메일주소를 ID 로 쓰는 별도의 계정일 뿐입니다. 따라서 e-mail 을 ID 로 쓰는 사이트도, 암호는 추가로 받습니다. 따라서, 비슷한 암호가 여러 사이트에 반복 기재되기 쉽기 때문에 보안상 매우 취약합니다.
하지만 오픈아이디는 한군데만 암호를 저장하기 때문에, 암호를 좀더 자주 좀더 변경할 수 있고,좀더 어려운 암호를 유지하기 쉽기 때문에, 보안상 더욱 안전합니다.
또한, 기존의 신규 사이트 이용시에는 매번 가입절차(최소한 암호 정하고, 메일 검증 받기)를 반복하지만, OpenID 는 한 서비스에만 암호를 저장하고 가입절차를 밟으면, 이후 지원 서비스의 이용시 가입절차가 거의 없습니다.
그리고 email은 기재하고 다니는 경우 노출시 스팸이 많아지지만, 오픈아이디는 스팸 염려가 없습니다.
email 을 ID 로 사용하는 경우, email 이 많은 사이트에 노출되기 때문에 많이 쓸수록 스팸메일 공격대상이 됩니다. 하지만, OpenID 는 개인정보의 노출여부를 내가 통제할 수 있기 때문에, 중요한 email 을 전혀 노출하지 않을 수 있습니다
어차피 사이트마다 똑같은 ID, password를 쓰고 있어요. 이 서비스에 따로 가입할 필요가 있나요?(보안)#
새로운 사이트 마다, 가입절차는 계속 반복됩니다. 그러나 오픈아이디 지원서비스의 경우 불필요한 가입이 거의 사라집니다. 같은 ID/password 를 다수의 사이트에 알려주는 것은, 노출의 가능성을 점점 증가 시키는 것입니다. 가입하는 사이트가 많아질수록 악의적으로 또는 기술적인 실수로 노출시킬 확률이 점점 올라갑니다. 그래서, 결국, 많은 사이트를 이용하는 댓가로 보안 위험이 점점 커지거나, 아니면 소수 신뢰할 수 있는 서비스만 사용하므로서, 사용할 수 있는 서비스 수를 제한하거나 둘중 한가지를 선택해야 만 합니다. 하지만, 새로운 서비스는 계속 나올것이고, 대부분은 잠깐 필요하거나 1년에 한번 뿐이지만 들어가야 하는 (이를테면, 연말정산 등의 이유로 들르는 공공사이트들) 수 많은 사이트는 점점 늘어납니다. 솔직히, 지나가다 들러서 머리깍는데, 회원가입하라는 미용실들 짜증나지요?
새로운 방식에서는 가장 신뢰할 수 있는 한 사이트에 만 알려주고, 그 사이트를 통해서만 인증을 하되, 사용하는 사이트의 수가 증가하더라도 암호를 추가 노출하지 않기 때문에 보다 많은 서비스를 안전하게 접근할 수 있습니다.
대부분 해외 사이트들 이지만, 국내에도 많이 늘어나고 있습니다. 특히, textcube 나 제로보드 같은 좋은 오픈소드들이 적극적으로 수용하고 있습니다. 국내 서비스는 웹2.0 신생서비스들입니다. (*주* 국내 지원서비스 목록은 깔끔하게 새로 정리할 필요가 있습니다. )
소탐대실이란 말이있죠? 당장에 작은 불편함은 더욱 큰 편리를 위한 과도기적 현상입니다. 여기 적절한 비유가 있습니다. 예전에 은행 창구에 가서 중요한 거래를 할때, 비밀번호를 창구직원에게 알려주셨죠. 조금 찜찜했지만, 최근에는 창구직원이 비밀번호 입력 키보드를 제시 하면서 본인이 직접 입력하도록 합니다. 그것이 귀찮으셨나요 ? 같은 원리로 보시면 됩니다. ID 는 방문하는 서비스에게 알려주는 것이고, 암호는 내 ID 를 인증해 주는 업체에 알려주는 것입니다. 오픈아이디를 이용하시면 처음 방문하는 사이트가 많아 집니다. 이경우, 그 사이트를 처음부터 신뢰하기는 어렵습니다. 비밀번호는 나의 인증 서비스에만 알려주므로, 이런 사이트에 들어갈때도 안심하고 빨리 들어갈 수 있습니다.
