넷콩님의 이글루

2007년 07월 05일

Sun의 OpenID 서버 구조

title; OpenID @ Work - Architecture
link; http://blogs.sun.com/hubertsblog/entry/openid_sun_architecture

Sun이 자사의 직원에게 OpenID를 제공한다고 발표한지 한달정도 지난 것 같군요. 실제로 구축된 서비스에 대하여 Sun의 관계자가 포스팅하였습니다.

1.Sun OpenID를 얻기 위해 등록 절차를 거칩니다. 이 단계에서 Sun의 직원이 맞는지를 OpenSSO를 통해 확인하게됩니다. 기존의 OpenID 제공자는 이런 절차를 요구하지 않고, 아무에게나 ID를 발급하는 Open 정책을 사용합니다. 가장큰 차이점이죠.
2. 사용자는 RP를 방문하고, 1단계에서 발급받는 자신의 OpenID URL를 제시합니다.
3. RP는 해당 OpenID URL에 접근하여, 사용자의 OpenID 서버 정보를 알아냅니다.
4-5. RP는 OpenID 서버와 신뢰 관계를 형성하고, association key를 생성합니다.
6. RP는 사용자를 OpenID 서버로 리다이렉트시켜, 사용자가 로그인 정보를 가져오도록 합니다. 이 단계에서 OpenSSO가 사용됩니다.

사용자가 로그인 정보를 가져오면, RP는 이 정보를 검증하고 사용자를 로그인시켜 줍니다.

굳이 의미를 두자면, 1단계 등록 과정을 거치는 것이 가장 큰 차이점이죠. Daum이나 AOL이나 기존에 사용자의 ID를 보유하고있는 OpenID 서버라면 이 절차를 사용하면 됩니다. 기존의 OpenID 구축 절차와 별다른 차이가 없죠.

기본 절차는 OpenID 스펙과 동일합니다.

# by 넷콩 | 2007/07/05 18:11 | OpenID | 트랙백 | 덧글(1)

2007년 07월 05일

다음, 오픈아이디 제공 계획 발표

title; 다음, 오픈아이디 전격 지원
link; http://openid.or.kr/44
summary;Daum Corp, one of the major portal site in Korea, announced the plan toa OpenID provider in last week. For the 37 million users, Daum willprovide very trustful authentication service as a major portal.Actually there are three OpenID providers in Korea, MyID, IDtail, andidpia. Unless they appeals their invaluable utilities to the users,Daum will dominate OpenID field in Korea.

다음(Daum)이 OpenID Provider가 되겠다는 계획을 발표하였습니다. 이번 달 내에 작업을 완료할 예정이라고 하네요.

지난달까지 전세계의 OpenID는 약 9천만 개였습니다. 이제 1억3천개에 육박하겠군요.

업계 관계자는 “다음의 한메일 가입자만 해도 3700만명 이상”이라며 “대형 포털인만큼 인증서비스의 신뢰성이 매우 높을 것”이라고 말했다.

다음 인증서비스를 계기로 오픈ID 지원 사이트도 늘어날 전망이다. 태터툴즈·오픈마루·스프링노트·더블트랙 미투데이·라이프팟·아이두·펌핏 등 10여곳의 블로그, 미니블로그 및 위키사이트 등이 오픈ID를 사용한 로그인을 지원한다.

지금까지는 MyID, IDtail, idpia라는 조그만(?) 업체들이 OpenID 시장을 키우고 있었는데, 이제 이 업체들은 Daum이라는 거대 포털과 경쟁해야 하는 입장이 되었군요.

권오성 오픈마루 과장은 “오픈ID 사용자가 많지 않은 상태에서 다음이 이를 대부분 흡수할 가능성이 있지만 오픈ID 지원 웹사이트 증가의 계기가 될 것”이라고 말했다.

물론 OpenID라는 파이를 크게 만들었다는 점은 이들 업체들이 반길만한 내용이지만, 사용자에게 정말 유용할만한 기능을 제공해줄수 없다면 모두 Daum으로 이동할 것입니다. 신뢰성, 안정성, 편의성 등등... 현재는 Daum이 가지고 있는 크레딧이 너무나크네요.

이 글과 관련있는 글을 자동검색한 결과입니다 [?]

각 업체별 입장을 순전히 제 개인적 추측(?) 으로 정리해 보면요...
myID.net (MyID 아닙니다 ^^) 의경우에는 오픈마루의 주력 서비스는 아니구요, 오히려 오픈마루의 다른 서비스들이 오픈아이디 기반으로 갈 것 이때문에, 대중성있는사용자 기반을 끌어내는데 꽤 큰 공을 한 것이구요. idpia 의 경우 전형적인 보안솔루션 업체이므로, 오픈아이디 대중화를통해서 기업시장에서의 오픈아이디가 힘을 받으면, 기업전용 오픈아이디 솔루션쪽을 보실 것 같구요.
idtail 은 재미있게도, 신규 웹2.0 서비스을 하시려고 하면서도, 안철수 연구소 소속이라 양다리도 가능하실 듯. 암튼, 모두에게 득이 더 클 것으로 생각됩니당.

