요즈음 오픈아이디 고민은, 국내 현실에서, 제한적 실명제나, i-pin 과 어떻게 효과적으로 연동하느냐 입니다. T T. 함께 고민 부탁드립니다. 물론, 실명제 자체에 대해서도 많은 이견과 정책적인 논란이 많겠지만, 아마 끝나지 않을 논의일 것입니다. 사실 소호쇼핑몰 사이트의 경우, 실명확인이 필수이지만, 기술적 비용적으로 어려움이 많습니다. 된다면, 어쩌다 들른 쇼핑몰, 가입안하고 바로 구매할 수 있으니 정말 편하겠죠. 기왕 정해지는 정책이라면, 정말 실용적이고 효율적으로 사용될 수 있는 방안을 찾아야 겠습니다.
일단, i-pin 과의 연동만 된다면, 제한적 실명제도 해결될 거라. i-pin 연동을 방향을 좀 생각해 보았는데요.
미리 알아둘 것
#1. ID 인증, 계정
보통 회원제 사이트에 로그인할 때, 정해진 ID/pwd 로 인증을 수행하면, 그 ID 를 키로하는 회원 계정이 결정됩니다. 분명히 구분해야 할 부분은, 오픈아이디는 ID/pwd 인증 부분만 담당하는 것이라는 점입니다. 이점만 확실히 하면, 기존 로칼아이디 기반의 서비스들도 기존 계정에
오픈아이디라는 ID 를 하나더 추가하는 것으로 이해하면 간단히 적용할 수 있습니다.
#2. 추가 신뢰확보의 기본 방법
일단, 오픈아이디가 보장하는 최소한의 신뢰는, 해당 ID 의 소유/통제여부 증명입니다. IDP 의 보안이 완벽하다는 가정이라면, 소유자만 증명할 수 있음을 보장합니다.
만약, 추가의 신뢰확보가 꼭 필요하다면, 보통, 추가적인 신뢰확보 수단을 consumer 에서 후처리로 사용자에게 요구해야 합니다. 이를 테면, 로봇이 만든 OpenID 를 배제하려면, 이미지 검증 같은 것을 요구하고, 제한적 본인확인이 필요하면, 실명확인 업체를 연동해서 확인하면 됩니다. 따라서 "오픈아이디는 익명이냐?" 라는 질문은 넌센스입니다.
i-pin 연동 가능한 방향들
#0. 아이디인증과 실명인증은 별개이므로, consumer 에서 openid 인증된 "계정"에 대해서, 추가로 i-pin 인증도 한다: 당장 가능한 방법입니다. 지금 처럼, consumer 업체가 직접 수행해야 합니다.
분명한 점은 오픈아이디 인증기반이라고, i-pin 인증이나 실명확인 방법을 못하는 것은 아니라는 점입니다. 위 #2.기본 신뢰확보 방법에서 언급했듯이 추가 신뢰확보 방법으로 간주되면 간단합니다.
하지만, 기왕이면, IDP 에서 대신 수행해 준다면, consumer 입장에서는 여러가지로 비용이 감소되고, 사용자 경험도 훨씬 간편해 집니다.
#1. 기존 OpenID provider 가 i-pin 업체를 통해 실명확인을 하고, consumer 요청시, 본인확인정보를, 물론 사용자 승인하에 전달한다. 물론, 사용자는 실명요청 consumer 를 사용하지 않는한 미리해둘 필요는 없습니다.
이 방식이 가능하려면 i-pin 기술 구조상 가능한가? 정책적으로 이렇게 gateway 한 것도 인정하나? 등 2 가지 기술적 정책적 문제의 해결이 결정적입니다.
#2. 기존 5 개 업체(전체 또는 일부)가 OpenID provider 를 한다. 사용자들은 실명인증이 필요할 경우만, 실명인증용 OpenID 를 사용합니다. 물론, 주 OpenID 로 로그인한후, 실명인증만, 실명 OpenID 로 인증하면 되므로, 이후로는 주 OpenID 로 해당 사이트를 계속 이용하게 할 수 있습니다. #0 안보다 좋은점은, OpenID 라는 한가지 프로토콜만 사용하면 됩니다. 행복하죠.
#3. #2.와 비슷한데요, 기존 OpenID provider 가 i-pin 인증업체를 한다. 기존 i-pin 업체들이 움직이지 않을 경우의 얘기 입니다.
i-pin 인증업체들이 OpenID 를 표준 연동방법으로 채택한다면 가장 좋겠습니다.
i-pin 자체의 아쉬운 점이 있습니다. 주민번호 '대체수단' 이라는 발상의 틀안에 있는 점입니다. 주민번호가 원래 비밀번호 같은 인증수단이라기 보다는, 이름과 같은 공개 아이디 역할이고, 따라서, 그것만으로 인증하는 사회적 시스템들이 잘못된 것이라고 생각됩니다.
지금 포탈에서 제한적 본인확인 하기위해, 주민번호/이름 매칭만으로 하는데, 정말 말도 안된다고 생각됩니다.
