고슴도치플러스 팀블로그

“OpenID implementation” 세션이 끝난 직후 B형 남자이며 소심한 성격의 소유자인 페블은 용기를 내어 연단으로 갔습니다. 계획에 없었던 JanRain의 Brian과 VeriSign의 David과 인터뷰를 하고 싶어서죠. 저희가 IDtail이라는 OpenID provider임을 밝히고 한국에는 벌써 3개의 OP가 있다는 이야기를 했더니 굉장히 좋아 하더군요. (^^) 그러면서 인터뷰에 응하겠다고 했습니다. 스피커들만 들어갈 수 있는 특별한 인터뷰 룸에서 함께 하며 이야기 나눈 것들 정리해 봅니다.

[고슴도치] 본인의 소개와 회사에서 어떤 업무들을 하고 계신지 말씀 부탁드립니다.

[Brian] 안녕하세요, 저는 Brian이고 미국 오레곤 주에 있는 포틀랜드에 있는 JanRain에서 근무하고 있습니다. 저는 주로 오픈아이디 소프트웨어 라이브러리, 오픈소스 라이브러리, 파이썬/루비/PHP 등을 위한 라이브러리를 만드는 일을 하고 있습니다. 또한 Jyte.com 이라는 OpenID 기반 평판 사이트를 위해서도 일을 하고 있습니다.

[고슴도치] OpenID를 누구나 알기 쉽게 간단히 정의한다면?

[Brian] OpenID는 매우 간단한 새로운 프로토콜로, 어떤 URL의 소유권을 증명하기 위한 것입니다. OpenID가 가능하게 하는 것은 인터넷의 여러 사이트들간의 SSO 입니다. 각각 다른 사이트에 들어갈 때마다 다른 이름으로 로그인해야 하는 것의 불편함은 언제나 이슈가 되어 왔습니다. 하지만 예를 들어 저와 같은 경우에는 어떤 사이트든지 간에 Brianellin.com으로 로그인을 하고 있습니다.

[David] 제 생각에 오픈아이디가 재미있는 것은 그 개념이 social web과 웹2.0 기술들에서 나왔다는 것입니다. 웹2.0은 웹을 상호작용 (interaction) 과 집단지성 (collective intelligence) 이라는 환경으로 가져갔습니다. 우리는 플리커에 사진을 올리고 MovableType이나 LiveJournal 등을 이용해 블로깅을 하고 위키피디아와 같은 위키를 편집하는 사람들을 어디에서나 볼 수 있게 되었습니다. 이처럼 협업적인 요소와 social적인 요소를 가지고 있는 툴을 누구나 이용하며 그들의 평판과 아이덴티티를 각각의 사이트에서 쌓아가고 있습니다. 하지만 오픈아이디가 가능하게 하는 새로운 세상이라는 것은 여러분은 이미 블로그 URL이나 플리커같은 사진 URL 등에 여러분의 아이덴티티를 온라인에 가지고 있고 있을 것입니다. 이때 또 다른 협업 내지 social 사이트에 가입을 하게 되면 기존의 나의 아이덴티티를 살려 나갈 방법이 없이 해당사이트에서만의 완전히 새로운 아이덴티티를 다시 처음부터 쌓아 나가야 한다는 것입니다. 오픈아이디는 (만약 여러분이 원한다면) 여러개의 사이트를 연결지어줄 수 있는 연결고리 역할을 함으로써 나의 총체적인 아이덴티티를 유지해 나갈 수 있는 장점을 가지고 있습니다.

[고슴도치] 오픈아이디가 공격에 취약하다는 인식에 대해서는 어떻게 생각하나요?

