OpenID 유감

Identity 2.0 의 다양한 기술 스펙 중에 하나 였던 OpenID가 그 세력을 넓히고 있습니다. MS, VeriSign, Janrain, Sxip가 OpenID 기반의 협력을 약속 하고 AOL도 OpenID 지원을 공식화함으로서 Identity 2.0의 대세가 OpenID쪽으로 흘러가고 있다는 느낌이 듭니다. 국내에서도 오픈 ID 커뮤니티가 생기나고 세 개의 오픈 ID 프로바이더가 생겨났습니다. 또한, 오픈 아이디만으로 인증을 제공하는 스타트업 서비스들도 보이기 시작했습니다.

이렇듯 ‘오픈 ID’에 대한 관심이 증대 될 수록 이에 대한 오해도 많이 생기고 있습니다. 실제로 서비스 프로바이더의 신뢰성 및 프라이버시 이슈 등 현재 인증 과정에서 생기는 문제 제기를 하는 분들이 많습니다. 하지만 오픈 ID가 추구하는 바는 이런 실질적인 문제를 뛰어 넘는 것이라 할 수 있습니다.

Identity 2.0의 기본 개념은 사용자의 신분 정보를 과거 개별 사이트, 리버티 얼라이언스, 패스포트 시스템 같은 종속 혹은 준 종속 시스템에서 웹을 닮은 분산화된 인증 체계를 통해 사용자에게 그 권한을 넘겨 주자는 것입니다. 즉, 웹 사이트는 사용자에게서 그 신원 정보를 빌려 쓰도록 하는 것이 기본적인 생각 입니다. 현실 세계에서 인증을 할 때 필요할 때 우리는 지갑에서 신용카드를 꺼내거나 이통사 카드를 꺼내거나 합니다. 모든 신원 정보는 자기에게 있고 그것을 관리 가능 한 것이죠.

따라서 Identity 2.0에서 제가 생각하는 가장 바람직한 방법은 자신의 아이덴티티를 제공자를 통해 이용하지 않고 자신이 스스로 만들어 운영 하는 것입니다. 실제로 phpMyID를 이용하면 5분안에 자신의 블로그에 오픈 ID 서비스를 바로 제공할 수 있습니다.

특히 Microsoft의 CardSpace 같은 데스크톱 신원 관리 도구는 그런 점에서 매우 중요합니다. 로밍만 가능하다면 자신의 데스크톱이 제일 좋은 신원 도구가 되겠죠. 우리 나라에서 사용되는 공인 인증서의 경우도 비슷한 경우라고 할 수 있습니다. 공인 인증서를 이용하면 거의 대부분의 은행이나 카드사에 바로 가입이나 로그인을 할 수 있습니다.

또한, 정말 신뢰성 있는 서비스 제공자는 앞으로 계속 생길 것입니다. 세계적인 인증 회사인 VeriSign의 오픈 ID 서비스에서는 단순한 인증이 아닌 기업 및 신원 확인용 인증을 할 수 있는 프로필 시스템을 갖추고 있습니다. 오픈 ID가 대중화 되면 각 기업별로 신원 관리의 방식이 변화할지도 모릅니다.

썬은 자사의 3만4천여 직원들을 대상으로 오픈ID 서비스를 제공한다. 썬 기반의 오픈ID 솔루션을 통해 오픈ID를 허용하는 사이트에서 간단하고 안전한 방식으로 썬 직원임을 확인 받을 수 있고, 썬 직원 전용의 할인혜택 및 특별 서비스들을 간편하게 적용받을 수 있게 된다.

썬 마이크로시스템 같은 회사들은 오픈 ID를 통해 신원 정보를 마케팅에 이용할 수도 있을 것입니다. 아직 오픈 ID가 대중화 되는 시기는 꽤 오래 걸릴 것입니다. 그 상황에서 국내의 몇몇 회사의 시도는 높게 평가하지만 이들의 문제만으로 Identity 2.0의 미래 까지 부인할 필요는 없을 것입니다.

여러분의 생각

  1. 백영란 2007 5월 21 11:43

    오픈 아이지를 공공사이트에 적용하는 것 등, 오픈 아이디의 정책화에 대해 고민하고 있습니다. 좋은 제안있으시면 주세요 !!!

  2. 오랜만입니다. 100 % 동감입니다. OpenID 는 이제 시작일 뿐이죠. 그래서 희망이 더 많습니다.

  3. //백영란//, 아무래도 정부에서 원하는 것은 실명인증을 효과적으로 수행하는 것이겠죠. 저는 실명인증이 적절히 사용된다면 꼭 필요한 것이라고 생각됩니다. 다만, 현재 I-pin 같은 방식은 업체에 의존적인 부분이 많아서, 보급에 한계가 있어 보입니다. 한가지 아이디어는 I-pin 을 OpenID 로 gateway 해서, OpenID 라이브러리나 기술을 그대로 적용하면서도, 인증수단을 I-pin 으로 하도록 허용/지원한다면, 매우 효율적인 방안이 나올 것 같습니다.

  4. 위 글에서 한가지 지적되야할 부분이 있습니다. OpenID 가 분산을 통해서 사용자에게 통제권을 넘기는 것은 맞습니다. 하지만, 그 물리적인 형태가 꼭 자체 서버 운영인 것이 바람직하다?라고 말할 수는 없습니다. 이는 마치, 은행도 내가 아니라 믿을 수 없으니, 집에 금고를 두고, 보관해야 한다와 같은 논리입니다. 더구나, 내가 직접 운영하는 서버가 항상 보안에서도 더 우월할까요? PC 가 꼭 안전하지 않죠? 오히려 기술과 신뢰성을 확보한 기관이나 회사가 더 낳을 것입니다.
    적절한 경쟁만 계속 유지된다면, 분명 쓸만한 인증서비스가 생길것입니다. 사용자는 계속 보장되는 경쟁속에서 최선을 선택할 수 있으면 되는 것입니다.

의견 쓰기

이름* 이메일* 홈페이지(선택)