옥션 해킹 사건으로 온나라가 연일 시끄럽다. 1,100만 가입자 정보 유출이라는 전무후무한 사건이기에 그 파장도 엄청난듯하다. 전자상거래 서비스의 특성상 주민등록번호뿐만 아니라 계좌번호까지 포함되어 있어 그 심각성이 더 하다. 우려했던 일이 현실로 일어나다 보니 후폭풍도 엄청나다. 벌써부터 중국발 아이디 찾기 호출이 폭증했다는 얘기도 있다. 실명과 주민등록번호만 알면 알려주는 ID 조회 서비스가 문제다. 각 사이트 담당자들은 이 기회에 ID 조회 서비스부터 손봐야하지 않을까.

사실 이 문제는 언제 터질지 모를 폭탄 돌리기나 다름 없었다. 개정된 정보통신보호법에 따라 민간기업에 실명 정보 조회를 제공했고 주민등록번호를 친절히 보관할 수 있도록 서비스를 제공했다.  민간에 지나치게 많은 정보를 관리할 권한을 부여했다는 점이 문제다. 게다가 건당 몇십원씩의 비용까지 받았다. 국민의 실명 정보조회를 수익모델로 하는 민간 기업이 전세계에 유례가 있는 일인지 되묻고 싶다.

오픈API와 보안

이제 오픈API에 대해 얘기해보자. 오픈API의 인증 보안은 비교적 견고한 편이다. 이전에 설명한 바 있는 오픈API 인증 원리에 따라 대부분의 오픈API는 대칭키 기반의 인증 방식을 취하고 있으며 기본적으로 별도의 인증키/비밀키를 갖고 본 서비스와 별도의 보안 체계로 동작한다. 따라서 키가 노출되더라도 본 서비스의 비밀번호는 알 수 없다.

보안에는 견고하지만 여기에는 또 다른 문제가 있다. 서드파티 어플리케이션을 이용하려는 일반 사용자들도 인증키/비밀키를 발급받아야 한다는 점인데 이 때문에 일반 사용자들이 서드파티 어플리케이션을 사용하는 것은 쉽지 않은 일이다. 내 비밀번호외에 별도로 API키를 발급받아야 한다니, 과연 일반 사용자들에게 이것을 이해시킬 수 있을까.

오픈API를 이용한 서드파티 어플리케이션들도 로그인 계정과 비밀번호를 직접 받는 경우가 많다. 하지만 무엇을 믿고 이들에게 내 아이디와 비밀번호를 내줄 수 있을까. 만약 이 어플리케이션이 내 비밀번호를 수집한다면 어떻게 될까. 편의를 위해 보안을 희생시킨 대표적인 사례다.

서드파티 어플리케이션의 웹 인증

최근 보안과 편의성 두마리 토끼를 한꺼번에 잡고자 한 새로운 방식이 주목받고 있다.

플릭커 업로더(Flickr Uploadr)는 여러장의 로컬 이미지를 플릭커에 한꺼번에 올릴 수 있는 편리한 어플리케이션이다. 얼마전까지 아이디와 비밀번호를 그대로 입력받았는데 최근 웹 브라우저를 통한 인증 방식으로 변경했다.

소셜 브라우저 Flock도 마찬가지다. 초기에는 브라우저내에 del.icio.us, 플릭커등 여러 웹2.0 서비스의 비밀번호를 요구했고 이를 브라우저에 저장하는 방식이었으나 최근에는 해당 사이트에 직접 로그인하고 권한을 얻어오는 방식으로 변경됐다.

이러한 웹 인증 방식은 반드시 웹 브라우저를 경유해야 한다는 문제가 있지만 일반 사용자가 인증키를 알 필요가 없고, 보안에 비교적 견고한 장점이 있다.

웹2.0 플랫폼의 시대

웹2.0의 시대가 도래하면서 모든 것을 웹에 맡기는 플랫폼의 시대가 도래했다.

하지만 인프라 서비스인 아마존 웹 서비스 S3가 4시간 동안 불통이 된 사례나 이번 옥션 해킹과 같은 사례가 또 다시 발생한다면 신뢰가 무너지는 것은 한순간이다.

오픈API 비지니스가, 아니 플랫폼 비지니스가 성공하려면 사용자의 신뢰를 얻을 수 있어야 하며 이를 위해 견고한 플랫폼과 튼튼한 보안은 기본중의 기본임을 명심해야 한다.