[David] 제가 피싱의 보안 문제에 대해 잠깐 말씀드리겠습니다. 우선 보안에 있어 가장 기본이 되어야 할 것은 여러분의 오픈아이디 제공자가 SSL을 사용해야 할 것입니다. 그렇게 함으로써 가장 손쉽게 오픈아이디를 공격할 수 있는 man-in-the-middle attack으로부터 여러분을 보호할 수 있게 됩니다. 다른 문제점 특히 피싱에 대해 말씀드리자면… 제가 오늘 세션에서 발표했듯이 오픈아이디의 좋은점의 또 다른 하나는 오픈아이디 제공자가 어떻게 사용자들을 인증할 것인가에 대해 규정하지 않는다는 것입니다. 오히려 여러분은 다양한 인증 방법을 제공하는 다양한 오픈아이디 제공자를 선택할 수 있을 것입니다. 제공자들은 현존하는 어떠한 가장 좋은 인증방법을 제공해도록 경쟁하게 될 것이며, 사용자들은 이중에서 자신이 적합하다고 생각하는 오픈아이디 제공자를 선택하면 되는 것입니다. 마이오픈아이디와 같은 식으로 client-side certificate을 제공함으로써 유저네임과 패스워드를 제공할 필요없이 인증이 가능하게도 할 수 있으며 Microsoft의 비스타에 있는 Cardspace를 이용할 수도 있습니다. Jabber를 이용해 메신저를 통한 인증을 한다던가 SMS를 이용해 일회용 코드를 전송한다던가 아니면 어제 키노트때 launch pad에 나왔던 Vidoop의 새로운 패스워드 솔루션을 사용할 수도 있을 것입니다. 이와 같이 오픈아이디의 보안은 강력한 오픈아이디 커뮤니티에 의해 매우 빠른 속도로 해결되어 나가고 있습니다. 오픈아이디에서의 피싱에 대한 문제점이 화두가 된지 2달도 안 되어서 이 문제를 해결할 수 있는 수많은 방법들이 제안된 것입니다.

[Brian] 오픈아이디를 통한 SSO가 가능해진다면 여러분은 더이상 수많은 사이트에 ID와 패스워드를 입력하고 보안에 대해 걱정을 하는 일을 하지 않으셔도 됩니다. 하나의 장소에만 집중하면 됩니다. 우리는 분명히 클라이언트 사이드의 인증서라든가 Vidoop의 솔루션이라든가 여러가지의 방법으로 피싱을 막을 수 있게 됩니다.

[David] 맞습니다. 비단 피싱뿐만이 아니라 어떤 토근이나 OTP 등 다양한 out-of-band의 보안책을 이용하여 강력한 보안을 제공하는 하나의 오픈아이디 제공자를 이용함으로써 모든 사이트에 로그인할 수 있다는 것은 기존의 보안이 부족한 여러개의 사이트에 동일한 아이디와 패스워드로 로그인하는 것 보다 훨씬 보안적으로 안전한 것이 됩니다.

[고슴도치] 오픈아이디 2.0 이 공식 오픈되는 시기는 언제 정도일까요?

[David] 아까 강의에서 보셨다시피 오픈아이디 1.1은 9,000만명 이상의 사용자, 2,500개 이상의 relying party 사이트를 가지고 있으며 그 전파속도가 계속 빨라지고 있는 점에서 볼 수 있듯이 시장에서 급속하게 자리를 잡아가고 있습니다. 오픈아이디 2.0 관련 작업을 시작한 지는 9개월 정도 되었으며 오픈아이디의 개념을 좀더 명확히 하고 여러가지 기능들이 추가되어지고 있습니다. 현재는 거의 최종 드래프트 버전 단계에 접어든지 약 2달 정도 되었으며 비록 언제라고 말씀드리기는 힘들지만 곧 공식 버전이 공개되리라 생각됩니다. 지금도 미리 자바, 파이썬, PHP용 OpenID 2.0 라이브러리 등을 다운받아 사용해 볼 수 있습니다. 기존 라이브러리들과 완벽하게 호환이 됩니다.

[고슴도치]마지막으로 한국의 이용자들에게 인사 한마디 해주세요.

[Brian] 한국의 여러분 안녕하세요. 저는 많은 분들이 오픈아이디를 이용하고 좋아하기 바랍니다. 또 오픈아이디 커뮤니티에 많은 분들이 참여했으면 합니다. 여러분이 다양한 사이트를 이용한다면 SSO가 매우 유용할 것입니다. 바라건대 전세계의 모든 사람들이 오픈아이디를 사용하기 시작할 때 한국이나 미국뿐 아니라 전세계에서 스팸 문제도 없어질 수 있게 될 것입니다. 저희는 한국에서 많은 분들이 오픈아이디에 관심을 가지고 있다는 점에 매우 기쁩니다. 더욱 많은 이용 바랄께요.

[David] 조금 덧붙이자면 저는 한국의 보다 많은 분들이 오픈아이디 커뮤니티의 대화에 참가하고 오픈아이디 관련 컨텐츠들을 번역함으로써 보다 많은 한국인들이 오픈아이디를 이해하고 사용할 수 있도록 도와주셨으면 합니다. 한국과 동아시아 모든 나라들로부터 보다 많은 참가 기대하겠습니다.

사진 왼쪽이 Brian, 오른쪽이 David입니다.

지금까지 고슴도치플러스 페블이었습니다.

