myID 의 제한적 본인확인, 제한적 적용 소개

OpenID 가 국내에서 실용화, 대중화 되기 위해서는 국내 실정에 맞는 몇가지 과제를 해결해야 합니다. 그중에서도, 실명제가 가장 큰 과제중 하나입니다.

당장 일 방문객 30 만 이상의 국내 대부분의 주요 사이트에서는 '제한적 본인확인제' 를 수행해야 합니다. 결국, 대중적인 사이트에 오픈아이디가 '쉽게' 적용되려면 어떤 식으로든 해결책이 마련되야 하는 것이지요. (물론, 최근에 인터넷 실명제 반대운동도 있습니다만, 정책이 변경되기 까지는, 서비스를 해야지요 ㅎㅎ; )

물론, 현재 제한적 본인 확인제 사이트라도, 오픈아이디 로그인을 허용하는 것이 불가능 한 것은 아닙니다. 오픈아이디를 기존 사이트에 적용할 때 개념상 확실히 구분해야 할 점은 아이디 인증과, 회원 계정의 분리라는 점입니다. 오픈아이디는 아이디와 그 아이디의 인증 기능만을 떼어내어 사용자가 선택한 인증기관에 위임한 것입니다. 따라서, 기존 사이트의 회원계정을 그대로 유지한채, 로그인 방법만 하나더 지원하는 것으로 쉽게 적용할 수 있습니다.

여기서 분명히 할 점은, 오픈아이디는 특정 아이디에 대한 소유권 증명만을 보장하는 것이지, 그 이후에 각 사이트에서 필요한 신뢰에 대해서는 다루지 않습니다. 어찌 보면 기능이 부족한 것으로 볼 수 도 있겠지만, 특정 사이트에서 필요한 신뢰 수준이라는 것은, 사이트별, 국가별 정책에 많이 의존하기 때문에, 오히려 이부분을 사이트에서 로그인후 처리로 맡기어 확장성을 보장한 것으로 볼 수 도 있습니다. 즉, 우리 사이트에서는 프로그램을 통한 로그인을 막고자 한다면, 소위 그림 퀴즈 맞추기 (Captcha test) 같은 것을 요구 해도 되고, 필요하다면, 오픈아이디 로그인 후에, 실명인증을 요구해서 해당 아이디와 함께 기록해 둘 수도 있는 것이지요.

정리 드리면, 당장이라도 모든 오픈아이디 적용 사이트 (RP) 들은 실명제를 적용하는데 아무런 문제가 될 것이 없습니다.

다만, 이 방식으로 많은 오픈아이디 RP 들이 개별적으로 본인 확인을 하는 경우에, 사용자 측과 사이트 측에서 많은 비용과 번거로움이 수반됩니다. 일단, 사용자는 지금도 마찬가지이지만, 각 본인확인 사이트 마다 반복해서 본인확인 절차를 수행해야 합니다. 또한, 사이트 입장에서도 본인확인 구축 비용과 처리 비용이 들어갑니다. 당연하게, 많은 RP 들에서 IDP 에서 한번만 본인확인을 해주는 것을 제안했습니다. 즉, 사용자는 자신의 오픈아이디에 한번만 본인확인을 해두면, 본인확인이 필요한 RP 들에 로그인시에는 해당 확인 사실만 전달되므로 매번 확인하지 않으며, 또한, 주민번호를 각 사이트 마다 입력하지 않아도 되므로 안전합니다. 사이트 입장에서도, 관리의 부담이 따르는 주민번호를 아예 입력받지 않기 때문에 그 관리책임에서 자유로울 수 있습니다.

이번에, myID 를 서비스하는 오픈마루의 또다른 서비스인 레몬펜이 조인스 총선 섹션에 적용되었습니다. 조인스는 아시다 시피, 제한적 본인확인제 의무 사이트입니다. 따라서, 레몬펜 댓글도 조인스에서 남기시려면 본인확인이 필요합니다. 그래서, 우선 실험적으로, myID 에서 본인확인을 하고, 그 사실만 레몬펜에 알려주어, 레몬펜이 본인확인 의무 사이트에 적용시 활용하도록 해보았습니다. 잠시, 사용자 절차 화면을 소개 드립니다.

먼저, 이미 로그인 되어 있다 하더라도, 아직 본인 확인이 안된 사용자가 본인확인 요청 사이트 접근시 다시 로그인을 하게됩니다. 이때, 레몬펜의 기존 기본적인 SREG 항목이외에도 추가적인 정보요청이 발생한 것이므로, myID 는 사용자에게 사이트 인증 승인을 요청을 다시 하게됩니다. 이때, 본인확인 필드가 추가됩니다.

사용자는 본인의 myID 에서 최초 한번만 myID 와 연계된 신용정보기관을 통해 본인확인을 수행하게 됩니다. 이후로, 오픈마루 서비스에서 본인확인이 필요할 때는 일사천리~입니다. 물론, 본인확인시 입력한 실명과 주민번호는 RP 에는 전송되지 않으며, 본인확인 여부만 전달됩니다. 

일단, myID 와 레몬펜 모두 오픈마루의 서비스 이기 때문에 정책상의 문제는 없습니다. 그리고, 기술적으로도 OpenID 1.1 프로토콜을 확장해서 적용했으며, 2.0 프로토콜에 대해서도 고려했습니다. 오픈아이디 커뮤니티에서 이 프로토콜에 대한 피드백을 수렴하여, 국내 표준으로 제안드리고자 합니다. 일단, 레몬펜을 비롯한 오픈마루의 RP 들은 이 프로토콜을 따르게 되므로, 다른 IDP 라도 이 프로토콜 상의 본인인증 요청을 처리해 주시면 적용 가능합니다. 물론, 모든 IDP 의 답변이 신뢰되는 것은 아니겠지만, 그것은 이후의 문제로 남기겠습니다.