워낙 설명하기 어려운 내용이라 질문답변식으로 정리해봤는데... 더 어렵다. ㅡ ㅡ;
오픈아이디
1. 오픈아이디란 무엇인가?
오픈아이디는 Identity2.0이라는 Web 2.0으로 촉발된 더 나은 웹을 위한 고민중, 개인을 구별하기 위한 '인증'에 대한 새로운 대안으로 주목받고 있는 인증 방법중 하나이다.
오픈아이디는 '인증의 분산화'를 목적으로 이를 현실적으로 구현된 방법으로서, '서비스'와 '인증'을 분리하여, 인증에 대한 '권한'을 '서비스제공자'에게서 분리하여 '웹에 분산'시키므로 최종적으론 인증을 받으려는 '개인'에게 돌려주려는 시스템(?)이다.
2. 그게 뭔소리냐?
쉽게 말하면 '로그인'이라는 방법을 기존과 다르게 해보자는 '제안'이다.
현재와 같은 네이버, 다음 과 같이 개별 서비스별로 가입을 하고 로그인을 하는 것을 외국의 어떤놈들이 문제라고 생각했다. 왜냐하면 동일한 아이디, 동일한 인증방법을 거치지 않음으로 인해서 생기는 혼선과 한 서비스가 사라지거나 바뀌었을 때 개인정보가 이리저리 옮겨지는 문제점, 그리고 보다 근본적으로는 개인정보와 인증을 서비스 제공자가 소유함으로 인해서 '권력'이 생긴다는 문제를 해결하기 위해서 나왔다.
이해가 안된다면 얼마전 OpenID를 도입한 이글루스의 도움말을 참고하자. 이것만 잘 읽어도 사실 아래 글은 읽을 필요가 없다.
3. 근데, 인증이 뭔가?
우리가 로그인을 하는게 인증이다. 서비스를 제공하는 놈 측에서 보면, 어떤놈이 zziuni라고 주장하는데, 이놈이 정말 zziuni인가?를 확인하고 승인해주는 것이 인증이다.
오해하면 안되는 것이 여기서 말하는 인증이 실명인증(zziuni이 A라는 회사에 다니는 B인가?)을 말하는건 아니라는 점이다.
오픈아이디는 외국에서 촉발된 스팩이다. 당연 국가마다 상황이 다른데, '주민번호'같은건 고려되어있지 않다. 1
웹에서 A, B를 구별하기 위해, A가 A라고 주장하는 것을 믿어주기 위해 필요한 것. 그게 인증이다.
4. 그럼 다시, OpenID는 기존 ID와 뭐가 다른가?
자, 내가 사이트에 가입할떄 사용하는 아이디는 zziuni다. 그리고 내가 이번에 새로 만든 OpenID는 zziuni.myid.net 이다.
OpenID는 이처럼 ID + Domain 으로 구성되어있다. ID는 우리가 알고 있는 ID가 되겠고, 뒤의 Domain은 OpenID Provider의 Domain이다.
5. OpenID Provider는 또 뭔가?
OpenID Provider란, 인증을 해주는 사이트, 혹은 회사, 단체, 개인을 의미한다.
즉 어떤 서비스에서 요청이 왔을 때 로그인 처리를 해주는 서비스를 제공하는 곳이다.
OpenID 스팩에 맞추어 인터페이스만 구현되어있으면 누구나 OpenID Provider가 될 수 있다. 바꾸어 말하면 스스로 OpenID Provider가 되어서 자신의 로그인 인증을 자기 스스로 할수도 있다는 말이다. (비스타에서 추가된 카드스페이스와 비슷한 계념)
6. 인증을 다른 업체가? 그럼 로그인은 어떻게?
일단 로그인이 필요한 서비스업체에서 오픈아이디로 로그인이 되도록 구현이 되어있어야 한다. RSS아이콘처럼 오픈아이디 아이콘이 이 지원여부를 나타낸다.
OpenID input란에 ID + Domain 형태의 자신의 OpenID를 적는다. 그러면, 서비스는 ID를 인자로 붙여서 Domain으로 인증확인을 요청한다.
그다음은 OpenID Provider에서 암호를 받아서 확인을 거친후 다시 서비스로 돌려보낸다.
그러면 로그인이 된거다.
7. 그럼 다른게 뭔가? 이놈이 하나 저놈이 하나…
단순히 생각하면 이전에 없던 비즈니스 모델도 아니고, 내 개인정보가 여기있나 저기있나 차이가 없다고 생각할 수 있다. 하지만 OpenID는 서비스제공업체 대신에 Provider를 살찌우자 나온 계념이 아니다.
OpenID는 서비스업체와 OpenID Provider를 서로 종속적이거나 의존적으로 정의하고 있지 않다. 어떤 서비스도 어떤 OpenID Provider와 인증이 가능하고, 어떤 OpenID Provider도 어떤 서비스와 연동이 가능하다.
그러므로 사용자는 OpenID만 지원한다면, 어떤 서비스를 사용하던 동일한 ID와 암호로 로그인이 가능하고, 또한 OpenID Provider가 맘에 들지 않는다면 변경을 해도 관계없다. 자신의 아이디에 바뀐 OpenID Provider 도메인만 붙이면 되니까 말이다.