/Kay님, 정리하자면 1차적인 목표는 내부의 수요를 충족시키기 위함이로군요. 엔터프라이즈용 OpenID 솔루션에 대한 수요는 저 또한 동감하는 바입니다. myID.net 측에도 관련 문의를 많이 받고 계시죠? ㅎㅎ

# by 넷콩 | 2007/07/05 18:08 | OpenID | 트랙백 | 덧글(0)

2007년 07월 04일

당신의 비밀번호 안녕하신가요?

■ 인터넷 비밀번호 관리요령
문자·숫자·특수문자 섞어 8자 이상 돼야
자동로그인·오픈ID 인증서비스 등 편리

최근 비밀번호가 노출돼 사생활 침해 등의 피해사례가 잇따르고 있다. 비밀번호를 노출할 경우 사생활침해는 물론 금전적인 손실까지 볼 수 있어 세심한 주의가 요망된다. 비밀번호 관리요령 등에 대해 알아본다.

사례1:톱스타 보아의 미니홈피 정보를 빼낸 범인은 메일을 통해 보아에게 사생활 정보를 유포하겠다며 금품을 요구하다 폭력행위 및처벌에 관한 법률 위반 등의 혐의로 구속됐다. 싸이월드 측은 "경찰에 따르면 가수 보아의 미니홈피는 해킹이 아니라 비밀번호유추에 의한 범죄"라고 밝혔다. 싸이월드는 또 "타인이 생각해 낼 수 있는 쉬운 조합의 비밀번호는 유실될 가능성이 있다"고지적했다.

이처럼 비밀번호가 노출돼 사생활 침해가 잇따르고 있다. 특히 이달초 금융감독원 분쟁조정위원회는 카드 절도범이 비밀번호를유추해 불법적으로 부정현금인출 때 '은행에 과실이 없다'는 결정을 내리기도해 비밀번호 관리의 중요성을 더했다. 비밀번호를 잘못관리하면 자칫 금전적인 피해도 입을 수 있고 어디 하소연할 곳도 없다. 이번 기회에 자신의 비밀번호를 점검해보자.

보안전문가들은 해킹에 강한 비밀번호는 최소 8자리 이상, 15자리 이상이면 이상적이라고 입을 모은다. 또 문자와 숫자, 특수문자 등을 섞어 만들면 더욱 안전하다는 것.

＃기억하기 좋고 해킹에 강해야

사례2: A씨는 예전에 자주 방문하던 한 인터넷 사이트를 들어갈 일이 생겼다. 그런데 아이디와 비밀번호가 생각나지않는다. 자주 사용하는 아이디와 비밀번호들을 아무리 입력해 봐도 잘못된 비밀번호라는 메시지만 나온다. 어쩔 수 없이 비밀번호찾기 등을 누른다.

누구나 흔히 겪을 수 있는 일이다. 부경대 김창수(전자컴퓨터정보통신공학부) 교수는 "비밀번호 만드는 공식 여러 개를조합해 사용하면 해킹이나 유추를 차단하고 기억하기도 좋다"고 설명한다. 김 교수의 노하우를 살짝 공개하면 △영어이름 △음력생년월일 △연구실 번호 △팝송가사 등을 섞어 비밀번호를 만들어 사용하고 분기별로 조합방법을 다르게 한다는 것. 또 수첩 등에'생일+연구실' 등으로 조합방식만 메모해 놓으면 나중에 기억하기도 좋고 유출될 위험도 적다는 설명이다.

＃자동로그인 프로그램도 편리

비밀번호를 잘 잊어버리거나 수많은 비밀번호를 관리해야 사람은 자동로그인 프로그램을 이용하면 편리하다.'알패스(altools.co.kr)'나 '이지패스(easypass.secutronix.com)' 같은 무료 소프트웨어도 나와있다. 알패스는 사용자가 미리 입력한 웹사이트의 로그인 정보를 저장하였다가 해당 웹사이트가 열리면 자동으로 주소를 감지하여아이디와 비밀번호를 입력해준다. 이 프로그램만 설치되어 있으면 회사나 집 등 장소에 상관없이 이용할 수 있다.

또 한 곳에 자신의 대표 아이디와 비밀번호, 그리고 이메일 주소를 등록해 놓고, 이 대표아이디로 어디서든 로그인할 수있는 '오픈아이디' 인증서비스 도입도 늘고 있는 추세다. 현재 '마이아이디넷(myid.net)'과 안철수연구소의'아이디테일(idtail.com)', 이니텍의 '아이디피아(idpia.com)' 등이 서비스를 시작했다.

임원철기자 wclim@busanilbo.com

/ 입력시간: 2007. 06.20. 09:28

# by 넷콩 | 2007/07/04 22:12 | OpenID | 트랙백(3) | 덧글(2)

2007년 07월 04일

우리나라 오픈ID 생태계 둘러보기

지난 1월 엔씨소프트 오픈마루 스튜디오에서 오픈ID 인증 서비스 마이ID넷을 서비스를 선보이면서 주목을 받았던 오픈ID의 성장 속도가 매우 빠른 것 같다. 오픈ID를 지원하는 인터넷 서비스들이 속속 나오고 있고 오픈ID 인증 사업에 출사표를 던진 곳도 벌써 3개에 이른다.

