회계, 법률, 생산, 건축, 의료, 사무직, 관리직 등에서 능력을 발휘하며, 위기상황에서도 안정되어 있다.

그리고, 다음과 같은 강점과 약점이 있습니다.


(강점)

• 정확하고 빈틈없이 일을 한다.
• 정해진 일과와 절차를 따른다.
• 집중력이 뛰어나며 사람들과의 접촉없이도 혼자서 일을 잘 한다.
• 조직의 유지가 안정적이며, 책임감이 강하며 끝마무리를 잘한다.

(단점)

• 변화하는 체계에 적응하는데 것이 어려울 수 있다.
• 변화를 좋아하지 않는 경향이 있다. 융통성이 부족할 수 있다.
• 자신의 욕구와 다른 욕구를 이해하지 못할수 있다.
• 그들 자신과 조직에 대한 그들의 공헌을 낮게 평가할 수 있다.

뭐, 조금 아닌 것 같은 부분들도 있지만 대체로 맞는 것 같습니다.

저의 I 성향을 E 성향으로 바꾸면 ESTJ, 사업가 형이 되는데요, 전에 많은 분들이 사업할 성격인 것 같다고 얘기한 것이 생각나는군요...

Technorati Tags: MBTI, ISTJ, 심리검사

2006년 Identity 전망

2006년 Identity 시스템은 세 가지 축으로 나뉠 것이고, 그 축이 더욱 공고해질 것이다라고 합니다.




그 축들은 위 그림에서 보는 것처럼, Company-controlled, "Microsoft"-controlled, user-controlled identity 입니다.

• Company-controlled identity는 LibertyAlliance 표준에 기반한 ID 관리 시스템으로써, 회사가 identity를 부여하고, 어떤 identity attributes들을 관리하고 공유할 것인가를 결정합니다.
• "Microsoft"-controlled identity는 WS-* 표준에 기반한 ID 관리 시스템으로써, Infocard 프로젝트를 통해 구현될 것이며, Windows Vista를 통해 광범위하게 적용될 것입니다.
• user-controlled identity는 개인이 Identity provider, 개인정보, 하나의 identity를 운용할 것인 지 아닌 지 등에 관한 모든 통제권을 가지는 시스템입니다. 가장 눈에 띄는 것은 URL을 identifier로 하는 YADIS 규격입니다.

현재 YADIS 메일링리스트에서는 netmesh(lid), sixapart(openid), sxip 등이 활발한 활동을 하고 있습니다. 이러한 활동과 위 그림에 비추어 2006년 Identity 관련 흐름을 조금 예측해봅니다.

1. 올해는 openid 기반의 typekey, sxip 기반의 sxore 등 user-controlled identity에 기반한 평판/코멘트 시스템을 채택한 블로그들이 늘어난다.
2. 그에 따라 user-controlled, URL 기반의 identity를 만드는 구독자들이 늘어난다.
3. Windows Vista와 함께 배포된 Infocard에서는 이러한 구독자들의 Identity를 지원한다.
4. 결국 이러한 사용자 중심의 움직임이 LibertyAlliance에 속한 회사들을 움직여서 user-centric identity가 채택되고, 해당 회사들이 제공하는 웹 서비스들이 변화된다.
5. user-controlled identity가 web 2.0의 신뢰기반구조가 된다 (?)

Technorati Tags: user-controlledidentity, identity20

사용자 중심 Internet Identity 포드캐스트

사용자 중심 Identity의 전문가들이 지금까지 이루어진 것과 올해의 전망에 대한 포드캐스팅을 했습니다.
URL/URI 기반 ID 관리 시스템에 많은 진전이 있었다는 것에 동의했다는군요.

관심있는 분들은 들어보시길...


Technorati Tags: Identity20

Liberty Alliance, Identity 2.0에 동참?

Liberty Alliance는 최근에 ID-WSF 2.0 프레임워크에 추가된 세 가지 업데이트를 소개했습니다.
그 중에서도 단연 눈에 띄는 것은 "Liberty ID-WSF People Service" 입니다. 원문을 인용합니다.

The Liberty ID-WSF People Service™, a key component in this latest release, is the industry’s first comprehensive platform for managing social information within an open federated network environment. People Service allows consumers and enterprise users to manage social applications such as bookmarks, blogging, calendars, photo sharing and instant messaging from a common layer within the ID-WSF 2.0 framework.

Identity 1.0은 각각의 웹 서비스들마다 자신만의 Identity를 관리하는 것입니다. 즉, 사용자가 두 개의 웹 서비스를 이용하고 있다면 서로 다른 두 개의 Identity(예: 아이디/비밀번호)를 가지게 됩니다.
Liberty Alliance는 "Circle of Trust"로 연합(Federation)한 웹 서비스들은 서로의 Identity들을, 보안과 프라이버시가 보장되는 방법으로, 공유함으로써 사용자에게 SSO(Single Sign-on), Single Logout 등의 편리함을 제공합니다. 즉, "Circle of Trust" 내에 있는 웹 서비스들에 대해서는 하나의 Identity 만을 유지하면 됩니다. 이런 의미에서 Identity 1.5라고 불리었구요.
그런데, 문제는 모든 웹 서비스들이 "Circle of Trust"를 만들고 SAML 토큰을 주고받을 수 있을까요? 답은 당연히 "아니오"가 될 것이며, 여기서부터 Identity 2.0의 개념이 시작됩니다. 즉, 웹 서비스 중심의 Identity 시스템은 결코 Internet-scale이 될 수 없으며, 사용자 중심의 Identity 시스템을 고안해야 한다는 개념말이지요!

위 인용문처럼 "Circle of Trust", SAML 토큰을 근간으로 하는 ID-WSF 2.0 프레임워크 위에 Identity 2.0의 개념이 제대로 성립될 수 있을까요?


Technorati Tags: LibertyAlliance, Identity20, PeopleService

리니지 게임과 계정 도용 방지

그동안 블로그 포스팅할 시간도 주지 않고 저를 괴롭히던 린OTP 서비스의 대 고객 테스트 서비스가 시작되었습니다.



린OTP는 핸드폰에 일회용 비밀번호를 생성하는 프로그램을 탑재한 후, 리니지 로그인 시에 아이디, 비밀번호에 부가적으로 핸드폰에 탑재된 프로그램이 생성한 비밀번호를 입력함으로써 계정 도용을 방지하는 서비스입니다.



이 서비스는 기존 계정 방지 서비스/솔루션과 비교하여 다음과 같은 탁월한 장점을 갖습니다.

• 아이디/비밀번호를 알고, 린OTP가 탑재된 핸드폰이 있어야 하는 Two-factor 인증 방법이면서도 핸드폰을 이용함으로써 소지가 편리한 Authentication Service 이다.
• 소액결제에 사용되는 SMS를 통한 인증방법과는 달리 린OTP 프로그램은 서버와 통신하지 않으므로 통신 및 SMS비용이 발생하지 않는다.
• PC에 별도의 추가 프로그램(ActiveX류^^)이 필요없다.(린OTP가 생성한 8자리 비밀번호만 로그인 시에 입력하면 되므로)

오늘은 저희 회사가 솔루션 회사에서 서비스 회사로의 첫발을 내딛게 된 중요한 날이자, 개인적으로는 Service Product Manager로써의 첫 결과물을 내놓는 날입니다.

윈도우 P2P와 Mesh 네트웍

차니님이 쓴 Firefox 기반 P2P 서비스를 읽다가 문득 전에 읽은 MS의 P2P 네트웍과 mesh 네트웍을 소개했던 글이 생각났습니다. 해당 글을 조금 인용하면,

For years I have been tracking the "wireless mesh networking" space.
This is where each node in a wireless network is a repeater/relay for any other
node that is within range. With true mesh technologies I can communicate
with other users, even if they are beyond the reach of my wireless signal, if
there are one or more nodes between us that are part of the "mesh"
network. Mesh networks are the next big thing ... even the cellular
carriers are talking about adding emergency mesh capabilities into cell
phones

마지막에 말이 항상 마음에 와 닿네요...
더군다나 오늘 KT에서 3월부터 강남, 분당, 신촌에서 와이브로 시범사업을 하겠다고 발표한 내용까지 연결해보면 아마 이러한 mesh network의 킬러 어플리케이션이 탄생은 우리나라에서 이루어지지 않을까요?
차니의 모질라 플랫폼 기반 어플리케이션에서 한 발 더 나아가, 와이브로 폰을 가진 사용자 혹은 PC사용자가 mesh network 위에서 P2P 서비스를 가능하게 하는 어플리케이션을 개발해야 하지 않을까요? 근데 KT의 와이브로 서비스는 mesh network 기능을 제공할까요?