이렇게 사용 패턴이 달라지면서, 오히려 새로운 방식이 더욱 편합니다. 특히, 전용 개인 PC 를 사용하는 경우, 대개의 인증서비스가 제공하는 항상로그인 기능을 켜두면, 오히려, 처음 보는 사이트라도 아이디만 입력하면 그 PC 에서는 바로 로그인 됩니다. 더 편한것 아닌가요? 그리고, 대부분의 경우에 해당하는 상황이고요.
간단히 설명드리겠습니다. OpenID 는 그냥 '표준' 입니다. 그리고, 그 표준을 구현하는 인증 서비스 제공업체는 얼마든지 가능합니다. 특별한 라이센스가 필요없는 공개 표준이기 때문입니다. 그리고, myID.net 은 국내에서 최초로 그 표준을 구현하여 서비스하는 서비스입니다. idtail.com 두번째 OpenID 서비스도 있습니다. 기존 포탈에서도 충분히 구현하여 서비스 가능하며, 다음에서도 openid.daum.net/username 형식으로 서비스하고 있습니다.
오픈아이디는 웹의 통신 규약 (HTTP protocol)이나, 이메일 통신 규약과 같은 표준 규약일 뿐입니다. 따라서, 그 자체는 유/무료를 말하기 어렵습니다. 물론, 기술 라이센스 비용도 없습니다.
다만, 인증업체는 다양한 형태가 가능하므로, 그중에 유료도 나올 수 있구요, 특정 회사 내부 전용 서버도 가능합니다. 대개의 일반 웹 사이트용 IDP 들은 계속 무료일 것입니다. 물론, 비용이 많이 드는 프리미엄 기능들은 부분적인 유료화가 가능하겠지요.
URL 맞습니다. 다만, 좀더 쓰기 편하게 하기 위해서 최대한 중복되는 부분 (http:// 및 기본 도메인명) 등을 생략한 것 입니다. URL 로 했을 때의 장점중 하나는, 실제 존재하는 페이지 (이를 테면, 나의 블로그페이지나 싸이월드 페이지) 만 ID 로 허용하기 때문에, ID 를 받는 쪽에서 좀더 신뢰할 수 있는 근거가 되고 (없는 페이지는 부적절한 ID 로 처리합니다.), 그 신뢰 수준에 맞는 권한을 허용할 수 있게 됩니다. 물론, 내 블로그가 나의 ID 라면, 보통, 한줄답변에 이름,암호,홈피주소 등을 모두 적는 대신, 내 블로그 주소 만 남기면 되고, 한줄 답변을 받는 사이트에서도 차후에 관리할 수 있는 근거가 확보되기 때문에, 스팸 답변등의 부작용에 대처할 수 있습니다.
또한가지 이슈는 기술적인 필요로, 명함에 비유할 수 있겠습니다. 보통 명함에는 회사 전화번호가 적혀 있으므로, 필요시, 그 사람의 신분을 확인하기 위해서 그 회사에 전화를 걸어 볼 수 있습니다. 비슷한 원리로, ID 를 검증하고 싶은 사이트는 그 URL (ID) 의 페이지에 적혀있는 인증 서버에게 인증을 의뢰하게 됩니다. 한가지만 더 말씀드리면, URL 은 이미 보편적인 기술이기 때문에, 기존에 지원하는 툴/시스템이 많습니다. 그 것을 그대로 재활용 할 수 있습니다. 이를테면, 나의 지인의 아이디를 북마크 해두면 북마크가 간단한 주소록 기능을 하게되는 것이지요. 멋지죠?