Posted by 고슴도치플러스

슬라이드는 여기에서 구하실 수 있습니다.

웹 2.0 엑스포 컨퍼런스 3일째인 오늘 들은 강의 중의 하나는 JanRain의 Brian과 VeriSign의 David이 진행한 “OpenID implementation”였습니다. 페블로써는 OpenID provider (IDtail) 로써 매우 관심있게 들은 강의입니다.

강의는 특별한 내용이라기 보다는 기본 개념 설명 + 실제 개발자가 구현할 때 필요한 사항들 위주로 진행이 되었습니다. 따라서 오히려 강의보다는 강의가 끝나고 이 두분과 가진 즉석 인터뷰가 의미가 더 있을 것 같습니다. 별도로 포스팅하도록 하겠습니다.

현재 OpenID는 AOL에 힘입어 (AOL 회원들은 원하던 원하지 않던간에 자신의 OpenID가 생성되 있습니다) 전세계적으로 9,000만개 정도 존재하는 것으로 추산된다고 합니다. 그리고 relying party (기존에 consumer로 불리던 것을 이제는 RP (relying party)로만 부른다고 합니다) 는 약 2,500개 정도 있다고 하네요.

전통적으로 OpenID의 활용도가 높은 분야는 블로그, 그리고 open source project 였습니다. 좀 더 나아가 개인화 홈페이지를 제공하는 NetVives, PageFlakes (PageFlakes는 CEO인 Dan을 이번에 카네기멜론의 Eric으로부터 소개를 받아 만날뻔 했다가 저희 일정상 아쉽게도 만나지 못한 회사입니다), 블로깅툴의 대명사 Six Apart, 다양한 웹기반의 협업툴을 제공하는 37 Signals 등의 Web 2.0 기업들만 도입하는 것으로 생각되어 왔습니다. 하지만 최근에는 AOL, Microsoft, Firefox, VeriSign, Reabok, Symantec, Novell 등에서 모두 OpenID의 도입을 하고 있는 실정입니다.

왜 OpenID relying party가 되어야 하는 가에 대해서는 잠재적 사용자들에게 회원 가입의 부담을 줄여주는 것이 매우 중요한 사항임을 강조했습니다. 예를 들어 TechCrunch에서 수많은 startup들을 소개하고 있는데 이때 TechCrunch의 독자들은 이들 서비스를 이용해 보기 원하나 각각의 사이트에 가입을 부담스러워 한다는 것입니다. 만약 VC가 회원가입이 부담스러워 서비스를 이용해보지 않는 것과 OpenID를 지원하여 손쉽게 서비스를 이용하게 하는 것은 하늘과 땅 차이 아니냐는 것이죠. 두번째로는 Site-specific hack이 가능하다는 것입니다. 예를 들어 AOL OpenID 사용자의 경우에는 AIM을 이용한 뭔가를 자연스럽게 할 수 있게 된다는 것입니다.

발표 중간에 JanRain의 Brian이 MyOpenID를 보여주는데… 헉! 디자인이 완전히 바뀌었습니다. (나중에 인터뷰하러 Brian과 걸어가면서 물어봤더니 지난 월요일 (2007년 4월 16일)에 변경이 되었다고 하네요. 이전의 디자인은 그냥 개발자가 했던 허접한 것이었고 이번에는 정식으로 웹디자이너를 채용해서 한 거라고 합니다. ^^)

Delegation의 중요성은 Single Point of Failure를 방지할 수 있다는 데에 있습니다. 즉, 나의 대표 URL에 나의 여러개의 OpenID를 연동해 놓으면 provider 1이 죽더라도 provider 2를 통해 인증을 받게되어 서비스를 중단 없이 사용할 수 있게 됩니다. 이런 것이 분산된 서비스의 장점인 것 같습니다.

OpenID의 단점에 대해서는 phishing과 같은 보안에 취약하다는 점이 자주 지적되고 있다고 하면서 이번에 MyOpenID에 추가된 client side certificate, Microsoft Cardspace, Vidoop의 인증, OTP와 같은 token 등 전통적인 방식의 인증 등을 응용하는 방법을 소개하였습니다.

VeriSign의 David은 자신들의 OpenID 서비스를 소개하였습니다. 이는 PIP (Personal Identity Provider) 로서 브라우저를 이용해서 OpenID provider의 역할을 수행하는 방식이었습니다.

다음으로는 Brian과 David과의 단독 인터뷰 내용을 올리도록 하겠습니다.
지금까지 페블이었습니다.

Posted by 고슴도치플러스