구글 RSS 리더 API 공개

Technorati의 community manager인 Niall Kennedy씨는 Google Reader API를 소개합니다.

API를 통해서 할 수 있는 일은,

• 피드 가져오기
• 구독 리스트 가져오기
• 새글 목록 가져오기
• 읽은 글 목록 가져오기
• tag별로 새글 가져오기
• 별표처리된 글 가져오기
• 구독 리스트 추가/삭제
• tag 추가

이 정도면 거의 모든 것이 공개되었다고 해도 과언이 아니지요?

자!, 다음과 같이 자신의 블로그를 구글 리더를 통해서 배포해보시지요.

http://www.google.com/reader/atom/feed/ + [Feed URL]

해보시면 아시겠지만, 모든 피드 형식을 Atom 형식으로 변환해서 배포하고 있습니다.

• 구글 리더로 배포한 ChangHee Lee 블로그

즉, 이와 같이 Atom 형식으로 변환해줌으로써 구글은 데이터만을 배포하고, Presentation은 API를 사용하는 참여자(개발자)들의 몫으로 남겨두었습니다. Presenation에 확장성을 제공함으로써 간단하게 기존의 feed aggregation 서비스들을 능가할 수 있겠군요...

구글 리더 API 공개 소식과 양방향 웹과 미래의 데이터베이스에서 말씀드린 분산형 XML 데이터 저장소를 연결해서 생각해보면, "피드도 Google base(분산형 XML 데이터 저장소)에 저장될 데이터의 한 종류이다"라는 것을 보여주고 있습니다. 다양한 서비스를 통합된 기술로 처리하고, 해당 기술에 있어서 경쟁력을 확보할 줄 아는 일관성! 언제나 놀랍습니다.

구글은 블로그 검색에 있어서도 곧 1등이 되겠네요.

실전 웹 표준 가이드

Tabula Rasa 블로그에서 "실전 웹 표준 가이드"가 배포되었습니다.
Cross Browsing에 관한 좋은 (한글) 자료가 되겠네요...

• 문서
  

W3C, 웹 인증을 위한 워크샵 개최

W3C에서 피싱 등 웹 사이트를 통한 fraud 문제를 해결하기 위한 워크샵을 개최한다고 합니다. 아쉽게도 position paper와 관계가 없으면 참석할 수가 없네요...

Linksys CIT200 Skype phone review

Linksys에서 출시한 'Skype' 폰을 CNET에서 리뷰했습니다.

근데, 국내 AP 생산업체들은 왜 VoIP 폰을 만들지 않는 걸까요?
Skype과 제휴하여 자사의 무선랜 처리 기술과 접목하여 VoIP 폰을 개발하고 AP를 판매하면서 번들로 판매한다면 충분히 승산이 있는 얘기인 것 같은데 말이지요.

ADSL회선을 무선랜 AP를 통해 공유해서 사용하면서, 무선랜 AP의 수요는 급격하게 늘어났으며, 이는 무선랜 AP의 가격을 급락시켰고, 이런 낮아진 가격이 또한 무선랜 AP의 수요가 폭발적으로 증가하도록 했습니다.

이런 현상을 조금 더 연장해서 생각해보면, 케이블 업체들이 제공하는 인터넷 회선, 무선랜 AP, 집전화를 대신하는 VoIP 폰을 함께 제공하는 상품 또한 가능성이 있어 보입니다.

아뭏든 조만간 전화의 개방 또한 멀지않은 얘기인 것 같습니다.

마스터카드와 peppercoin 제휴

Payments News: MasterCard Supports Micro and Small Payments Via Aggregation Model

RSA 알고리즘을 만든 Ron Rivest 교수가 설립한 소액지불 회사인 PepperCoin과 마스터카드가 제휴를 했네요...
Aggregation Model이 궁금하신 분은 Rivest교수의 논문을 참고하세요...

tags : peppercoin, micropayment, mastercard

분산형 Identity 호환 규격, YADIS

YADIS의 탄생 배경을 설명하기 위해 YADIS 규격의 일부를 발췌합니다.

2005년 초, NetMesh는 분산형, URL 기반 personal digital identity 시스템으로써LID(Light-Weight Digital Identity)를 제안하고, 곧이어 Movable type의 Six Apart가 블로그 코멘트를 인증하기 위해 OpenID 규격을 제안했습니다.
이 두 시스템의 핵심 개발자들이 두 시스템이 상호보완적이다라는 것을 깨닫고, 두 시스템이 호환이 되도록 했습니다...

YADIS는 이렇게 탄생하게 되었고, 다음과 같은 설계 원칙을 따르고 있습니다.

1. Fully decentralized, and no one point of control
2. Let many (interoperable) flowers bloom
3. URLs as identifiers
4. REST-ful and easy to use for developers

YADIS를 identity 시스템으로 채택한 사이트에서 사용자와 웹사이트는 다음과 같은 시나리오를 사용합니다.

1. 웹 사이트는 사용자에게 "My URL"이라는 text field를 보여줌으로써, YADIS-enabled identifier를 요구한다.
2. 사용자는 "My URL" text field에 YADIS-enabled URL(LID 또는 OpenID URL)을 입력한다.
3. 웹 사이트는 YADIS Capability Discovery Protocol을 사용해서 사용자가 제시한 identifier를 사용하는 데 어떤 YADIS-compatible identity protocol이 필요한 지 결정한다.
4. 사용자를 인증한 후에, 웹 사이트는 사용자가 제시한 YADIS URL로부터 사용자 프로필을 얻는다.

YADIS와 비슷한 움직임으로써 Microsoft의 identity metasystem을 언급할 수 있겠습니다. 두 시스템은 철학에 있어서는 굉장히 비슷하지만, 구조에 있어서는 굉장히 상이합니다. MS의 identity metasystem은 아래 그림처럼 WS-*, SOAP 등을 사용합니다.


하지만, YADIS는 간단한 서버 기반 스크립트만으로 자신만의 identity system을 구축할 수 있습니다. 스스로 구축할 수 없는 경우에는 물론 호스팅하는 것도 가능하구요...

OpenID의 경우에는 typekey와 이미 연동이 되어 있으며, 스스로 구축하기 어려운 사용자를 위해 URL identifier를 위임하는 기능까지 갖추고 있습니다. Six Apart가 grass-root 접근 방법으로 movable type을 성공시켰던 것처럼, typekey를 de facto identity system으로 만들 수 있을까요?

technorati tag: YADIS, lid, openid, identity metasystem

양방향 웹과 미래의 데이터베이스

블로그와 RSS가 같다고 생각하세요?에서 feedburner가 meta-data를 사용해서 웹 사이트로의 피드백 채널을 제공하겠다는 내용을 소개했었습니다.
Infoworld의 Jon Udell은 RSS가 양방향이 되도록 확장하려는 MS의 노력과 feed format 이면서 동시에 publishing protocol 이기도 한 Atom을 사용하고자 하는 구글의 의도들을 언급하면서, 이것은 format이나 API에 관한 얘기가 아니고, 사람과 프로그램이 쉽게 읽고 쓸 수 있는 'loosely coupled sets of XML fragments' 로 구성되어 있는, data web의 등장에 관한 얘기라고 말합니다.

이 글에서는 구글의 CTO인 Adam Bosworth가 XML2003 keynote에서 "미래의 데이터베이스는 오라클, DB2, SQL과 같은 형태라기보다는 웹에 훨씬 더 가까운 형태일 것이다"라고 얘기한 것을 또한 인용하고 있습니다. 그 말의 연장선 상에서 미래의 데이터베이스는 Data web이고, 그 실례로써 Google Base, MS Fremont와 같은 서비스를 언급합니다.

data web이 의미하는 것이 뭘까요? RSS는 feed format으로써 누군가의 글을 XML fragments의 형태로 받기 위해서 사용되었습니다. 이렇게 글을 XML fragments의 형태로 받음으로써, 자연스럽게 Presentation과의 분리가 가능해졌으며, Anytime, Anywhere가 가능해졌습니다. 이것을 역방향으로 생각해보면, post하는 글들이 XML fragments가 되도록 하려면?

정답은 "Atom API를 사용해서 publishing 하는 것입니다."