OpenID 는 개방형 표준 기술 이기때문에 필요하면, 개인 도메인을 받는 서버에서 직접 인증 서버를 운영할 수 도 있습니다. 그 과정을 대신하게 하고, 개인이 직접하는 것 보다는, 전문 업체의 것을 이용하면 ID 에 대한 신뢰도 좀더 확보됩니다. 특정 오픈아이디 서비스를 인증서버로 쓰려면, 개인 도메인 소유 여부와 관계없이 그 오픈아이디 서비스 계정은 만드셔야 합니다. 물론, 지원 서비스들에 방문할때 개인 도메인을 ID 로 사용하되, 인증은 특정 오픈아이디 서비스 의 계정을 통해서 하도록 설정할 수 있습니다. (내 주소를 OpenID 로 쓰는 모든 방법)
ID 자체는 아무 개인정보를 표현하지 않습니다. 다만, ID 와 관련해서, 방문하는 사이트에서 사용자에게 필요한 정보(e-mail 등)를 요청할 수 있습니다. 이때 요청된 정보의 전달여부는 전적으로 사용자가 결정합니다.
한 사람이 오픈아이디를 여러개 가질 수 있나요? 다수의 오픈아이디를 갖게 된다면, 여러개의 아이디와 비밀번호를 갖고 있는 것과 유사한 문제가 발생하지 않을까요?#
가질 수 있지만, 한정된 소수의 몇 개만 필요하게 될 것입니다. 기존의 경우, 내가 가입하는 사이트마다 계정을 추가로 만들어야 하므로, (잠깐이라도) 방문하는 사이트가 늘어날 수록 계속 증가하게 되며, 결국 몇개의 사이트에 어떤 아이디(같은 ID 로 가입이 항상 보장되지도 않습니다.)로 가입했는지 관리가 거의 안됩니다. OpenID 의 경우, 꼭 필요하다면 용도와 신뢰수준등의 경우의 수에 비례해서만 증가 할 것입니다. 이를테면, 전자상거래용, 블로그나 미니홈피용, 댓글용 등 용도별로만 하나씩 가지면 되겠죠. 즉, 계속 늘어나는 100 개가 아니라, 제한된 5 개 미만일 것입니다.
추가로, IDP 들은 자신들이 제공하는 하나의 ID 만 가지고 충분하도록 경쟁할 것이기 때문에 결국은 한두개로 충분하게 될 것입니다.
네이버나 다음, 싸이월드 같이 자신들의 회원을 많이 보유한 포털의 경우 오픈아이디를 빠른 시일안에 지원할까요?#
포탈의 성격과 정책에 따라 다릅니다만, 일반적으로 로그인 기반의 포탈은 자신의 로그인 기반을 더욱 강화할 수 있기 때문에, 지원하는 서비스가 많아 질 수록 유리할 것입니다. 다만, 각 포탈이 사용자를 자신의 서비스들만 쓰도록 묶어두는 정책을 취하려고 할 경우, 지원을 보류할 수 있습니다. 다음에서는 이미 다음 오픈아이디와 다음 블로그를 통해서 오픈아이디를 제공하고 있습니다.
포탈의 모든 서비스의 지원은 시간이 좀 걸릴 것입니다. 포탈의 서비스별, 사용자 활동별로 점진적인 지원은 충분히 기대됩니다. 이를 테면, 가벼운 블로그 댓글 부터 우선 지원할 수 있습니다.
(위 질문에 이어) "지원하는 서비스가 많아질수록 유리하다?" 무슨 말인지 모르겠어요. 좀더 설명해주세요.#
특정 포탈 ID 로 접근 가능한 서비스가 타 업체의 서비스들로 까지 확장 되기 때문에 포탈 ID 에 대한 가치가 높아 질 수 있을 것이라는 판단입니다.
ID 는 인증이 필요한 서비스에게 알려주는 것이고, 암호는 ID 를 인증해 주는 업체에 알려주는 것입니다. OpenID 에서는 두 업체를 분리하기 때문에, 필연적으로 따로 입력하게 됩니다. 두 업체를 분리해서 얻는 잇점은, 보다 신뢰할 수 있는 업체(인증업체)에만 암호를 알려주면 되기때문에 모든 서비스에 일일히 암호를 알려주는 것보다 보안상 보다 안전합니다. 두번째 이유는 전자상거래등의 경우, 암호 인증은 신뢰할 수 없기 때문에, 인증서등의 강한 인증 수단을 이용하는데, 이경우도 OpenID 인증업체를 인증서 기반의 업체로 바꾸면 그대로 사용할 수 있습니다. 즉, 암호는 여러 인증방법중 하나일 뿐이며, 목적에 따라 훨씬 강력한 보안장치를 지원할 수 있게 하기위해서 ID 제시와 인증수단(흔히 암호제시)을 분리한 것입니다.
