“OAuth 2.0은 안전하지 않다”…프로젝트 리더의 고백

 
By 2012년 7월 28일 
TAGGED :

웹과 모바일에서 널리 쓰이는 OAuth 인증 표준의 미래가 불투명해진 것일까? OAuth 2.0 프로젝트를 주도했던 리더인 에런 해머 라하브가 자신의 블로그에 OAuth 2.0 표준은 나쁜 프로토콜이라는 글을 올리고, 프로젝트와의 결별을 선언했다.

OAuth는 페이스북, 트위터, 등 글로벌 웹서비스 업체들이 지지하는 인증 프토토콜로 OAuth 표준을 지원하는 서비스들은 사용자가 별도로 회원 가입을 하지 않고 OAuth를 지원하는 다른 서비스의 기능을 쓸수 있게 한다. 다수 사용자들은 페이스북이나 트위터 계정으로 OAuth를 지원하는 다양한 사이트를 활용하고 있다. 페이스북, 트위터, MS, 구글, 야후 등이 Oauth 인증 표준의 지자들이다.

OAuth와 춤을 -NHN 개발자 블로그
최근의 인터넷 서비스는 그 자체가 SaaS(Software as a Service)의 형태입니다. 서비스 중에서 사용자가 일부 필요한 것만 사용할 수 있게 한다는 것입니다. Facebook이나 트위터가 세상에 널리 퍼지게된 이유 중에 하나가 외부 서비스에서도 Facebook가 트위터의 일부 기능을 사용할 수 있게 한 것입니다. 외부 서비스와 연동되는 Facebook이나 트위터의 기능을 이용하기 위해 사용자가 반드시 Facebook이나 트위터에 로그인해야 하는 것이 아니라, 별도의 인증 절차를 거치면 다른 서비스에서 Facebook과 트위터의 기능을 이용할 수 있게 되는 것입니다. 이런 방식은 Facebook이나 트위터 같은 서비스 제공자뿐만 아니라 사용자와 여러 인터넷 서비스 업체 모두에 이익이 되는 생태계를 구축하는데 기여하게 될 것입니다.

OAuth 2.0은 2007년 공개된 1.0 버전과 비교해 많은 것이 향상될 것으로 기대됐다. 또 2010년까지는 관련 작업이 마무리될 것으로 보였지만 우여곡적을 좀 겪은 모양이다. 라하브는 “1.0과 비교해 2.0은 복잡하고, 상호 운용성과 사용성도 떨어지고, 완성성도 덜하다. 보다 중요한 것은 안전하지 않다는 것이다”고 직격탄을 날렸다.

라하브에 따르면 가장 큰 문제는 웹과 엔터프라이즈 사이의 갈등이다. 웹과 엔터프라이즈의 의미가 좀 모호해 원문을 그대로 인용한다.(정황을 아시는 분들은 자세한 설명 부탁드립니다.)

“At the core of the problem is the strong and unbridgeable conflict between the Web and the enterprise worlds. The OAuth working group at the IETF started with strong web presence. But as the work dragged on (and on) past its first year, those Web folks left along with every member of the original 1.0 community. The group that was left was largely all enterprise… and me,”

NHN 개발자 블로그에 따르면 OAuth은 시작은 이랬다.

“OAuth의 시작은 2006년에 트위터의 개발자와 소셜 북마크 서비스인 Gnolia의 개발자가 만나 인증 방식을 논의한 때부터였다. 두 회사의 개발자들은 그때까지 API 접근 위임에 대한 표준안이 없다는 것을 알았다. 그래서 2007년 4월 인터넷에 OAuth 논의체를 만든 뒤 OAuth드래프트 제안서를 만들어 공유했다. 그 뒤에 이 활동을 지지하는 사람이 생기게 되었고, 2008년 IETF 모임(73회, 미네소타에서 개최)에서 OAuth가 IETF 표준안으로 관리되야 하는 가에 대한 논의가 있었다. 그리고 2010년에 OAuth 1.0 프로토콜 표준안이 RFC5849로 발표되었다.”

라하브의 주장이 OAuth 인증 표준의 미래에 어떤 의미인지는 확실치 않다. 설왕설래가 오가고 있다. XML 개발을 주도했던 구글의 팀 브레이는 “OAuth은 개발자들에게는 매우 어렵다. 보다 나은 툴과 서비스가 필요하다”고 했고, HTML 리빙 스탠더드 표준의 에디터인 이안 힉슨도 라바브에 동의하며 “OAuth 스펙에서 자시의 이름을 빼겠다고 밝혔다.

더레지스터에 따르면 표준화 과정은 보다 조직적인 것이라며 OAuth는 실패작이라는 주장에 동의하지 않는 의견들도 있다.

국내 개발자분들은 어떻게 생각하시는지 궁금합니다. 많은 의견 부탁드립니다.!!

페이스북으로 댓글을 남기실 수 있습니다.
THE AUTHOR
TECH IT! 블로거 | 전직 출판기획자, IT기자, 축구, 책, 산, 금연 그리고… | @delight412