즉, 이렇게 함으로써, 웹을 통해 XML 데이터들을 GET하고, INSERT하고 UPDATE할 수 있게 됩니다. 즉, 웹은 분산된 XML 데이터 저장소가 됩니다. XML 데이터는 무엇이든 될 수 있겠고, Google base는 실제로 이것을 보여주었습니다.

이제, 웹 저장소에 어떤 데이터들을 어떻게 창조할 것인가에 대한 고민을 통해 우리 각자의 서비스가 진일보할 수 있지 않을까요?

IE7과 피싱 방지

SSL사이트에 접속하면 브라우저 하단 상태 표시줄에 열쇠 모양의 아이콘이 생깁니다. IE7에서는 열쇠 아이콘을 주소 표시줄로 옮길 것이고, 피싱 사이트 경고나 피싱이 의심되는 경우에 대한 표시 또한 주소 표시줄을 이용하겠다고 합니다.

• 올바른 SSL 인증서를 가진 사이트에 접속하는 경우의 그림

• 피싱 사이트 접속 시 그림
• 피싱으로 의심되는 사이트 접속 시 그림

근데, 피싱 필터를 만드는 방법이 공개될까요?
혹은
피싱 필터로부터 정보를 주고 받는 방법이 공개될까요?

identity로 URL 사용하기

OPML을 만들고, UserLand Software를 설립한 Dave Winer씨는 OPML 피드에 저자를 표시하기 위해 전자우편 대신 URL을 사용할 것을 제안했습니다.

이런 제안은,
"5년전 OPML이 설계될 때에는 저자를 전자우편 주소로 명시하는 것이 직관적이었으나, 현재는 스팸메일의 문제로 공개문서에 전자우편을 명시하는 것은 좋지 않다."
로부터 시작되었으며, 그러면 무슨 정보를 식별자로 사용할 것인가? URL입니다.

LID의 Johannes Ernst씨는 Dave Winer씨의 제안을 소개하면서, 이제 URL을 식별자로 사용하고자 하는 기술들은 LID, OpenID, YADIS, 그리고 OPML이라고 소개합니다.

근데 한 가지 마음에 걸리는 것은 LID의 오픈소스 구현은 Sleepycat 라이센스라는 것입니다. 뭐, 규격서를 보고 스스로 구현하면 상관없겠지만요...

tags: URL, identifier, LID, OPML, 식별자

벽을 뚫고 도청하기

방 안에 있는 사람이 대화를 하면 그 사람의 옷이 진동하게 되는 데, 이 옷의 진동을 벽을 뚫을 수 있을 만큼 굉장히 높은 주파수의 전파를 벽을 통해서 방안으로 보내고, 반사되어 오는 전파를 분석해서 대화를 얻는다는군요.

반사되어 오는 희미한 전파로부터 도청을 하기 위해, NASA가 우주로부터 오는 신호를 분석하는 방법을 쓴다는군요.

자세한 것은 아래의 글들을 참조하세요...

• New Scientist 글
• Schneier씨의 블로그 포스트

technorati tags: security, 도청

마이크로소프트, 연락처와 일정 공유를 위해 RSS 확장

마이크로소프트에서 RSS와 OPML에 대한 Simple Sharing Extention을 배포했습니다.

MS의 CTO인 Ray Ozzie씨는 개인, 가족, 회사 등등 서로 다른 형태의 연락처 및 일정을 동기화하고 어떤 장치에서도 데이터의 상태를 알 수 있도록 하는 것이 왜 필요한가를 설명합니다.

technorati tags: SSE, Microsoft

블로그와 RSS가 같다고 생각하세요?

정답은 "다르다"입니다.

AttentionTrust의 이사회 멤버인 FeedBurner의 Dick Costolo씨가 작성한 "Feed가 상업적인 관점에서 왜 중요한가"에 대한 글을 참고하세요...

2003년에는 거의 모든 블로그가 피드(feed)를 가지고 있었고, 거의 모든 피드는 블로그로부터 만들어졌습니다. 2005년, 거의 모든 블로그가 여전히 피드를 가지고 있지만, 블로그와 관계없는 피드들이 수없이 많습니다. 예를 들면 검색 엔진이 검색결과를 피드로 제공하는 것, podcast, videocast 등은 블로그와는 관계없는 피드들입니다.



위 그림을 보면 차이가 명확히 보이시리라 생각됩니다.

피드의 장점으로 들고 있는 것을 인용하면,

1. A notification mechanism for updates to a specific channel of content
2. The ability to subscribe to content, creating a persistent link between publisher and subscriber
3. A semi-structured version of the content

FeedBurner는 피드에 meta-data를 더하는 방식으로 웹 사이트로의 feedback loop를 제공하겠다고 합니다.

이렇게 놓고 조금 생각해보면,

근데, 왜 FeedBurner의 Dick 씨는 AttentionTrust에 참여했을까요?
Feedburner는 피드 생산자와 소비자를 연결하는(즉 피드를 유통하는) 서비스입니다. 이런 관점에서 피드 소비자의 Attention은 당연히 중요한 요소겠지요?

meta-data를 더하는 방식으로 웹 사이트에 피드백 채널을 제공하겠다?
여기서 웹 사이트를 Google Base, Amazon 등의 웹 서비스로 대체하고, 인증/지불 채널을 meta-data로 표현할 수 있지 않을까요?

technorati tags: attentiontrust, attention, feed, rss, blog

새로운 Windows API와 Infocard

새로운 Windows API라고 할 수 있는 WinFX의 2005년 11월 preview 버전에 inforcard가 탑재되었고, WinFX에 탑재된 Infocard를 연동하기 위한 가이드가 배포되었습니다.

technorati tags: infocard, winfx, identity, security

XBox와 MS Points

Microsoft preps Xbox download service - vnunet.com
마이크로소프트가 XBox live의 다운로드 서비스의 지불시스템에 사용하기 위해 Microsoft Points라고 하는 e-money 시스템을 시작할 것이라고 하는군요...

Google Wallet에 이어서 또 하나의 pre-paid 캐쉬 시스템의 등장입니다.

technorati tags: 지불, e-money, pre-paid, payment, microsoft

Phishing과 검색엔진

StreamShield사는 피싱 방지 기술에 대한 특허를 출원했다고 합니다. CSG-3100 content security gateway라는 장비는 피싱메일의 폭주를 막고, 가짜 URL을 추출해서 이상한 웹 사이트로의 접근을 막고, e-commerce 사이트의 digital fingerprinting을 이용하여 웹 컨텐츠가 합법적인 사이트로부터 온 것임을 안다고 하는군요...

제가 출원한 가짜 URL을 추출하는 방법을 간단하게 소개하면,

1. 메일로부터 수신자가 오인했을만한 인식단어(예:국민은행 등)를 검출한다.
2. 검출된 인식단어로 검색엔진을 질의한다.
3. 검색결과 중 상위 5개 정도를 메일에 링크된 사이트 URL과 비교한다.
4. 비교결과 같지 않으면, 수신자에게 피싱이 의심됨을 알린다.

인데요, 주요 아이디어는 "검색엔진의 상위사이트일수록 지명도가 있고, 당연히 피싱사이트일 확율이 떨어진다"인데요, 검색서비스의 부가서비스로 메일필터링도 괜찮아 보이지 않나요?

technorati tags: 검색엔진, 피싱, phishing

Sony DRM Rootkit에 대한 진짜 이야기

Schneier씨는 Wired지에 기고한 Sony's DRM Rootkit: The Real Story 에서,

소니가 초기에는 이 문제를 수수방관했다는 것
거의 5천만대에 가까운 PC가 감염되었다는 사실
소니가 rootkit을 만드는 데 OpenSource 저작권을 어겼다는 사실

"이 모든 것은 진짜 이야기가 아니다!",

라고 하면서 중요한 것은,

5천만대에 가까운 PC가 감염될 동안 왜 바이러스 회사들은 이 사실을 경고하지 못했을까? (혹은 안했을까?)
라는군요!

technorati tags: 보안, security, drm, rootkit, 루트킷, 소니, sony

Yahoo Store, Paypal 지불 서비스 사용

Yahoo Stores가 페이팔 지불 서비스를 도입했다는군요.

Technorati Tags: paypal, yahoo

구글 베이스와 이베이 전쟁 1막

eBay Strategies에서 구글 베이스와 이베이에서 각각 상품 검색 비교를 했습니다.

iPod 이베이 검색 결과

iPod 구글 베이스 검색 결과

승자는 구글 베이스입니다.