보안상 주의 하실 점은, 암호를 넣으실때 반드시 해당 페이지의 URL 이 인증제공 업체의 것인지 확인하셔야 하며, OpenID 에서 ID 와 비밀번호를 한 업체에서 함께 받을 수는 없기 때문에, 어떤 사이트에서 그러한 로그인 폼을 제시한다면, 반드시 악의적인 의도를 의심하셔야 합니다.
OpenID 는 편리성과 보안성을 분리해서 운영할 수 있게 해줍니다. 따라서, 보안수준이 높은 인증 서비스로 인증을 하면서도, 서비스의 편리성을 위해서 서비스 별로 자동로그인 등을 제공하면 됩니다. 기존의 방식은, 편리성과 안전성을 한 업체에서 제공하기 때문에, 둘 중 하나를 포기해야 하는 경우가 많습니다. 특히, 포탈의 경우, 수십개의 서비스가 하나의 인증 시스템을 공유하다 보니, 개중에는 보안상 위험하거나, 또 다른 것은 불편하거나 하는 서비스들이 생기는 것이 현행 포탈 방식의 문제점입니다.
오픈아이디를 지원하는 사이트의 경우, 제 오픈아이디로 로그인하면 기존의 서비스(블로그처럼 내 공간이 있는)를 불편없이 사용할 수 있게 되나요? 기존 서비스 내에서도 새로운 인증 절차를 거쳐야 하나요?#
서비스별 정책에 따라 달라집니다. 다만, 블로그 처럼 내가 로그인해서 체류하는 시간이 길고, 그 블로그 시스템/서비스를 비교적 신뢰하고 있다면, 그 블로그 주소를 을 ID 로 사용하고 인증기능을 제공하는 경우가 가장 편할 수 있습니다. 초기 단계에는 기존 서비스에서 확실히 불편했던 부분, 이를 테면, 방문객에게 간단히 코멘트를 남기도록 하고 싶지만, 스팸때문에 가입을 시킬 수 밖에 없었던 경우를 OpenID 인증으로 교체한다면, 방문객은 추가 가입없이 코멘트를 남길 수 있고, 사이트는 가입절차를 강요하지 않으므로 좀 더 많은 방문객의 참여를 이끌어 낼 수 있습니다.
사이트에 오픈아이디로 로그인하는 것과 가입한 후 회원아이디로 로그인 하는 것에 차이가 있나요? 혹시 오픈아이디로 로그인했기 때문에 차별을 받지는 않나요?#
역시 각 사이트의 정책에 따라 다릅니다. 정확히 말씀드리면, OpenID 와 사이트 자체 ID 와의 차별이라기 보다는, (자체 ID 시스템을 포함해서) 각 ID 제공 서비스들의 신뢰도 차이에 영향을 받습니다. 즉, 국가기관에서 인증하는 ID 와 개인이 인증하는 ID 의 신뢰도가 같을 수는 없을 것이고, 그에 따라 사이트에서도 대접이 달라 질 수 밖에 없겠죠. 재미있는 것은, 사이트에서 인증서등의 높은 보안 수준의 ID 를 제공할 수 없을 경우, 암호인증의 자체 ID 보다 외부의 높은 수준의 인증기관이 제공하는 ID 가 더 신뢰할 만한 것이 됩니다.
