이니텍 이창희입니다.
제 블로그에 있는 글을 옮깁니다.

=====

류근우님께서 지적하신 OpenID와 피싱의 문제는 정확하게는 Microsoft의 Kim cameron의 글에서부터 시작됩니다. 이것을 구글의 Ben이 거들면서 문제가 본격화됩니다.

OpenID 로그인 절차는 다음과 같습니다.

1. 인터넷 사이트에 OpenID URL을 입력한다.
2. 인터넷 사이트가 OpenID URL로 Redirection 시킨다.
3. OpenID provider의 로그인 페이지에 패스워드를 입력하고 로그인한다.

여기서 2,3번 과정에서 문제가 발생합니다. 즉, 인터넷사이트가 피싱페이지로 redirection시키고, OpenID provider가 제공하는 UI와 동일한 화면을 피싱페이지를 통해서 보여주면, 사용자는 아무생각없이 패스워드를 입력할 것이고 피싱공격이 성공할 것이다라는 것입니다.이 이후부터는 OpenID의 장점(SSO, Attribute Exchange)이 모두 단점이 되겠지요.

simon씨는 사용자가 OpenID provider의 주소를 북마크하도록 하고, 위의 3번 과정에서 로그인페이지를 보여주지 말고 사용자가 북마크를 통해서 직접 provider를 찾아가도록 하자는 제안을 했습니다.

UsableSecurity의 Ka-ping Yee씨는 simon의 제안에 더해서 Referer 헤더를 가진 request에 대해서만 로그인페이지를 보여주지 말자고 제안을 향상시켰고, Sxip의 Martin은 Group Membership 프로토콜을 제안했습니다.

이후에 simon씨는 사람들이 유지하는 whitelist를 통해서 해결하자는 제안을 했습니다. 즉, 우리가 믿는 OpenID provider/consumer whitelist를 만들자는 것이지요.

하지만, 최근 국내에 발생한 피싱공격과 스웨덴 은행의 해킹사고를 살펴보면 여전히 이런 것들로 피싱문제를 해결할 수는 없다는 것을 알 수 있습니다. 왜냐하면 북마크된 OpenID provider의 주소(IP) 또한 속일 수 있을테니까요. 만약 OpenID가 점점 더 가치있는 서비스에 사용될수록 피싱에 대한 해결책이 절실하게 필요할 것이라고 생각합니다.

저는 OpenID와 Strong Auth가 결합된 형태의 서비스만이 이 문제를 해결할 수 있다고 생각하고, 이런 서비스를 제공하기 위해서 노력할 것입니다.