재미있는 것은 eBay에서 새로운 검색 엔진의 베타버전을 만든 수퍼 개발자 Louis Monier가 구글로 옮겼다는 군요^^

Technorati Tags: 이베이, eBay, Google Base

클립아트 파일의 치명적 보안 헛점

윈도우 업데이트 하세요.

마이크로소프트에서 Windows clip art에 사용되는 WMF와 EMF 파일을 처리할 때 치명적인 보안 헛점이 있다고 발표했습니다.

윈도우 업데이트 하세요

Technorati Tags: 보안, 클립아트, 윈도우, window, security

컨버전스 수익모델의 원칙

딜로이트 컨설팅 Technology, Media Telecommunications Group에서는 컨버전스 시대의 수익모델을 만들기 위해 지켜야하는 7가지 원칙을 제시했습니다.

1. driven by customer needs, not technology
   
2. Commercial creativity
3. mutual benefit for the parties involved
   
4. Convergence and divergence can coexist
   
5. Laggards lose
   
6. Timing
   
7. Convergence winners and losers are ever changing
   

뭐 별다른 것은 없는 것 같습니다만, 읽어보시면 나쁘지는 않을 듯...

Technorati Tags: convergence, principles

Schneier on Security: Still More on Sony's DRM Rootkit

Drifter님이 잘 정리해놓으신 Sony rootkit에 대한 얘기입니다.

Sony에서는 rootkit을 포함하는 CD의 생산을 중단하고, 매장에서 회수하고, 무료교환을 하겠다고 했답니다. 그런데,

Kaminsky라는 보안연구원의 보고에 의하면 이미 최소한 50만대의 컴퓨터가 rootkit에 감염되었을 것이라고 하네요. Sony의 rootkit은 CD가 컴퓨터에 설치되면, 통계적인 방법으로 샘플링된 컴퓨터에 대해서 sony로 알려주도록 했답니다.

상세한 내용은 Schneier씨의 글을 참조하세요.


tags : sony, drm, rootkit

IIW2005 podcast

현재는 Brigham Young 대학의 교수이고, Utah 주의 CIO로 있었던 Phil Windley씨가 주최한 Internet Identity Workshop 2005의 audio들이 podcast로 제공됩니다.

MS, LibertyAlliance, XRI, Identity 2.0, LID 등 기대되는 발표들이 많이 있네요.

tags : IIW2005, digital identity

아마존과 태그

아마존의 사용자들은 자신의 살펴본 상품에 대해서 tagging을 할 수 있고 나중에 해당 tag를 이용해서 쉽게 상품을 검색할 수 있다고 합니다.

더우기, 다른 사람들의 tag를 통해서 해당 상품을 찾을 수도 있다고 하는군요.

아마존의 Mechanical Turk

아마존의 mechanical turk 서비스를 소개합니다. 이 서비스는 HIT(Human Intelligence Task)라는 개념을 소개합니다. 가령, "사진에 피자가 있느냐?"라는 질문에 대한 답을 컴퓨터로 찾기는 어렵지만, 사람이 찾기는 쉽다는 것입니다. 이러한 개념에서 출발해서,
여러가지 질문에 대한 답을 해주면 돈을 주겠다는 것이 이 서비스의 개념입니다.

이제 점점 네트웍의 힘을 이용한 참여 기반의 서비스가 돈과 연결되는 것 같습니다. 가입해서 어떤 질문들이 오는 지도 보고 돈도 벌어볼까요?

tags : mechanical turk, amazon

아마존 특허와 Attention

Amazon.com이 미국 특허 6,963,848을 획득했답니다. 내용은 "methods and system of obtaining consumer reviews" 입니다.

Niall Kennedy씨가 언급한 재미있는 점들을 인용하면,

• The predetermined amount of time may be independent of the length of the book or the type of book.
  
• The predetermined amount of time may be greater for a relatively longer book or for a non-fiction work, as opposed to fictional work.
  
• The review request may be sent or presented specifically on weekends or holidays, when people are more likely to have free time to provide such reviews.
  
• If the customer has previously ordered a new book on the average of once a month and/or previously submitted reviews an average of one month after ordering a book, then a review request may be sent to the customer one month after the purchase or delivery of a new book.
  
• The merchant or other review collector can identify and verify that the review comes from an actual purchaser or user of the item being reviewed.
  
• A reward or incentive may be offered to further encourage the customer to provide a review.
  
• The reminder or request may be presented to the customer when the customer visits certain web sites, such as a web site associated with the merchant which sold the item to the customer.
  

정리하면, 상품에 대한 review를 쓸만한 사람에게 review를 의뢰하고, 해당 review로부터 고객의 상품 구매가 일어나면 인센티브를 부여한다는 내용입니다.

지난 번 소개한 Attention과 아마존의 아이디어를 결합한다면 이렇게 되지 않을까요?

1. 특정 상품에 대한 attention을 가지고 있는 사람들에게 review 요청을 한다.
2. 요청을 받은 사람은 자신의 블로그 또는 아마존 사이트에 review를 올린다.
3. 아마존은 해당 review를 해당 상품에 대한 attention을 가진 사람들에게 feeding 한다.
   
4. 아마존은 해당 review로부터의 수익에 대한 인센티브를 제공한다.

결국 경계없는 clickstream(attention)과 Adsense의 결합이 되는 건가?


tags : amazon, patent, attention, commerce

AttentionTrust Verified member

Attention Trust의 Verified Member가 되었습니다. Verified member가 되면, AttentionTrust ApprovedService를 만들 수 있는 권한이 주어집니다.

한글로 된 Attention 관리 서비스를 만들어 볼까요?

tags : attention, AttentionTrust

타이핑 패턴으로 인증하기

사람들마다 타이핑하는 패턴이 유일하다(?)는 점을 이용한 인증 소프트웨어가 나왔다고 합니다. 백오리피스가 깔려있는 PC에서는 아무 의미가 없겠으나 핸드폰과 결합된다면 상당히 효과가 있겠네요...

아니면, 계산기 같이 초저가 입력장치와 인증 소프트웨어를 묶어서 인증 하드웨어로 만들면 쓸모가 있을 듯...

Technorati Tags: 인증, Typing, Security, 보안

Physical mashup (바코드 URL + 위키피디어)

여행을 하다가 해당 건물 또는 유적지에 대해 궁금한 것이 있으면?
Semapedia 프로젝트는 다음과 같은 Physical mashup을 제안합니다.

1. 휴대폰을 켠다
2. 건물에 있는 semacode를 휴대폰으로 인식한다.
3. 휴대폰은 semacode에 삽입되어 있는 위키피디어 URL을 인식하고 연결한다.
4. 위키피디어의 생생한 안내글을 읽을 수 있다.

우 리나라 이통사들이 NATE code 또는 핫코드라는 이름으로 서비스하고 있는 것과 동일한 개념입니다. 이통사들은 수익모델을 위해서 시스템을 개방하고 있지 않은 데...과연 이렇게 발전해가는 Web 2.0 mashup들과 경쟁이 될까요?

tags : web20, semacode, barcode, wikipedia

Google Base와 Web 2.0 상거래

harris님이 구글의 신병기라고 소개한 Google Base에 대해서, Scot Wingo씨는 Ebay-er의 관점에서 Google Base의 여러 가지 면을 소개합니다.

Web 1.0 시대의 전자상거래는 쇼핑몰을 구축하고, 광고하여 해당 사이트의 페이지 뷰를 최대한 높이고, 해당 페이지 뷰가 주문으로 이어질 수 있도록 사이트를 개선하는 방식입니다.

Web 1.5 시대의 전자상거래는 아마도 옥션을 필두로 현재 대부분의 쇼핑몰에 판매방식을 차지하고 있는 오픈마켓의 형태가 아닐런지요? 즉, 많은 판매자들이 인지도가 높은 쇼핑몰에 입점하여 판매를 하는 방식.

Google Base의 접근 방식은 Web 1.5 방식의 전자상거래에 검색을 접목시켰다는 점에서 조금 나아졌다고 생각은 들지만, 여전히 판매자는 자신의 물품을 등록하고 관리해야 합니다(아이템 관리 스크린샷, 등록 스크린샷). 즉, 자신의 상품을 Google Base에 입점시켜야 합니다.