"지금 이 순간에도 구글과 네이버, 다음은 이메일과 아이디를 통해, 당신을 훔쳐보고 있다" (어떤 블로그에서 인용). OpenID는 이 문제를 더 심각하게 만들지는 않나?#
기술적인 문제는 아닙니다. 원칙적으로는 웹상에 어떤 기록을 남길때, 저자의 ID (e-mail 포함한) 도 본인의 동의(명시적또는 암묵적으로)를 얻어서 노출되어야 합니다. (물론, 그것도 법적으로 보장 되어야 합니다.) 다만 대개 검색엔진에 노출되는 경우는, 본인이 사이트에서 e-mail 또는 ID 노출을 (암묵적으로) 승인 했거나, 또는 신뢰할 수 없는 사이트에 ID 를 알려준 경우이다. 이것은 마치 자신의 실명을 노출시키면서 사회적인 행위를 할 경우, 그를 통한 평판이 쌓이는 것이나 마찬가지이다. 좋은 평판이 쌓일 수도 있고, 나쁜 평판이 쌓일 수도 있다. 다만, 여러개의 ID 를 적절히 사용하면 되며, 결국, 각 ID 로 행한 행동으로 인한 결과는 그 ID 의 가치로 되돌아오는 것이므로, 오히려 인터넷 자체 정화장치로 작동할 것이다.
OpenID 서비스가 어떠한 이유로 중지되었을때(사고 혹은 임의적중지) - 본질적으로 이는 하나의 서비스 이므로 - 너무 많은 걸 잃을 것 같은데요? 이 서비스가 최소한 제가 죽을때까지 유지될 것이라는 보장이 없는 상태(감시자는 누가 감시하지와 비슷한 문제일수도...)에서 위험하지 않을까요?#
다른 모든 서비스와 마찬가지로 ID 서비스 제공업체의 신뢰성과 직접 관련된 문제입니다. 다만, OpenID 기능상의 차이점은 ID 는 그대로 유지한채 인증 제공업체를 교체할 수 있습니다. 이를 테면, 내가 직접 보유하고 있는 개인도메인을 ID 로 사용하면서 인증업체는 A 사를 이용하다가, A 사가 중지된 경우 B 사의 것으로 교체할 수 있습니다. 따라서, 자유경쟁이 가능하다는 것이지요.
나의 OpenID 서버가 해킹되면 이 서비스로 가입한 사이트들 전부 뚫려버리는 거 아닌가요?#
가능합니다. 하지만, 이것은 포탈 ID 도 해킹되면, 그 포탈에서 가입한 서비스 전부가 뚫려버리는 것과 같습니다. 결국, 이 기술 자체의 문제라기 보다는, 인증 서버를 제공하는 업체의 신뢰도 문제입니다. 이런 질문을 하고 싶습니다. 현재, 공인 인증서를 발급하는 금융결제원 같은 기관이 해킹되면 어떻하죠 ? 결국 여러분이 선택한 인증 업체의 보안/신뢰수준에 맞는 서비스에만 사용하실 것을 권장합니다.
스프링 노트에 로그인할때는 암호를 물어보았는데, 라이프 팟에 로그인할 때는 안 물어보내요? 그러면 누구나 제 아이디를 알면 비밀번호 몰라도 접속이 된다는 뜻인건가요? 공용 PC 에서는 위험하지 않나요?#
그렇지 않습니다. 일단, 사이트에게 해당 아이디를 인증해주는 것은 본인의 인증 서비스 로그인 상태입니다. 따라서, 인증서비스 로그인 상태가 유지되는 동안은 비밀번호 입력은 필요없습니다. 인증 서비스 로그인 상태가 얼마나 유지되는지는 인증 업체마다 다릅니다.
주의가 필요한 부분은 인증 서비스 로그인 상태는 다른 사이트에 로그인하는 싯점에만 필요합니다. 따라서 인증서비스 로그아웃의 효과는 이후 사이트 인증이 안되는 것을 의미할 뿐이며, 로그인된 사이트들을 로그아웃 시키는 것은 아닙니다. 사실 개별 사이트의 로그인 상태 (세션.)는 사이트별로 독립적입니다. 구현방식도 독립적이구요, 세션이 아예 없을 수도 있습니다.
따라서, 특히 PC 방에서 사용하실 때는 각 사이트별로 로그아웃 하시는 등의 주의가 필요합니다. 사실, PC 방에서 포탈을 이용하신 후 수행해야할 보안 지침과 동일합니다.
인증서비스 로그아웃 만으로는 부족하구요, 쿠키를 제거하고, 브라우저를 닫는 등 일반적인 보안지침에 따라 것을주시면 됩니다.