그런데, 여전히 i-pin 도 그 틀에서, '변경할수 있는' 이라는 개선만 주고 있거든요. 언제든 공개되면 위험하다는 점이죠.
오히려, 발상을 바꾸어서, 주민번호/어떤인증수단 == ID/password
와 같은 틀에서 본다면, 주민번호를 제시하는 사람이 본인인지 확인하는 방법만 있으면 되는 것이라고 생각됩니다.
빙고, 여기에 오픈아이디 프로토콜이 이용된다면, 문제는 간단히 해결될 수도 있을 것 같습니다.
생각해보면, 기술보다는 정책, 업체간 이해관계, 혹은 정치문제가 더 걸림돌이 될 것 같아 걱정됩니다. 일단, 대략적인 방향만 생각나는 데로 나열한 것이라, 실제 가능성 검토 및 의견이 많이 필요합니다.
- Kay -
일단, i-pin 과의 연동만 된다면, 제한적 실명제도 해결될 거라. i-pin 연동을 방향을 좀 생각해 보았는데요.
미리 알아둘 것
#1. ID 인증, 계정
보통 회원제 사이트에 로그인할 때, 정해진 ID/pwd 로 인증을 수행하면, 그 ID 를 키로하는 회원 계정이 결정됩니다. 분명히 구분해야 할 부분은, 오픈아이디는 ID/pwd 인증 부분만 담당하는 것이라는 점입니다. 이점만 확실히 하면, 기존 로칼아이디 기반의 서비스들도 기존 계정에
오픈아이디라는 ID 를 하나더 추가하는 것으로 이해하면 간단히 적용할 수 있습니다.
#2. 추가 신뢰확보의 기본 방법
일단, 오픈아이디가 보장하는 최소한의 신뢰는, 해당 ID 의 소유/통제여부 증명입니다. IDP 의 보안이 완벽하다는 가정이라면, 소유자만 증명할 수 있음을 보장합니다.
만약, 추가의 신뢰확보가 꼭 필요하다면, 보통, 추가적인 신뢰확보 수단을 consumer 에서 후처리로 사용자에게 요구해야 합니다. 이를 테면, 로봇이 만든 OpenID 를 배제하려면, 이미지 검증 같은 것을 요구하고, 제한적 본인확인이 필요하면, 실명확인 업체를 연동해서 확인하면 됩니다. 따라서 "오픈아이디는 익명이냐?" 라는 질문은 넌센스입니다.
i-pin 연동 가능한 방향들
#0. 아이디인증과 실명인증은 별개이므로, consumer 에서 openid 인증된 "계정"에 대해서, 추가로 i-pin 인증도 한다: 당장 가능한 방법입니다. 지금 처럼, consumer 업체가 직접 수행해야 합니다.
분명한 점은 오픈아이디 인증기반이라고, i-pin 인증이나 실명확인 방법을 못하는 것은 아니라는 점입니다. 위 #2.기본 신뢰확보 방법에서 언급했듯이 추가 신뢰확보 방법으로 간주되면 간단합니다.
하지만, 기왕이면, IDP 에서 대신 수행해 준다면, consumer 입장에서는 여러가지로 비용이 감소되고, 사용자 경험도 훨씬 간편해 집니다.
#1. 기존 OpenID provider 가 i-pin 업체를 통해 실명확인을 하고, consumer 요청시, 본인확인정보를, 물론 사용자 승인하에 전달한다. 물론, 사용자는 실명요청 consumer 를 사용하지 않는한 미리해둘 필요는 없습니다.
이 방식이 가능하려면 i-pin 기술 구조상 가능한가? 정책적으로 이렇게 gateway 한 것도 인정하나? 등 2 가지 기술적 정책적 문제의 해결이 결정적입니다.
#2. 기존 5 개 업체(전체 또는 일부)가 OpenID provider 를 한다. 사용자들은 실명인증이 필요할 경우만, 실명인증용 OpenID 를 사용합니다. 물론, 주 OpenID 로 로그인한후, 실명인증만, 실명 OpenID 로 인증하면 되므로, 이후로는 주 OpenID 로 해당 사이트를 계속 이용하게 할 수 있습니다. #0 안보다 좋은점은, OpenID 라는 한가지 프로토콜만 사용하면 됩니다. 행복하죠.
#3. #2.와 비슷한데요, 기존 OpenID provider 가 i-pin 인증업체를 한다. 기존 i-pin 업체들이 움직이지 않을 경우의 얘기 입니다.
i-pin 인증업체들이 OpenID 를 표준 연동방법으로 채택한다면 가장 좋겠습니다.
i-pin 자체의 아쉬운 점이 있습니다. 주민번호 '대체수단' 이라는 발상의 틀안에 있는 점입니다. 주민번호가 원래 비밀번호 같은 인증수단이라기 보다는, 이름과 같은 공개 아이디 역할이고, 따라서, 그것만으로 인증하는 사회적 시스템들이 잘못된 것이라고 생각됩니다.