Web 2.0 시대의 전자상거래는 웹 자체가 상점이 되어야 합니다. 웹 상의 모든 블로거들은 RSS로 컨텐츠를 퍼블리싱하고, 이를 어딘가에 있는 구독자가 소비합니다. 블로거를 판매자, 구독자를 소비자로 바꾸고, 거래기능을 접목시킨다면 그것이 진정한 Web 2.0 시대의 전자상거래가 아닐까요?
앞서 설명한 Web 1.5 시대의 전자상거래에서는 판매자들이 특정 울타리안에 존재합니다(옥션, 인터파크, G마켓 등). 하지만, Web 2.0 시대에 판매자들은 어느 곳에서나 자신의 상품을 tagging하여 publishing 할 수 있어야 하고, 소비자들은 technorati 등과 같은 서비스를 통해서 검색하고, 구매할 수 있어야 합니다.

이렇게 생각하다보면 channy님이 이전 포스트에서 코멘트했듯이 소액지불과 identity가 중요한 요소가 됩니다. 이런 Web 2.0 시대의 전자상거래에 필요한 지불 및 identity는 어떤 구조여야할까요? 상품은 어떤 식으로 퍼블리싱되어야 할까요?

tags : Google Base, Web20, 전자상거래, Commerce, payment

Identity 2.0과 AttentionTrust

좀 늦었지만 Web 2.0 2004년 포드캐스팅 중 PlatformRevolution을 들었습니다.
도입부에 플랫폼이 뭐냐는 질문에 대해서 구글의 CTO인 Adam Bosworth의 답변,

"플랫폼의 전형적인 두 가지는, 많은 가치를 사람들에게 전달하고, 수천/수백만의 사람들이 서비스(기능)를 확장하는 것이 가능하도록 하는 것이다."

이와 같은 답변과 sxore를 살펴본다면, Identity 2.0은 블로그 스팸을 제거하는 데 기여함으로써 가치를 제공하는 것이다라고 할 수 있습니다. 이와 같은 노력들은 TypeKey, Opinity, lid 등에서도 볼 수 있습니다.

하지만, 많은 사람들은 블로거가 아닙니다. 또한 모든 사람이 블로거가 되리라 생각하지 않습니다. 하지만, 블로거보다 훨씬 더 많은 사람들이 블로그 읽기 또는 블로그 기반 상거래에는 참여하리라 생각됩니다. 이런 관점에서 AttentionTrust 를 주목해야 합니다.

간단하게 AttentionTrust를 소개한다면, 웹을 통한 transaction/navigation history는 당신 개인의 것이며, 당신 스스로에게 통제권이 있어야 한다는 것입니다.

Digital Identity를 만들려는 노력과 개인의 Attention에 대한 권리를 찾으려는 노력이 결합될 때, Identity 2.0이 완성되지 않을까 생각합니다. 이렇게 되면,

• 사업자는 개인의 Attention을 이용하여 좀 더 효율적인 마케팅을 하고(Attention search와 상품을 연결?),
• 개인은 Attention을 제공함으로써 상응하는 이익을 얻고,

이거 진정한 소비자보호 운동 아닌가요?

tags : identity20, attention

복사기 워터마크 해독

제록스 컬러 복사기에 포함된 워터마크가 깨졌습니다. 복사기에 워터마크를 포함시킨 이유는 컬러복사기로 위조지폐를 만드는 것을 막기 위함이라고 하네요. 파란색 불빛 아래에서 보면 노란색으로 워터마크가 포함되어 있는 것을 확인할 수 있답니다.
EFF(Electronic Frontier Foundation)에서 해독했으며, 디코딩 소스코드도 공개했습니다.

tags : 복사기, 워터마크, 해독

Web 2.0과 Identity

PingID의 Eric Norlin은 “Identity가 Web 3.0 시대를 열 것인가?”라고 묻습니다. 웹 2.0은 Open, Community, Architecture of Participation의 세 가지 특성을 가지고 있으며, 많은 웹 2.0 회사들이 공감하고 있는 것은 “open, portable and user-controlled” identity에 대한 필요성이라고 하네요.tags : web20, identity

핸드폰 Skype을 만나다

Linksys에서 Skype을 탑재한 핸드폰을 출시했습니다(리뷰).
그리고, 스타벅스가 네스팟존이 되었습니다. 이제 스타벅스 죽돌이들이 Skype 폰을 사서 서로 무료통화를 하는 그런 세상이 곧 오겠군요…

이로써, iTunes를 탑재한 핸드폰에 이어 Skype을 탑재한 핸드폰이 나왔군요. 서비스와 하드웨어가 만나고 있습니다. 근데, Skype은 현재는 Skype out 으로 돈을 벌고 있는 데, 이렇게 점점 더 많은 사람이 Skype 폰을 가지게 되면 도대체 어떻게 돈을 벌게 될까요? 도메인회사들이 돈을 번 것처럼 VoIP 전화번호 장사로? 궁금해지네요.
tags : skype, voip, 인터넷전화

Paypal, VeriSign 지불결제 사업부 사다

Paypal이 Verisign과 전략적 제휴를 맺었으며, 지불 사업부를 인수한다고 합니다. 가격은 3700 억이라고 하네요. 제가 개인적으로 관심을 가지는 것은 지불과 인증 시장이 만나고 있는 것입니다. 원문을 조금 옮겨보면,

At eBay, we're always looking for additional tools and technologies to improve the security of our community's accounts and ensure the privacy of information. Two-factor authentication will be another important way customers can shop safely on eBay and pay with PayPal

왜? 인증은 리스크를 줄이는 것이기 때문입니다.

tags: 지불, 인증

마이크를 통한 패스워드 공격

버클리의 학자들이 마이크를 가지고 패스워드를 훔쳐내는 놀라운 공격법을 연구해냈습니다.

패스워드를 훔쳐내고 싶은 곳에 마이크를 설치하고 10분 정도 녹음을 하면, 해당 사용자가 입력한 모든 글자들을 녹음한 소리로부터 복원할 수 있다는군요...

이제 도청이 아니고, 도타가 가능해진 건가요?

게임방에 마이크 하나 설치해놓으면, 온갖 재미있는 타이핑들을 들을 수 있겠네요...^^

tags : 패스워드, 공격법, 보안

Google RSS Reader 베타

구글에서 웹 기반 RSS Reader 베타 서비스를 시작했습니다.

• Gmail의 Starred 기능


• category에 의한 subscription 분리


• Gmail에 있던 단축키 기능


• 각 기사마다 label 관리를 통한 분류


• 기존의 Gmail 계정과 통합된 Id 관리

Bloglines 쓰고있었는 데, 옮겨야겠네요…근데 한 가지 아쉬운 점은 Bloglines에서 export 한 OPML이 import가 안되는군요…이유가 뭘까?

"전자거래 안전성 강화 종합대책의 함정" 기사화

제가 전자거래 안전성 강화 종합대책의 함정에서 지적했던 내용이 기사화되었네요. 정통부 관계자는 “사용자 불편과 SMS 비용”을 근거로 다른 대안들은 어렵다고 하는 데…
어차피 대안이 되지 않을 방안을 고민하고, 발표하고, 곧 무용지물이 될 바에야 보다 근원적인 방법을 효율적으로 도입할 수 있는 방안을 모색하는 것이 맞지 않을까요?

전자거래 안전성 강화 종합대책의 함정 !

정통부에서 “전자거래 안전성 강화 종합대책”을 발표했습니다. 보안카드의 안전성을 제고하는 방법으로 제시된 것이 2개 번호의 조합을 이용하는 방식인데요…

기존에는 “3번에 해당하는 값을 입력하세요”와 같은 질문을 던졌다면, 강화된 보안방식으로는 “3번의 앞 두자리와 35번의 뒤 두자리를 입력하세요”와 같은 질문을 던지게 됩니다.

정통부 고시 자료에 보면, 생성가능 경우의 수는 35*34 = 1190 으로 표시가 되어있습니다. 하지만, 이 계산은 질의값을 보내는 통신채널과 응답값이 전달되는 채널이 다른 경우에만 가능한 얘기입니다.

만약, 같은 채널을 사용하게 된다면, 경우의 수를 다시 계산해봅시다. (아래 표기에서 F는 보안카드의 네자리 숫자중 앞 두자리, S는 뒤 두자리를 의미합니다. 즉, F1은 첫번째 질의값에 해당하는 응답값의 앞 두자리를 의미합니다.)