Passport 와 기능상 유사합니다. 가장 큰 차이점은 ID 인증을 MS 가 독점했기 때문에, 독점력 행사에 대한 우려때문에 지원 업체가 늘어나지 않았습니다. 또한, 오직 MS 만을 신뢰해야만 하는데 반해서, OpenID 는 인증 업체를 사용자와 서비스가 필요한 신뢰수준에 따라 선택할 수 있기 때문에 독점의 부작용이 적습니다.
사이트 이용자 수가 늘어납니다 : 2005년 일본이 시행한 비자 면제기간 동안 일본 여행객수가 20% 증가했습니다.
사실, 좋은 고객이 될 수도 있는 사용자들을 쓸모도 없는 개인정보나 계약서로 문전박대 하지 마십시오.
이용자의 신뢰도를 쉽게 확인할 수 있으므로 신뢰할 수 있는 이용자의 사이트 이용을 증가시킬 수 있습니다.
이렇게 방문 및 체험자수가 늘어남에 따라 가입 회원 수도 따라서 늘어납니다.
(이용자 승인 하에) 필요한 이용자 정보를 제공받아 보다 정확한 맞춤 정보를 제공할 수 있습니다.
(이용자 승인 하에) 필요할 때에 가장 최신의 이용자 정보를 받을 수 있으므로, 이용자 정보의 저장/관리 비용이 절감됩니다.
오픈아이디를 지원하는 서비스들 간에 자연스러운 네트웍이 형성됩니다. 독립 서비스들도 소위 네트웍 효과를 만들 수 있는 것이지요.
OpenID를 사이트에 적용하기 위해서는 OpenID를 제공하는 Provider 들과 제휴나 계약을 해야 하나요?#
오픈아이디는 공개 표준이기 때문에, 특별한 제휴나 계약은 필요하지 않습니다. 다만, 적용사이트에 방문하시는 대다수 분들이 아직은 어떤 업체의 오픈아이디도 가지고 계시지 않기때문에, 이부분에서 사이트에서 제공하는 발급링크에 기본으로 특정업체 것을 지정하게 됩니다.
myID.net 의 경우에는 지정하시면, 사용자가 myID.net 에서 오픈아이디를 발급후에 다시, 사이트로 로그인하는 것까지 연결되는 JointSignUp 를 제공합니다.
(물론, myID.net 을 기본 발급사이트로 지정하실때도 추가 비용은 없습니다.)
idtail.com 의 경우에도 myID.net 의 JointSignUp 과 유사한 기능을 제공하고 있습니다
사이트 운영자가 스팸댓글 때문에 가입시킬수 밖에 없던 상황을 openid로 대체할 수 있다고 한 거 같은데요, 만약 스팸봇이 openid와 내용을 작성하고 인증을 spam서버에서 받는다면 결국 같은 결과가 아닌가요?#
네. 가능합니다. 하지만, 상당히 어려워집니다. 하지만, 오픈아이디만으로 모든 문제를 해결할 수는 없습니다. 특히, 신뢰 시스템은 오픈아이디 기술 위에 구축되어야할 과제입니다. 마치, 현재의 이메일 시스템과 유사합니다. 일단, ID 와 ID 인증도메인이 '사실기록'으로 남길 수 있기때문에, 적어도 어떤 ID 는 스팸이고 어떤 인증도메인도 스팸이다라는 정보를 구축하고 공유할 수 있을 것입니다. 이러한 black list 나 white list 에 근거해서 스팸에 대처할 수 있겠습니다. 물론, 아직은 오픈아이디 사용자체가 적기때문에 이른 걱정이다 싶습니다. 신뢰문제는 결국 평판시스템으로 해결되어야 할 것입니다.
다만, 현재는 guest 글쓰기의 경우 아무런 근거 (IP 도 정확하지는 않지요.) 가 남지 않기 때문에 속수무책인 것이지요.
그점에서 오픈아이디는 '근거확보' 라는 딱 한발 개선한 것이라고 생각됩니다. 많이 쓰게 되면, 결국, 스패머 신고센타 같은 것이 블로그 스피어에서 운영되겠지요.
