Windows Live Service team 의 Angus Logan 씨가 Safter Internet Day에 있었던 OpenID UX summit에서 느꼈던 Ineternet 을 보다 안전한 곳으로 만들기 위한 Microsoft의 솔루션에 대해 기술한 블로그를 소개 합니다.
Making the Internet a safer
Social Network에 대한 관심이 높아져가면서 이와 함께 인터넷 사이트 도처에 흩어져 있는 사용자의 연락처 정보들에 대한 관리가 커다란 관심거리가 되고 있습니다.
이러한 정보들을 한 곳에 모을 수 있는 솔루션들도 많이 출현하고 있는데 그 중 대표적인 솔루션으로 Octazen(http://octazen.com/product_abi.php) 사의 Contacts Importer(Address Bokk Grabber)를 꼽을 수 있습니다.
* 물론 아쉽게도 국내 포털 사이트의 연락처 데이터를 가지고 오는 기능은 현재 제공하고 있지 않습니다. 
사용자가 어플리케이션에 자신의 아이디와 패스워드 정보를 입력하면 이 정보를 바탕으로 자동으로 해당 사이트의 연락처 정보를 가져오는 시나리오가 되겠는데요…..[테스트해보기]
문제는 여기서부터 시작 됩니다.
솔루션을 개발한 업체를 못 믿어서 하는 이야기는 아닙니다만, 사용자만 알고 있어야 할 정보(아이디/패스워드)를 자신의 연락처 정보를 관리해 준다는 기능을 위해 울며 겨자 먹기로 솔루션 업체 (혹은 어플리케이션)에 알려 준다는 건 어딘가 보안상 불편한 느낌을 지울 수 없게 됩니다.
(그럴 리야 없겠습니다만, 악의적인 관리자에 의해 개인정보는 충분히 악용될 수 있는 소지가 있습니다.)
[내 아이디와 패스워드를 달라고???]
사용자의 정보는 사용자와 인증정보를 관리하는 곳만이 알고 있어야 하는 것이고, 그 이외의 사이트에서는 이에 대해 알 필요도, 관리도 해선 안 된다.
라는 지극히 당연하다라고 생각되지만 현실적으로 그래오지 못했었던 부분을 바로잡고자 하는 시도들이 인터넷 상의 인증프레임워크를 갖추는 일 입니다.
지난해 대형 온라인 경매사이트의 개인정보 유출 사건을 되돌아 보면 왜 인터넷상의 인증 프레임워크(서비스)가 필요한 것인지를 충분히 느끼실 수 있을 것입니다.
Microsoft의 LiveID(Delegated Web Authentication) 와 OpenID/oAuth 가 바로 이러한 문제들을 해결하기 위한 시도들 입니다.
Microsoft의 LiveID는 서비스는 Microsoft platform은 물론이고 Ruby, Phyton, Java, PHP, Perl 등과 같은 멀티 플랫폼을 지원하며 조만간 정식으로 OpenID까지 지원하는(참조 - Windows Live ID Commits to Support OpenID http://winliveid.spaces.live.com/blog/cns!AEE1BB0D86E23AAC!1745.entry) 가장 앞선 인터넷 기반의 인증 서비스를 제공합니다.
(Windows Azure Service Platform을 사용하기 위한 기본 인증 서비스이기도 합니다.)
인증을 위한 요청 흐름은 다음과 같이 정리될 수 있습니다.(여기서 데이터를 요청하는 어플리케이션을 – Application Provider(어플리케이션 프로바이더)/ 데이터를 제공하는 웹 사이트를 – Resource Provider(리소스 프로바이더)라고 합니다)
먼저 사용자는 특정 어플리케이션(어플리케이션 프로바이더)이 자신의 정보를 웹 사이트를 통해 얻어갈 수 있도록 허용하겠다고 허가를 하면, 인증프레임워크(서비스)는 어플리케이션(어플리케이션 프로바이더)에 인증토큰을 발급해 주고, 어플리케이션(어플리케이션 프로바이더)은 이 인증토큰을 사용하여 웹 사이트(리소스 프로바이더)에 사용자의 정보를 요청하는 순서가 됩니다.
[데이터를 가지고 올 Resource Provider 를 고르자]
[Windows LiveID 를 통한 인증]
[사용자는 Application Provider가 자신의 데이터에 접근할 수 있는 권한(Read,Write/ReadOnly/WriteOnly) 및 접근할 수 있는 기간을 지정함 – 인증토큰 발급]
[인증 토큰을 바탕으로 Application Provider가 가지고 온 Resource Provider의 데이터]
이 경우 실제 사용자의 아이디와 패스워드 정보는 인증 프레임워크(서비스)와 사용자 이외에는 전혀 알 필요도 없고, 관리할 필요도 없습니다.
인증 서비스를 제외한 어느 곳에도 사용자의 정보는 저장되지 않기 때문에 당연히 인터넷의 보안성 또한 높아질 수 밖에 없죠.
인터넷을 통한 네티즌들의 활동이 증가되어 감에 따라 온라인을 통해 생산되는 사용자 데이터는 단순히 연락처 정보를 넘어 사진을 포함한 멀티미디어 데이터, 메일, 어플리케이션 데이터 등 그 동안 일상 생활 속에서 우리가 PC환경에서 생산해 내던 데이터들과 그 양과 종류에서 차이가 없어지고 있습니다.
이렇게 될 수록 인터넷 여기저기 산재된 사용자의 데이터를 조직화 할 수 있는 기능 – Data Portability – 의 요구사항들이 늘어가게 됩니다. 이를 충족 시키기 위해 반드시 고려되어야 할 부분 역시 인증프레임워크(서비스)의 도입이 될 것입니다.
현재 국내의 주요 포털(N사, D사..등등..)들이 경쟁적으로 OpenAPI 를 발표하고 있음에도 불구하고 아쉽게도 아직까지 그러한 API들 중에서 사용자 중심적인 데이터를 제공하는 서비스가 없는 것도 사실은 내부적으로 이러한 인증 프레임워크 도입을 고려하고 있지 않음에 기인하고 있다고 이야기 해도 과언이 아닙니다. (최근에 D사에서는 OpenID 기반의 인증시스템 개발을 진행 중에 있다는 반가운 소식을 들었습니다.)
보다 안전한 인터넷 환경을 만들기 위한 노력. 이제는 선택이 아니라 필수인 시대가 도래했습니다.
자세한 Microsoft의 Data Portability에 관심이 있으신 분은 Windows Live Contacts API 를 살펴보시길 권장합니다.
다음 기회에는 Windows Azure Serive Platform 과 LiveID(인증프레임워크 서비스)와의 관계에 대해 정리해 보는 시간을 갖도록 하겠습니다.