(첫번째 질의값, 두번째 질의값, 첫번째 응답값, 두번째 응답값)의 형태로 표현하면,
(1, 2, F1, S2)
(1, 3, F1, S3)
…
(1, 35, F1, S35) -> 여기까지 F1과 S2~S35 값을 모두 알게됨
(2, 1, F2, S1)     ( 이때 F2의 값을 알게되고, 첫번째 질의값이 2인 경우의 모든 값을 알 수 있음 (왜냐하면, 이전단계까지 S2~S35 값을 모두 알고 있으므로)
이후에는 (3, 1)인 경우, (4, 1)인 경우에만 알 수 없으므로 총 경우의 수는

첫번째 질의값이 1인 경우의 수 = 34개
첫번째 질의값이 2~35인 경우의 수 = 34개

즉, 총 경우의 수는 68개입니다. 따라서, 2개 번호를 조합하는 방식을 쓰는 경우에 경우의 수를 1190개로 만들려면, 질의값을 전송하는 채널과 응답값을 보내는 채널이 달라야합니다.

인터넷 실명제와 Digital Identity

일정 규모 이상의 포털에 실명제가 도입된다고 합니다. 현재 정통부에서 추진하고 있는 “주민번호 대체수단”, “인터넷 실명제” 등 인터넷 상에서의 본인확인 문제와 Digital Identity의 부재로부터 기인한다고 할 수 있습니다.
제 직장동료에게 Global Optimum에 대한 얘기를 자주 듣는데요, 국내에서 추진하고 있는 “주민번호 대체수단”은 Local Optimum을 추구하고 있는 데 반해서, Typekey, Sxip, lid, I-name 등은 Global Optimum을 추구하고 있다는 생각이 듭니다.
그린버튼이 나아가야할 다음 단계는 “World garden of Users”를 위한 서비스가 아닐까요?

Technorati tag: 그린버튼, 인터넷 실명제, Digital Identity

MS 워드에서 블로거에 글쓰기

MS 워드용 블로거 포스팅 도구가 발표되었습니다.
워드에서 기존 문서를 불러다가 편집할 수도 있고, PC에 저장해두고 있다가 완성되면 포스팅할 수도 있고…괜찮네요…
특히, 이제 일하는 것 같이 포스팅할 수 있다는 것이 무엇보다 마음에 드네요…흐흐흐
드디어 웹 서비스가 데스크탑을 점령해가고 있는 듯한 느낌이 듭니다.

블로거의 동료기능을 이용한다면, 자연스럽게 회사의 Whitepaper나 기술문서 같은 것들을 작성할 수도 있겠군요...

본 포스팅을 작성하는 스크린 샷입니다.

Identity 2.0과 Web 2.0

Sxip의 Dick Hardt씨는 Digital ID world 2005에서 Identity 2.0에 대한 발표를 했습니다(오디오).
그는 발표에서, "Identity 1.0은 현재 회사의 인사 시스템처럼 회사의 경계를 벗어나지 못하는 Identity이며, identity 1.5는 LibertyAlliance와 같이 Circle of Trust(일종의 공동 계약) 안에 있는 회사들 간에는 주고 받을 수 있는 Identity이며, Identity 2.0은 누구에게나 전달할 수 있으며, 개인이 통제권을 가지는 Identity 입니다."

Wayne Hall씨는 "디지털 경제의 번성을 위한 한 축은 Web 2.0이며, 다른 한 축은 Identity 2.0이다"라고 말하면서 User-centric Identity 2.0 Web의 중요성을 강조합니다.

개인적으로 Identity 법칙에 대한 논쟁부터 관심을 가지고 지켜보고 있었는데, 이제 서서히 논쟁에서 벗어나 실현 단계로 접어들고 있는 것 같습니다.

Technorati tag: Identity2.0, Identity 법칙

차세대 웹, Web 2.0, Adaptive Web

차세대 웹으로의 진화단계입니다.

9번째 단계로 Identity Management가 언급되었네요, 근데 국내에서는 일곱번째 단계 이후의 서비스는 찾아볼 수 없는 것 같네요...

사사미로 작성한 첫번째 게시물

시험삼아 사사미로 포스팅합니다.
천지인으로 열심히 두드려서...잘 되네요...

요즘 사사미에 egress 올려서 블로그 읽기를 하고 있는데요, 블로그라인과 Feed list 및 컨텐츠 동기화가 너무 잘 되네요...

SHA-1 해독 및 TLS, IPSec에 대한 영향

중국 암호학자들이 SHA-1에 대한 새로운 암호 해독 결과를 발표했다고 합니다.
brute force 공격을 통해서 SHA-1을 해독하려면 2⁸⁰번 시도를 해야하고, 이전에 발표에서는 2⁶⁹번 시도를 하면 된다는 결과였는 데, 이번에 발표된 것은 2⁶³번 시도하면 된다고 하는군요...

잘 모르시겠다구요? 한 마디로 전자서명값이 같은 두 개의 문서를 찾기 위한 시간이 엄청나게 많이 단축되었다는 얘기입니다.

가령 이런 공격이 가능해집니다.

1. 전자서명된 계약서들을 긁어모은다
   
2. 암호학자들이 고안한 방법에 따라 긁어모은 계약서들과 동일한 전자서명값을 가지는 다른 문서들을 찾는다.
   
3. 위 결과 계약서의 중요부분(예: 계약금액)이 다르면서, 동일한 전자서명값을 가지는 문서를 찾는 경우 계약을 속일 수 있다.

위의 계약은 인터넷 뱅킹 계좌이체, 쇼핑몰 30만원 이상 거래, 전자입찰 등 공인인증서 거래가 해당됩니다.

위 암호 해독이 TLS, S/MIME 등에 미치는 영향에 대해 분석한 논문도 참고하세요...

technorati tags : 암호 , 보안 , SHA-1 , 해독

번호이동,무선랜,블로그라인

한동안

"핸드폰을 바꿔야지...",
"Workpad 바꿔야지...",
"근데 둘 다 한꺼번에 할 수는 없을까?"

하고 생각하다가 장고끝에 SPH-M4300 질렀습니다.
3주째 접어들고 있는 데, 아주 만족하고 있습니다. 몇 가지 만족스러운 점들을 적어보면

1. Conference Archives 듣다가 전화오면, 전화받고 끊으면 듣던 것이 이어진다
   
2. 어찌보면 당연하지만, 천개정도의 연락처가 동기화된다. 이제 명함을 한 군데에서만 입력하면 된다. (이전에는 Palm Desktop에서 입력하고, 또다시 outlook으로 입력해야 하는 불편이 있었습니다)
   
3. PDA에서 검색해서 전화번호를 찾은 후 전화하는 닭짓을 그만두어도 된다.
   
4. 집에서 무선랜이 되므로, 블로그라인을 읽을 수 있고, 따라서 노트북을 집에 들고가지 않아도 된다.
   
5. 여러 가지 문서들을 읽을 수 있다 (표준문서, Whitepaper, 성경 등)
   
6. 디카를 들고 다니지 않아도 아로를 찍어줄 수 있다 (사진품질이 훌륭하지는 않지만, 블로깅하기에는 충분할 듯 합니다)
   

뭐, 이 정도면 성공이지요?

참고로 집에 무선랜도 함께 설치했는데요...
처음에는 Zio WLB5054AIP 모델을 구매했는 데, 사사미와 호환이 되지 않아서 반품하고 LINKSYS WRT54G 모델로 다시 구매했고 지금 집에서 블로그라인 잘 읽고 있습니다.

이제 가능한 많은 이들을 Skype으로 끌어들이면 무료통화까지...ㅎㅎㅎ

피싱 툴바

간단하게 설명해보면,

1. 피싱 툴바를 설치한다.
2. 피싱 사이트 리스트에 있는 URL 방문시 피싱 사이트 경고를 한다.
3. 툴바가 피싱 경고를 하지 않았지만 피싱사이트라고 의심이되면 신고한다
4. 신고된 URL은 피싱 사이트 리스트에 추가되어 다른 툴바 사용자에게 도움을 준다

대표적으로 Netcraft Anti-phishing Toolbar, GeoTrust TrustWatch 등이 있습니다.
이제 피싱도 바이러스처럼 업데이트해야 하는 시대가 곧 도래할 것 같네요

Technorati tag : 피싱, Phishing

BlackHat 2005

BlackHat 2005 발표자료가 배포되었습니다.

특히 오라클 Advanced SQL Injection, 피싱, VoIP 보안, 웹 서비스 공격, 안티바이러스 소프트웨어의 약점 등 Application Security 관련해서 좋은 내용들이 많습니다.

Money Auction ?

zopa 라는 영국회사의 사업모델은 돈을 상품으로하는 경매 시장입니다. 영국 온라인 은행 Egg 창업자들이 만든 회사입니다.