일반적인 로그인/ 회원가입 프로세스를 두지 않고 오픈아이디만 적용하여 사이트를 구축할수도 있나요? 결제가 필요한 사이트에도 가능한가요 ?#
'그냥 와서 여권보이고 관광한다' 는 개념의 서비스 기획 충분히 가능합니다. (블로그 코멘팅이 대표적인 예입니다.) 물론, 별도의 약속이 필요한 경우, 서비스별 약관동의라는 법적인 절차가 꼭 필요한 경우도 있겠지요. 사실, 결제와 인증은 별개의 문제입니다. 기존 시스템의 자체 ID 인증만 교체한 것으로 보시면 됩니다. 물론, 결제를 위해서 추가적으로 확보해야 하는 신뢰수단 (이를테면 실명인증) 도 별도로 처리하시면 됩니다. 차후에, 오픈아이디 서비스들이 이러한 프로세스를 많이 요구한다면, 표준화를 통해서, 인증서버에서 처리하게 발전할 가능성도 충분히 있습니다. (참고: 실명제 연동 방향 http://openid.or.kr/60 )
네. I-pin 과는 이렇게 다릅니다. 우선, 오픈아이디는 인증을 서비스하는 표준화된 방법입니다. 즉, 어떤사실을 어디까지 어떻게 인증하느냐는 다루고 있지 않기 때문에, 다양한 인증에 사용될 수 있습니다. 반면 i-pin 은 대한민국 국민의 신분을 인증하는 것입니다. 한마디로, i-pin 을 통한 실명인증 결과를 오픈아이디 표준으로 서비스업체에 전달하는 형태의 구성이 충분히 가능합니다. 서로 다른 영역인 것입니다. (참고: 실명제 연동 방향 http://openid.or.kr/60 )
우선, 현재 사이트에서 가입시 필요한 개인정보를 사용자에게 입력하도록 하는데요, 이름,이메일,나이, 등등 몇가지 제한된 정보를 사용자 승인을 통해서 대신 받아서 전송하는 것은 스펙에 있습니다. 다만, 기존 사이트에서 직접받는 방식과 차이점은 사용자 측면에서 반복적인 입력을 오픈아이디 제공업체에서 저장해서 사용자는 승인 클릭 만으로 전송시킬 수 있는 편의성 제공이 있습니다. 사이트 쪽에서는 해당 정보를 따로 받는 UI 를 제공할 필요가 없고, 또한 해당 정보를 필요시 마다 요청해서 사용자 승인시 함께 받을 수 있기 때문에 최신정보를 받을 수 있고, 또한 사용자 정보관리 부담이 적어질 수 있습니다. 다만, 현재 스펙상으로는 받을 수 있는 정보종류가 아래의 것들로 제한적입니다.
- 별칭,이메일,실명,생년월일,성별,우편번호,국가,언어,시간대
또한, 전달되는 정보의 정확성등은 보장되지 않습니다. 전통적인 방법으로 사이트에서 직접 사용자에게 입력을 받더라도 입력된 정보의 진위여부를 입증할 수는 없는 것과 같은 이유입니다.
만약, 위의 표준 정보 이외의 정보를 입력받아야 한다면, 가입절차상 사이트에서 추가 화면을 제공하고 이를 통해서 받아야만 합니다.
현재 개발중인 2.0 스펙에서는 정보의 종류를 확장할 수 있고, 또한 정보의 사실여부를 전달할 수 있는 방안등이 모색중입니다.
정리드리면, 몇몇 제한된 정보에 한해서, 사용자 승인을 통해 반복적인 입력작업을 제거해주고, 사이트에는 저장관리 부담을 덜어주되 최신정보를 사용자 승인하에 받을 수 있게해주는 정도의 메리트를 제공합니다.
기술적으로 충분히 가능합니다만, 서비스마다 다릅니다. 어떤 서비스에 오픈아이디로 로그인할 때, 서비스 계정이 만들어 집니다. 이때, 아이디와 계정은 분리되는 개념이므로 가능합니다. 다만, 실제 개별 서비스에서 원래 사용하던 계정의 오픈아이디 변경 또는 오픈아이디 2 개로 한 계정에 로그인할 수 있는 기능을 제공해야 가능합니다. 지원서비스들이 제공할 수 있는 정책들을 모아놓은 RelyingPartyBestPractices 를 참고하십시오.