지금 포탈에서 제한적 본인확인 하기위해, 주민번호/이름 매칭만으로 하는데, 정말 말도 안된다고 생각됩니다.
그런데, 여전히 i-pin 도 그 틀에서, '변경할수 있는' 이라는 개선만 주고 있거든요. 언제든 공개되면 위험하다는 점이죠.
오히려, 발상을 바꾸어서, 주민번호/어떤인증수단 == ID/password
와 같은 틀에서 본다면, 주민번호를 제시하는 사람이 본인인지 확인하는 방법만 있으면 되는 것이라고 생각됩니다.
빙고, 여기에 오픈아이디 프로토콜이 이용된다면, 문제는 간단히 해결될 수도 있을 것 같습니다.
생각해보면, 기술보다는 정책, 업체간 이해관계, 혹은 정치문제가 더 걸림돌이 될 것 같아 걱정됩니다. 일단, 대략적인 방향만 생각나는 데로 나열한 것이라, 실제 가능성 검토 및 의견이 많이 필요합니다.
- Kay -
트랙백 주소 :: http://openid.or.kr/trackback/60
-
Subject: OpenID 와 실명제, i-pin 연동 방향
Tracked from 고맙습니다 2007/09/16 09:48 삭제요즈음 오픈아이디 고민은, 국내 현실에서, 제한적 실명제나, i-pin 과 어떻게 효과적으로 연동하느냐 입니다. T T. 함께 고민 부탁드립니다. 물론, 실명제 자체에 대해서도 많은 이견과 정책적인 논란이 많겠지만, 아마 끝나지 않을 논의일 것입니다. 사실 소호쇼핑몰 사이트의 경우, 실명확인이 필수이지만, 기술적 비용적으로 어려움이 많습니다. 된다면,
댓글을 달아 주세요
아이핀 연동은 2번이 가장 적절해보입니다. 말씀하시는 것처럼 5개 업체가 모두 오픈ID를 지원할 필요는 없습니다. 아이핀 제공업체끼리는 상호 메시지 호환이 되므로 한 업체만 지원하면 2번 시나리오가 가능합니다.
추가 설명을 위해 A 아이핀 서비스 업체가 오픈ID를 지원하고 사용자는 B 회사로부터 아이핀을 발급했다고 가정하지요. 절차는 다음과 같습니다.
1) 사용자는 consumer에게 A 업체의 오픈ID URL을 제시합니다.
2) consumer는 A 업체에게 아이핀 본인확인정보를 요청합니다(redirection).
3) A 업체는 사용자로부터 아이핀 제출창을 띄우고, 사용자는 B 아이핀을 선택 후 아이디/패스워드를 입력합니다(이 화면은 B업체의 화면이 됨)
4) B 업체가 전달한 본인확인정보를 A업체가 검증한 후 consumer에게 전달합니다.
5) A 업체는 사용자의 동의를 받아서 아이핀 본인확인정보를 저장합니다.
모두다 된다는 것을 설명하기 위해 좀 복잡한 시나리오를 선택해서 설명드렸습니다. 아뭏든 아이핀 제공업체 한 곳에서만 오픈ID를 지원해도 오픈ID와 아이핀 연동가능합니다.
네, 그렇군요. 그럼 이니텍에서 우선 지원하시면 ㅎㅎ.
그리고, 이 경우 A 아이핀 업체가 오픈아이디 요청한 consumer 를 과금하기는 쉬울런지요? 복잡하다면, 무료로 한다면, 일단 대박감일 듯도 합니다만. ^^;
앗 Kay 님이 제 블로그 오셨다 가셨내요.. ^^;
좀 부끄럽내요.
글 주변이 없어서 블로그 개설하고 고민하고 생각했던 것들 정리도 못하고 그랬었는데..
관련해서 저도 도움이 될수 있도록 함 노력해 보겠습니다.
오늘은 그냥.. 인사 정도만.. ^^*
그럼 좋은 하루 되세요.
오래지난 이야기지만 보다가 글 한번 써봅니다...
원래 openID와 i-PIN은 사상부터 다르지 않나 생각해 봅니다... i-PIN은 개인정보보호 차원에서 인터넷에서 구별가능한 사용자의 식별을 위해서 탄생한것이고, openID는 개인정보보호와는 다소 무관하게 등장하여 현재는 인증(?)의 새로운 패러다임이 될려고 하고 있고, SSO를 위한 새로운 대체수단에 대한 이야기까지 나오고 있습니다...
위 두가지 방식의 결합을 하게되면 소비자 및 프로바이더 입장에서 둘 다 편하지는 않을 것 같다는 생각도 들구요...
저만의 생각이었습니다...
우선, i-pin 같은 경우는 정책에 의한 강제이기 때문에 사용할수 밖에 없게 되는 상황을 전제로 해서, "기왕에 i-pin 을 써야 한다면" 오픈아이디로 감싸서 그나마 편하게 하자 입니다. ㅎㅎ
물론, i-pin 이 필요없으면, p 이면 q 에서, p 가 거짓이므로, 무조건 참 ㅋ 입니다.