어떻게 하냐구요?
이 회사는 돈을 빌려주려는 개인과 돈을 빌리고자 하는 개인을 연결해줍니다. 물론 연결 수수료로 1%를 받기는 하지만, 브로커들이 없으니 당연히 높은 수익율로 돈을 빌려줄 수 있고, 낮은 대출이자로 돈을 빌릴 수가 있습니다.

"Social Networking으로 어떻게 돈을 벌 수 있을까?" 하고 생각했었는 데, 이 모델이 답이 아닐까요? 궁극적으로 온라인 상의 평판을 이용해서 거래를 하는 것!

발송자 위변조 스팸메일 포털 서버서 자동 차단

발송자 위변조 스팸메일 포털 서버서 자동 차단을 하겠다고 합니다.

E-mail Authentication에 대해서는 이 글을 보시면 많은 도움이 되실 것 같은데요...

왜 SPF?
기사에 보면 SPF를 채택하겠다고 나와있는데요, 이 기술은 간단하게 말하면 NHN의 outbound 메일 서버의 IP 리스트를 배포하고, 메일 수신자들은 수신한 메일이 nhn으로부터의 메일인 경우 메일 송신자의 IP가 NHN의 outbound 메일 서버 IP 리스트에 있는 지 체크한다는 것입니다.
하지만, 이 기술의 경우 DNS 시스템이 폐쇄형이란 가정이 있어야 합니다. 왜냐하면 스패머들이 합법적인 도메인을 등록한 후 Unicode URL 등의 기법을 사용하여 피싱을 시도하면 마찬가지 얘기가 되기때문입니다.

DomainKeys가 더 나은 방법이 아닐까요?
DomainKeys는 Yahoo가 제안한 방법으로써 메일 송신서버가 사용할 개인키에 대한 인증서를 공개한 후, 모든 메일을 전자서명하여 송신하는 것입니다. 메일 수신자는 송신된 메일의 전자서명을 확인하여 맞지 않는 경우 메일을 스팸으로 분류하라는 것인데요. 전자서명법을 비교적 일찍 시작하여 공인인증서 천만 사용자를 보유하고 있는 이 나라에서 SPF 보다는 Domain Keys가 더 나은 방법이라 생각합니다.

Technorati tag : Email+Authentication

브라우저의 피싱 대책 전략

Financial Cryptography에서는 Microsoft, AOL, Mozilla 등 브라우저의 anti-phishing 정책을 비판하면서 이런 접근은 대안이 될 수 없다고 합니다.
브라우저 업체의 정책을 살펴보면 "피싱으로 의심이 되는 사이트 리스트"를 브라우저가 감지할 수 있도록 한다는 것입니다. 해당 Blacklist는 phish report network을 통해서 유지되며, 이 네트웍은 WholeSecurity라는 회사가 관리합니다.

Phish report Network은 MS, eBay, Visa가 후원하네요...

바이러스, 스파이웨어, 피싱...!?

Technorati tag : 피싱

안전한 RSS 피드

신용카드 청구서 등 사적인 내용의 피드를 어떻게 안전하게 전달할 수 있을까요?

Joe Gregorio 씨는 Greasemonkey를 통한 RSS 암호화를 제안합니다.

Gregorio씨는 피드를 패스워드로 막는 것은 aggregator에게 패스워드를 알려줘야 하기 때문에 안되고, Atom Spec에서 제안한 XML Encryption의 경우에도 Atom Spec이 완료되지 않았고,
aggregator들이 XML encryption을 지원하지 않기 때문에 안된다고 하면서, Greasemonkey를 사용한 RSS 암호화를 제안합니다.

구체적인 시나리오는 다음과 같습니다.

1. RSS 피드의 description element 내에 컨텐츠를 암호화하여 넣는다.
2. 해당 피드를 syndicate한다
3. Bloglines같은 웹 기반 aggregator에 해당 피드를 등록한다.
4. aggregator를 사용해서 피드를 볼 때, greasemonkey는 description이 암호화되어 있음을 알고 복호화한다.

실제로 테스트를 해보시려면, Bloglines 계정이 있어야 합니다.
greasemonkey와 securesyndication.user.js를 설치하고, Bloglines 계정에서 test feed 등록을 하고 구독을 하면 다음과 같은 글을 얻을 수 있습니다.

This is a Blowfish encrypted message.
The unencrypted content in this div should remain unchanged.

암호화하기 전에 피드 데이터는 다음과 같습니다.

WORK:C7FDDC3B50FF0BE0E6F47CBD54AC149FA6E42F1D-D9C8AEA48F4D400B6970C14082858FF94901795DBE1C7D3-80ED6AA16A1B2F8039C6782D604F1CA906A6F1C7CFEB52-DED873A557228333D3A6E8B3712BD115C4AC0643B86

The unencrypted content in this div should remain unchanged.

이제 신용카드, 각종 영수증을 E-mail말고 RSS로 받아볼 수도 있지 않을까요?
(근데, IE7은 이런 기능을 지원할 수 있을까요?)

Technorati tag : Secure RSS

주민번호 대체수단 정책 워크샵

28일-29일 주민번호 대체수단 정책 워크샵이 개최되었습니다.
소시모에서 주민번호 대체 수단 마련을 위한 여론 조사를 했는데요,

재미있는 결과 몇 가지를 소개하면,

• 95.5%가 주민번호를 대체할 수 있는 다른 수단이 강구되어야 한다
• 93.4%가 주민번호 대체 수단 도입이 필요하다
• 91.6%가 새로운 대체 수단을 사용할 것이다.
• 66.3% 대체 수단 관리 기관끼리 정보를 주고 받는 것은 안된다

회원가입 시 주민번호를 입력하는 것에 대부분 거부감을 가지고 있다는 결과인 것 같습니다.

저희 회사는 오늘 "주민번호 보호수단 적합성 심사 신청"을 마무리했습니다.
위의 여론 조사 결과에 부응하는 좋은 대체수단이 되어야할 터인데...

새롬기술을 아십니까

PC통신 시절 코스닥 열풍을 불러왔던 새롬기술을 기억하십니까?
새롬기술의 창업주역들인 조원규(Ted Cho), 최진권, 김도연, 김홍철씨가 Opinity라는 회사를 차렸네요. 자신의 온라인 평판을 관리하는 서비스입니다.

전자상거래 등 온라인 사업의 활성화와 평판이라는 것은 맞닿아 있다고 생각하고 있었는데요...
이 회사 잘 지켜봐야겠네요... 등록해서, 반갑다는 인사도 전하고^^

Usable Security

피싱이나 Pharming 공격의 출현은 대부분의 사람들이 보안에 민감하지 않음을 간접적으로 표현하는 것이라고 생각합니다. 이런 공격법의 출현은 반대로 보안을 하는 사람들이 어떻게 보안시스템을 설계하고 효과적으로 "안전함과 안전하지 못함"을 표현해야 하는 지를 모른다는 증거도 되겠지요...

이런 측면에서 Usable Security는 너무나도 배울 것이 많은 사이트라고 생각합니다. 보안을 하는 사람이라면 꼭 구독해야할 블로그가 아닐런지요?

Paypal China 열다!

중국에서 Paypal 서비스를 시작한다고 합니다. 그런데, 기사를 읽으면서 새로운 사실을 알게되었는데요, 중국에서의 경매 사이트는 B2B 경매를 주로하는 회사인 Alibaba가 먼저 시작했고(taobao.com) 지불서비스 또한 Alipay란 브랜드로 먼저 시작했다는 사실입니다.

그런데, 경매 사이트는 왜 항상 지불서비스를 같이 가져가려고 할까요?

Firepoll

가입해서 자신의 메일주소를 알려주면, 설문을 보내주고 해당 설문에 답하면 음악을 다운로드해주거나 Paypal 계정에 1$를 적립해준다?

면 가입하시겠습니까? Firepoll이 하고 있는 재미있는 사업모델입니다. 국내에서도 멜론, 쥬크박스 등에서 서비스하면 괜찮을 것 같네요...

오프라인 공격, 신분증은 안전한가?

인터넷뱅킹이 또 뚫렸다고 합니다. 이번에 사용된 기법(?)을 살펴보면,

1. 차량번호판으로 손해보험사 또는 구청의 자동차 전산망을 조회하여 개인정보를 빼낸다.
2. 빼낸 개인정보로 운전면허증을 위조한다.
3. 위조한 운전면허증으로 은행지점에서 계좌를 개설하고, 인터넷뱅킹을 신청한다.
4. 인터넷으로 대출을 받는다.