기술적인 문제는 거의 해결됬습니다. 다만, ID 자체의 신뢰 문제가 됩니다. 즉, 즉정 ID 로 한 모든 activity 는 그 ID 의 평판으로 되돌아 오도록 하는 평판시스템을 통해서 해결하는 것이 궁극적인 방안입니다. 이를테면, 사이트별로 whitelist / blacklist 를 둘 수도 있지만, 오픈아이디의 아이디가 global 하므로, 모든 사이트에 쌓인 평판을 함께 모아서 공유하게 되면 매우 효과적일 것입니다.
OpenID 는 사용자 중심 identity 를 위한 분산형 공개 표준 기술 입니다. URL을 사용자 아이디로 사용하여 namespace 문제를 해결하고, 인증 서버를 분산시키므로써, '단일점 실패' 문제나, '업체종속' 같은 문제를 해결했습니다. 또한, 기존의 URL 기반의 툴들 (이를테면 북마크 서비스등)과 표준 HTTP 라이브러리들을 재활용할 수 있습니다.
좀더 기술적으로 말씀드리면, 하나의 URL의 소유권을 증명하는 분산 프로토콜 이라고 할수 있습니다. 따라서,그 응용 범위가 꼭 아이디 인증일 필요는 없습니다.
네, 아마도 어플리케이션을 통한 인증방법을 말씀하시는 것 같은데요. 쉽지 않습니다. 왜냐하면, 사용자 인증이 인증업체와 사용자 양자간의 보안으로 이루어 져야하기 때문에, 반드시 인증업체 제공방법에 따를 수 밖에 없습니다. 대다수, 오픈아이디 인증업체들은 브라우저 폼을 통해서 사용자와 인증하기 때문에, 브라우저 콘트롤을 인배딩 하는 등을 통해서라도 사용자에게 웹페이지 인터페이스를 제시해야 합니다. 물론, 인증업체에 따라서 배려를 할 수는 있지만, 표준적인 방법은 아닌 것으로 알고 있습니다. OpenID 커뮤니티쪽에서도 이를 위한 표준이 연구되고 있습니다. 아직 Draft 상태입니다. 많은 분들이 필요성을 제기하고 있어서, 기술이 나올 것 같습니다.
오픈 아이디가 기록되는 DB서버는 백업이 어떻게 됩니까? 백업을 보장하나요? 정전이 나거나 서버점검, 화재와 같은 천재지변으로 부터 안전한가요?#
이것은 전적으로 개별 인증 서비스 업체마다 다릅니다. 대개는 WAS, DB, 네트웤장비 들을 이중화 하고, DB 백업 및 개인 정보 관리 보안 체계 등이 주요 이슈입니다. 원격 이중화도 업체에 따라 다릅니다만, 비용이 많이 들기 때문에 지원 업체가 많지는 않을 것입니다. 업체별로 경쟁/차별화 요소가 됩니다.
오픈 아이디를 사용하게 되면 커뮤니티 입장에서 그 회원의 정보를 알수없는 채로 이용을 허락하는거 아닌가요?#
최신정보는 회원이 로그인할 때 마다 갱신하실 수 있습니다. 따라서, 로그인 전이라면, 마지막 로그인시 기준의 회원정보를 가지고 계시는 것입니다. 다만, 한가지 유념하실 부분은, 회원이 기입하고 승인한 정보의 정확성 여부는 전적으로 회원의 자유입니다. 이는 보통 사이트에서 개인정보 기재를 강제하더라도, 소위 허위기재로 가입하는 경우가 많은 것 과 같습니다. 다만, 회원의 사이트 이용에 꼭 필요한 정보라는 인식만 회원에게 전달된다면, 보통은 제대로 기재 하십니다.
복잡한 사이트의 경우, 그 사람에 대한 DB테이블이나 정보들이 구축되어지는데요, 대체 방법이 없나요?#
아마, 사이트에 해당 사람에 대한 계정 레코드가 생성되는 과정을 말씀하시는 것 같습니다. 보통, 특정 오픈아이디로 해당 사이트를 최초 방문할때, 선택적으로 약관동의와 같은 법적 가입절차를 제시하고, 그 아이디로 계정을 만들게 됩니다.