쓸 수 있는 사이트가 늘다보니 그 효과도 점점 커지는 모양새다. 써본 사람 입장에서 말하자면 회원 가입 안해도 되니 이 얼마나 좋은가~ 하나의 ID만 있으면 여러 서비스에 로그인할 수 있는 상황이 현실화되가는 모습에 그저 놀랄 따름이다.

"오픈ID, 사용자 중심의 인터넷 기반 될 것"

개인 블로그를 제외하면 오픈ID로 로그인할 수 있는 우리나라 인터넷 서비스는 오픈마루 스프링노트, 더블트랙 미투데이, 라이프팟, 아이두가 대표적이다. 국내 오픈ID 적용 사이트 목록은 오픈ID커뮤니티를 참고하면 된다.

스프링노트 화면이다. 스프링노트는 온라인상에 내 정보를 기록하고 관리할 수 있는 '인터넷 상의 내 노트'를 표방하고 있는데, 벌써 가입자수가 1만명을 넘었다고 한다.

지난 3월 블로고스피어를 뜨겁게 달군 미투데이 역시 오픈ID를 이용할 수 있는 곳이다. 오픈ID와 자신의 비밀번호만 치면 바로 로그인이 가능하다. 라이프팟 등도 비슷한 과정을 거쳐 로그인할 수 있다.

오픈ID를 적극 포용한 서비스들은 대부분 새롭게 등장한 뉴페이스다. 이를 감안하면 오픈ID는 앞으로도 네이버, 다음, 싸이월드 등 기존 인터넷 서비스들보다는 신생 사이트들을 강하게 파고들지 않을까 싶다. 안철수판 딕닷컴 펌핏에도 곧 오픈ID가 적용될 예정이다.

앞으로 블로고스피어에서 관심을 끄는 2~3개의 인터넷 서비스가 오픈ID를 추가로 지원할 경우 우리나라 오픈ID 생태계는 성장에 한층 탄력을 받을 것 같다. 조심스럽지만 "기존 인터넷 업체들도 오픈ID를 지원해야 한다"는 여론이 확산될 것이란 예상까지 해보게 된다.

오픈ID 인증 서비스 사업에 뛰어드는 업체들도 늘고 있다. 오픈마루에 이어 안철수연구소, 이니텍 등 보안 업체들이 공식적으로 출사표를 던졌다. 안연구소와 이니텍은 비슷한 시점에 각각 ID테일과 아이디피아란 오픈ID 인증 서비스를 내놓은 상황이다.

안랩,'안철수판' 딕닷컴을 띄운 이유는?

개인적으로 이들 업체들이 오픈ID 서비스로 어떤 비즈니스 모델을 만들어낼지 매우 궁금하다. 초기 시장인 만큼, 당분은 파이를 키우는 마음으로 선의의 경쟁을 펼치겠지만 저변이 확대되면 웃는자와 우는자는 나눠질 수 밖에 없다. 판세가 정해지는데 있어 서비스 업체가 갖고 있는 신뢰는 최대 변수가 될 가능성이 높다. 요즘들어 부쩍 '신뢰'라는 말을 강조하는 안연구소의 행보가 예사롭지 않은 것도 바로 이 때문일까~

안철수 전 사장이 하고싶은 일...

# by 넷콩 | 2007/07/04 22:05 | OpenID | 트랙백 | 덧글(0)

2007년 07월 04일

OPEN ID

1.오픈아이디는 어떻게 움직이나
-http://enthusiasm.cozy.org/archives/2005/05/openid/
-http://enthusiasm.cozy.org/archives/2005/05/openid-part-ii/
-http://enthusiasm.cozy.org/archives/2005/05/openid-part-iii-pingpong/
-http://enthusiasm.cozy.org/archives/2005/05/openid-part-iv-url-as-global-identifier/

Here is the scenario in words.

1. Alice visits Steve.
2. Steve prompts Alice for her OpenID URL.
3. Alice reveals here OpenID URL to Steve.
4. Steve cleans up the OpenID URL Alice Revealed.
5. Steve Fetchs the OpenID page Alice revealed from Bob.
6. Bob normalizes the OpenID URL and redirects Steve.
7. Steve fetchs the actual OpenID from Bob based on Alice
   and Bob's input.
8. Bob returns Alice's OpenID page.
9. Steve extracts the OpenID service end point from that page.
10. Steve requests an assertion from Victor, via Alice, to prove
    that Alice controls the OpenID page she claims.
11. Alice asks Victor for the assertion Steve wants.
12. Victor checks that it's Alice who's asking.
13. Victor, now working for Alice, checks that Alice has authorized telling Steve anything about her.
14. Victor creates the assertion Steve needs, checking of course that Alice controls this OpenID url.
15. Victor signs the assertion.
16. Victor sends that assertion back to Alice.
17. Alice sends the assertion back to Steve.
18. Steve verifies the Victor's signature.
19. Steve studies the assertion and acts approprately.