BroswerID, 새 사용자 중심 인증 방식
최근 페이스북, 트위터 등 소셜네트워크 서비스가 인기를 끌면서 이를 자신의 신원 수단(Identity)으로 활용하여 온라인상의 활동(댓글이나 북마크, 서드파티 애플리케이션 이용)등을 하는 경우가 늘어났다.
이로 인해 개인의 아이덴티티가 특정 벤더에 귀속되어 마치 인터넷 전체가 폐쇄되고 투명하지 못한 업체에 귀속되는 문제의 우려가 있다. 우리 나라에서 주민번호 같은 신원 정보를 모든 회사가 가지고 있어서 해킹에 취약해지고 한번 유출 사고가 엄청난 사회적 비용을 만든다는 점은 이미 겪고 있다.
Mozilla에서는 이러한 문제에 대한 대안으로 최근 ‘BrowserID‘라는 인증 기술을 새로 만들었다. BrowserID는 이메일을 기반으로 하는 클라이언트 인증서를 PC에 저장해서 웹 사이트가 원할때 마다 자신의 신원 정보를 제공하는 사용자 중심의 인증 기술이다.
이는 과거 오픈ID와 유사하나 인증 서비스 공급자는 로그인에 관여하지 않기 때문에 온라인 활동에 대한 기록이 남지 않는다. 또한, SSL 클라이언트 인증과 유사하나 복잡한 인증서 발급 및 갱신 절차를 거치지 않아도 되는 장점이 있다.
BrowserID는 클라이언트에서 웹 기술로만 구현 가능하고 오픈 소스로 제공하며, 통신은 Verified Email Protocol라는 보안 프로토콜을 사용한다.
이 기술은 본질적으로 PKI 기술을 기반으로 하여, 클라이언트에 인증 정보를 저장하는 것으로 현재 진행 중인 Web Cryptography API가 완성되면 BrowserID 역시 본격적으로 서비스될 것으로 생각된다.
현재 데모로 만들어진 browserid.org 사이트를 통한 인증서 발급과정은 인증서를 PC에 저장하는 절차를 생략한 채 browserid가 신원 인증서를 웹 사이트에 제공하도록 만들어져 있다. (이 부분은 향후 브라우저쪽 코드가 개선되면 바뀌어야 하는 구조.)
물론 여기에도 몇 가지 비판이 있다. 클라이언트가 해킹되면, 브라우저 키 저장소가 위험하다는 것과 인증 수단으로서 이메일 주소의 범용성 등등이 있다.
하지만, 궁극적으로 장기적으로 보았을 때 이메일 주소를 이용해 브라우저 내부에 인증서를 저장하는 분산된 사용자 중심 인증 수단은 계속 발전해야 한다고 본다. (오픈 ID는 성공하지 못했지만) 브라우저ID는 웹 브라우저의 암호 및 인증 기능의 성능을 높히는데 도움을 줄 것이다.
p.s. 한 가지 꿈을 꾸어 본다면 국내의 공인 인증 체계도 브라우저ID를 채택해서 다수의 ID Authority 들도 신원 인증 서비스에 들어갈 수 있는 법적 체계가 만들어지면 어떨까?
본 글은 Mozilla AsiaCamp 후기로서 최근 Mozilla 커뮤니티의 웹 기술 혁신 시리즈로 연재할 예정입니다.
- Firefox 모바일 네이티브 UI 버전 개발 착수
- Mozilla B2G, 진정한 웹 OS가 온다
- Firefox 기반 오픈 웹앱스토어 대안될까?”
- 공인인증 ActiveX 걷어낼 웹 표준 만든다
- BroswerID, 신개념의 유저 중심 인증 기술