조금 이상한 부분은 운전면허증으로 계좌 개설이 되는가하는 부분입니다만, 아뭏든 오프라인(차량번호판, 구청, 손해보험사)에서 수집한 정보를 이용하여 온라인 은행에 접근하는 Identity를 위조하고(계좌개설/인터넷뱅킹 신청) 이를 이용한 해킹이 발생했네요...

사실 가장 간과하고 있는 것은 "오프라인(대면)은 안전하다고 생각하는 것"이 아닐까요? 구청, 손해보험사,은행창구가 인터넷뱅킹 로그인보다 안전할까요?

누군가가 얼굴앞에서 내미는 운전면허증이 공인인증서보다 더 안전할까요?
운전면허증, 주민등록증의 안전성은 검증이 되었을까요?

영국의 ID 카드에 대한 조사보고서가 발표되었다는 블로그 글들을 보다가, 상기 사건에 대해서 회사사람들과 얘기하다가 문득, "주민등록증 처음 받을 때 어떻게 내 신분을 확인했지?", 하는 생각이 들며 갑자기 섬뜩해졌습니다.

카드사고와 거래 비용

VISA는 PCI(Payment Card Industry) 보안 표준을 만들었으나, 카드시스템사가 보안 표준을 무시했기 때문에 사고가 났다고 합니다. 글 중간 쯤에 Shneier씨의 말을 인용하면,

PCI 표준이 표준을 준수하지 않은 기업들에게 벌금을 부과하여 신용 카드 처리 비용을 상승시키기 때문에 저항이 있지만 비자와 마스터카드가 이 문제를 해결해야 한다고 말했다.

생각해보면, VISA는 보안표준을 만들고 이를 지키지 않으면 카드사고의 손실을 벌금이라는 형태로 신용카드 처리 대행사(VAN사)에게 부과하는 것인 데...
어찌되었건 최소한 금융 네트웍에 있어서 보안은 인프라 비용이 되어가는 것 같습니다.

PCI 보안 표준은 여기를 참고하세요...

공인인증서는 안전할까?

올 2월에 중국의 학자들이 SHA-1을 깼다고 해서 시끄러웠는데요, 전자서명에 영향이 있느냐 없느냐 등등...

일방향 해쉬 함수는 입력의 길이에는 상관없이 20바이트의 결과값을 내고, 또한 결과값을 안다고 해서 입력값을 역으로 계산하는 것은 불가능한 함수를 말합니다. 보통 원문에 전자서명을 할 때, 해쉬 함수를 통해 원문에 대한 20바이트 해쉬값을 구하고 이 해쉬값에 전자서명을 하게 됩니다.

그런데, 만약 서로 다른 원문이 같은 해쉬값을 가진다면 어떻게 될까요? 가령, 인터넷 뱅킹에 계좌이체 시에 공인인증서로 전자서명을 하는 데, 해커가 해쉬값은 같지만 이체금액은 다른 전문으로 교체가 가능하다는 얘기가 되는 것이지요...

심각하지요?

아뭏든 소문만 무성하던 그 사건에 대한 정식 논문이 온라인에 배포되었습니다.

실제로 위와 같이 조작이 쉬워지는 것인 지, 본 논문이 미칠 영향에 대해서 암호전문가에게 물어봐야겠네요...

웹 포털 사이트들이 알아야할 개인정보 보호 법칙

지윤님께서 웹 포털 사이트들의 개인정보 보호수준에 대해서 언급해주셨습니다.
글 내용 중에 구글은 "최소한의 정보만을 수집하고, 개인정보보호 정책에 쉽게 접근하도록 했다"라는 부분을 언급하셨는데요.

이는 Identity 제 2법칙, 최소 공개의 법칙에 해당하는 내용이네요.
이 글을 읽게 되시는 분들은 다른 Identity 법칙들도 살펴보시는 것이 개인정보보호를 잘하는 웹 사이트가 되는 길이라고 생각합니다.

참고로, 미국에서 성인인증 관련 법을 강화하고 있다고 합니다. 국내에서 주민번호 보호, 결제 시 부모 동의 등의 인증 절차를 강화하려는 움직임과 일맥상통한다고 생각합니다.

SIDF - Sender ID 프레임워크

현재 메일을 보내는 도메인의 50% 가량이 SIDF와 Signature를 통해서 outbound 메일을 인증하고 있다고 합니다. 자신의 DNS 레코드를 고쳐서 보내는 메일 서버의 주소들을 명기하자는 것이 주요 아이디어인데요, 이제 머지 않아 스팸 메일도 없어질려나요?

SIDF에 대해서 잘 모르시면 이 발표자료를 참고하세요.

MBC 2580 인터넷 뱅킹 사고의 시작은 다름아닌 백오리피스를 설치하는 피싱메일이었는데요, SIDF를 적극적으로 검토해보시고 DNS도 수정해보는 건 어떨까요?

구글 연내 지불 시장 진출

구글이 올해 내로 전자지불 서비스를 시작한다고 합니다. Paypal과 유사한 모델이 될 것이라고 합니다.

picasa, scholar, adsense 등 지불 서비스와 결합되면, 재미있는 것이 참 많겠다고 생각했었는 데, 드디어 시작하는군요...

제가 맡고 있는 R&D 분야 중에 하나가 지불인 지라 조금 묘한 기분이 듭니다. 어떻게 하는 지 잘 지켜보면 한 수 배울 수 있으려나?

인터넷 뱅킹 첫 해킹 누구의 잘못인가?

인터넷 뱅킹이 처음으로 해킹을 당했다고 합니다. 동아경제의 기사를 조금 인용해보면

어떻게 빼냈나=‘넷 데블’ 프로그램의 특징은 해커가 지정한 글이나 그림을 클릭하면 자신의 컴퓨터에 자동으로 깔린다는 점.

이용자는 자신의 컴퓨터에 프로그램이 깔리는지를 전혀 알 수 없지만 해커는 상대방이 컴퓨터 자판에 입력하는 내용을 자신의 컴퓨터를 통해 실시간으로 볼 수 있다. 상대방이 어떤 화면을 보는지도 파악이 가능하다.

이 씨는 이런 ‘키 스트로크(key stroke)’ 방식으로 피해자의 거래은행과 계좌번호, ID, 비밀번호, 공인인증서 비밀번호, 보안카드번호를 모두 알아냈다.

전문적인 해커가 아니라 하더라도 이 프로그램을 이용하면 상대방의 개인정보를 빼내는 일이 그다지 어렵지 않다는 것. 이 씨는 4월 자신의 계좌를 이용해 예행연습을 한 뒤 바로 실행에 옮겼다.

위의 사례는 Two-factor 인증은 안전하지 않다에 서 소개한 바 있듯이 Trojan horses를 고려하지 않았기 때문에 발생한 문제이며, 같은 글에서 언급했던 것처럼 진짜 문제는 "사칭에 따른 공격"입니다. 보안이 강화된 Two-factor 인증 방법으로써 대응하지 말고 어떻게 하면 "사칭에 따른 공격"을 막을 것인 가에 대한 고민을 해야 합니다.

금번 발생한 인터넷 해킹 사건의 책임은 누구에게 있을까요? SBS 뉴스를 조금 인용하면,

특히 현재의 전자금융거래 약관에는 이런 경우에 고객이 책임을 지도록 돼 있는 것도 문제입니다.

고객의 잘못이 없는 경우, 금융기관이 책임을 져야 하는 법안이 국회에 제출된 상태지만 금융권의 반발로 처리는 미지수입니다.

피싱과 ID 도용이란 글에서 소개드린 것처럼, 이 사건의 책임은 전적으로 은행에 있습니다. 왜냐하면 은행이 거래를 허가했기 때문입니다.
은행은 "거래를 인증해라. 사람이 아니고"란 말을 명심하고, 피싱과 ID 도용에서 언급한 권고사항들을 시스템에 반영했어야 합니다. 다시 한 번 적어보면,

• 호주 이외의 국가의 IP 주소를 제한해라
• 이상한 거래 시간을 제한해라.
• 접속한 단말을 식별하기 위해 쿠키를 설정해라.
• 주로 사용하는 IP를 기록하라
• 주로 접근하는 시간을 기록하라
• 주/월 중 사용일을 기록하라.
• 이상한 행동이 감지되면 메일을 보내라
• 속임수가 의심되면 계정을 잠궈라.
• 의심스러운 금액의 인출에는 유예기간을 둬라.
• 위험에 따라 감독을 달리해라.
• 은행이 아니고 사용자별로 위험을 정의해라