계정(ID) 하나로 운영 주체가 다른 서비스를 이용 가능한 사용자 인증방식이 클라우드 서비스와 모바일 애플리케이션(이하 '앱')에 적용될 길이 열렸다.
26일(현지시간) 미국 지디넷은 구글, 마이크로소프트(MS), 세일즈포스닷컴, GSMA 등이 참여하고 있는 오픈ID재단이 서비스형소프트웨어(SaaS)와 모바일앱 환경을 지원하는 인증프로토콜 '오픈ID커넥트(OIDC)' 최종 버전을 발표했다고 보도했다.
OIDC는 오픈 애플리케이션 프로그래밍 인터페이스(API)를 기반으로 일종의 싱글사인온(SSO) 기능을 제공한다. 도메인, 클라우드, 웹브라우저에 상관없이 모바일 기기까지 인증기술을 폭넓게 사용할 수 있다. 인터넷국제표준화기구(IETF)에서 표준화한 인증프레임워크 'OAuth2.0'의 상위 계층이다.
보도에 따르면 OIDC와 OAuth2.0 둘 다 '표현상태전송(REST)'과 '자바스크립트객체표기법(JSON)'같은 표준을 이용하는 인터넷프로토콜이다. REST와 JSON은 개발자들에게 많은 지지를 받고 있는 데이터 전송 형식으로, 기업들은 이를 사용시 외부 접속 사용자를 위해 방화벽 일부 포트를 따로 열어 둘 필요가 없다.
돈 디뷰 오픈ID 재단 이사는 우리는 이제 공식적으로 표준이 되는 프로토콜을 확보하게 됐다고 말했다.
OIDC가 본격적인 인증 표준 프로토콜로 자리잡기 위해서는 클라이언트단에서 이를 지원하는 환경이 조성돼야 한다는 과제가 남는다.
외신에 따르면 도이치 텔레콤, 구글은 이미 이러한 인증 프로토콜을 도입 중이며, MS, 페이팔, 야후, 버라이즌, 시만텍, 세일즈포스닷컴, 그리고 영국 정부도 OIDC 생태계 구축에 동참하고 있다.
도이치 텔레콤은 지난해 중순에 OIDC 프로토콜을 적용했다. 이를 통해 주요 계정에 접속할 때 한 개 ID, 비밀번호만으로 앞서와 같은 업체들 계정에 접속할 수 있도록 했다.
관련기사
- 구글,보안스타트업 인수…소리로 본인인증2014.02.27
- 하드웨어 품격 좌우하는 SW인증의 세계2014.02.27
- 비밀번호 없앤다…구글판 인증기술 뭐?2014.02.27
- 소프트포럼, 모바일 인증기술 2건 특허 획득2014.02.27
토르스텐 로더스트 도이치 텔레콤 계정관리 담당자는 OIDC는 편의성, 보안성 사이 균형을 맞추고 있다며 특히 관리프로세스를 실행하는데 효과적이라고 말했다.
OIDC에 대해 영국 정부는 지난 2011년 11월부터 계정보장(IDA) 프로그램이라는 제법 규모가 큰 인증 인프라 운영환경의 밑그림을 그려 왔다. 이 나라 내 4개 이동통신사가 참여해 모바일 사용자들을 위한 OIDC 활용에 대해 검토 중이다.
