로그인만 오픈아이디로 할 수 있어도 좋을텐데

회원 데이터를 자사 서버에 저장하고 싶어서 오픈아이디를 도입하지 않는다면, 로그인만이라도 오픈아이디로 할 수 있게 하면 안 되겠는가.

하나의 웹 서비스에 새로 가입하는것에 부담(또는 걱정, 거부감)을 느끼는 이유는 사람마다 여러가지가 있겠지만 나의 경우 가장 큰 이유는 '패스워드는 뭘로 해야 하나'이다. 이에 대한 방안으로 사람들은 다른 사이트에 쓰던 패스워드와 같은 패스워드를 쓰거나, 패스워드 관리 프로그램(알패스 등)을 사용하거나, 수첩 또는 포스트잇에 패스워드를 기록해두거나 한다. 그리고 부차적으로 '패스워드는 암호화해서 저장하는가', '로그인 중에 패스워드가 외부로 노출되지 않을까. 노출된 패스워드로 다른곳에 가입한 사이트까지 뚤리면 어쩌지', '나중에 가입사실을 잊어먹고 방치해뒀다가 개인정보가 새나가는건 아닐까' 등의 걱정때문에 매력을 느끼는 서비스라도 선듯 가입하기가 꺼려진다. 이런 사이트를 볼 때 마다 오픈아이디 로그인을 옵션으로 제공했으면 참 좋겠다는 생각이 든다.

적절한 예시는 찾지 못했다. 위 이미지는 스프링노트에서 지원하는 2차 로그인 아이디

패스워드는 뭘로 해야 하는가. 오픈아이디로 로그인이 가능하다면 사용자입장에서는 처음 가입할 때 사용했던 패스워드가 아무리 복잡해도 평소에는 그걸 기억할 필요가 없다. 오픈아이디 패스워드만 기억하면 되니까. 그리고 원한다면 일반 로그인은 아예 막아놓고 사용할 수도 있다.(정 필요할 때는 잊어버린 패스워드를 초기화 하고 사용하면 되고...)

패스워드는 암호화해서 저장하는가. 사용자 입장에서는 알 수 없다. 있는걸 있다고 증명할 순 있어도, 없는걸 없다고 증명하는건 어렵듯이, 패스워드 분실신고했다고 e-mail로 현재 패스워드를 알려주면 '암호화하지 않는구나' 하고 알 수 있지만, 그렇지 않는 경우에는 암호화를 하는지 안 하는지 알 수 없다. 패스워드를 암호화하지 않고 저장하는 경우 사이트가 해킹당하면 패스워드가 유출될 수 있다.

로그인 중에 패스워드가 네트워크상에 노출되지 않을까. 로그안 할 때 보안접속(https)을 지원하는가 아니면 패스워드를 암호화하지 않고 전송하는가의 문제이다. 패스워드를 원문 그대로 전송한다면 누군가가 중간에 패킷을 가로채는 방식으로 패스워드가 노출될 수도 있다. 만약 시큐어 서버와 인증서를 구비해둘 자본이나 기술력 확충이 부담된다면 오픈아이디를 통해 로그인 인증을 위탁하는것도 한가지 방법이다.

가입 여부를 잊어버리는 경우. 주민등록번호로 실명인증을 받고 가입한 경우에는 실명인증기관을 통해 가입한 사이트를 조회하는 방법이 있다. 그러나 e-mail주소 등 최소한의 정보로만 가입하는 사이트까지 알 수는 없다. 그러나 만약 오픈아이디로 로그인한 적이 있다면 조회해 볼 수 있다. 오픈아이디 인증 사이트에서는 한 번이라도 로그인한 사이트(로그인 승인을 한 사이트) 목록을 볼 수 있다. 이를 통해 예전에 가입해둔 사이트를 조회해볼 수 있다.(조회를 해 본 다음에는 예전 생각이 나서 다시 그 사이트의 방문자가 될 수도 있을것이고, 더이상 필요없다며 탈퇴를 하는 사람도 있을것이다.)

RSS가 그러하듯이 오픈아이디에 대한 개념은 아직 많은 사람들에게 낯선것 같다. 둘 모두 장점도 있고 단점도 있지만, 원리를 알고 한 번 써보기 시작하면 굉장히 매력적인 것이고 편리한것이지만 진입장벽이 높은탓에 쓰는 사람은 많지 않고, 웹 서비스 제공자들도 도입의 필요성을 크게 느끼지 못하고있다. 하지만 좀 더 사용자의 입장에서 생각한다면 오픈아이디를 사용하고싶어하는 소수의 사용자들의 위해 오픈아이디 로그인을 옵션으로 제공할 수 있을것이며, 또한 그럼으로 인해 오픈아이디에 진입하는 사용자도 늘어날 것이다. 모든 사람이 오픈아이디를 쓸 필요는 없다. 또한 오픈아이디만 쓰도록 강제하는것도 좋지 않다. 사용자에게 선택권을 주자는 것이다. RSS가 뭔지 모르는 사람이 블로그 사이드바 하단에 있는 이런 아이콘이 있다 한 들 그걸 크게 신경쓰거나 사이트 이용에 불편함을 느끼거나 하지는 않는다. 로그인 폼에 이런 아이콘이 있는건 어떤가.