8. OpenID의 장점은?
많다. 일단 동일 아이디를 쓸 수 있으며, 암호도 한번 변경으로 모든 서비스에 적용이 되며,
인증관련 보안도, OpenID Provider한곳에 집중되므로 개별 서비스 보안퀄리티와 관련이 없다.
또한 OpenID Provider에선 인증요청이 들어온 서비스 목록을 제공하므로 자신의 OpenID가 사용되고 있는 서비스 목록을 관리 할 수 있고, 가입이 아닌 일회성 인증도 처리가 된다. (야후에 가입하지 않았는데, 야후 뉴스글에 덧글을 달고 싶다면? OpenID라면 가입하지 않고, 단발성 인증으로 글쓰기를 허용하게 할 수 있다. 이미 덧글쓸 때 가입이 아닌 인증만 할 수 있는 블로그 OpenID플러그인이 있다. )
OpenID는 어떤 한 서비스를 위한 것이 아닌 웹 전체를 하나의 플렛폼으로 보고 웹에 접속하는 모든이들이 접속방법, 사용서비스와 관계없이 “하나의 계정”으로 '웹(개별서비스가 아닌)을 사용'하게 하려는 방법 중 하나이다. 그러면서 인증자체를 서비스업체에서 분리해내고, 그 인증이 어디의 '독점'이 되지 않도록 Provider란 형태로 분산시키므로서, 인증에 대한 권리를 ID소유자에게 돌려주고 있다.
9. 현재 어디서 쓰고 있나? 그리고 OpenID Provider는 어떤곳이 있나?
가장 큰 서비스로는 이글루스와 SpringNote를 들 수 있다. 이글루스는 선택적으로 OpenID사용여부를 결정할 수 있는 옵션을 제공하고, SpringNote는 국내 최초의 OpenID Provier를 시작한 OpenMaru의 상용서비스이므로 당연히 기본이 OpenID이다.
그밖에 국내에 OpenID를 사용할 수 있는 곳들은 이런곳들이 있다. 그리고 OpenID Provider는 현재 OpenMaru의 myid.net, IdTail.com 그리고 외국의 myOpenID가 있다.
재미있는 것은 자신의 인증을 자기가 직접할 수 있는 PHP모듈도 이미 나왔다는 사실. 이도저도 믿을 수 없다면, 직접하자.
10. 문제는 없나?
그럴리가 있나? 다음은 내가 생각하는 몇가지 문제점들이다.
- 국내의 특수한 환경이 문제다. 현재 대한민국에서의 '인증'은 '정통부'에 의해 관리되고 있다. 온라인 주민등록증(?)시행을 앞두고 있고, 실명인증이 의무화 되고 있으며, 몇몇 주요 서비스에서는 덧글 등록시 반드시 실명등록을 하도록 할 예정이다.
타인사칭과 익명성으로 발생하는 수많은 문제를 해결하기 위해서라는 '대의'아래 행해지는 이 모든 강제적 통재아래 글로벌한 시각의 OpenID가 과연 자리매김을 할 수 있을까 의문이다.
- OpenID는 계속 발전하는 스팩이다. RSS처럼 진취적인 변경으로 인해 버전이 붙기 시작하면 서비스간 호환에 문제가 생길 소지가 있다.
- OpenID가 제대로 빛을 발하려면 서비스업체에서 한 개인이 복수개의 OpenID Provider를 사용할때에 대한 적절한 처리가 필요하다. 하지만, 이건 강제가 아닌데다가 (SpringNote조차 두번째 Provider가 출현할때까지 복수 Provider에 대한 처리가 없었다.), 처리 형태에 대한 것도 서비스 업체의 몫이라 차이가 있을 수 밖에 없다. Provider를 변경했는데, 자기 이메일을 확인할 수 없다면 의미가 없지 않은가?
- OpenID가 정말 의미가 있으려면, OpenID의 ID가 URI로 만들어져야 한다. 하지만 이에 대한 이해도 낮고, Provider에서 강제적인 어떤 프로세스를 밟는것도 아니기에 다른 Provider에 나와 동일한 ID를 사용하는 사람생길 수 있다는 문제가 발생한다. OpenID의 ID가 웹에서 유일하지 않다면, OpenID는 아무 의미가 없다.
11. 근데 OpenID Provider는 뭘로 돈을 버나?
나도 그게 의문인데… 추측컨데 Ranking.com 처럼 업체를 상대로한 메타데이터 통계를 제공하지 않을까 싶다.(사실은 우리 이사님 추측)
개별 개인정보를 유출하지 않는 정도에서 네이버와 다음이 OpenID를 지원한다면… 네이버를 로그인하는 사람들중 다음에 로그인 하는 사람의 빈도수는? 등이 가능하지 않을까?
기존에 개별서비스에서는 분석 불가능했던 분석자료를 유료로 제공할 수도 있지 않을까 싶다.
- 인도네시아는 개인을 구별할 방법이 없어서 휴대폰도 선불폰밖에 없다. 떼어먹고 딴섬으로 도망가면 찾을 길이 없어서란다. [Back]
