AAA(Authentication, Authorization, Accounting)와 생각들

AAA(Authentication, Authorization, Accounting)를 풀어서 번역하자면, 인증, 권한허가, 활동기록 정도로 할 수 있을 것입니다. 이 "트리플 A"로 표현되는 개념은 네트웍 쪽에서 많이 사용되며 확장되어 왔습니다만, 하나의 체계 안에서 구별 가능한 뭔가가 있을때, 그것이 체계안의 구성요소에 대한 접근을 허락하고, 그 활동 기록을 남겨, 궁극적으로 그 체계를 통제할 수 있는 상황에 둘 수 있는 상황이면 모두 적용될 수 있습니다.

1. 예를 들어, 블로그를 운영하는 사람이 글을 쓴다고 가정해 봅시다. 이 사람은 자신의 블로그지만, 관리자 페이지에서 ID와 비밀번호를 입력해야 관리자 페이지에 접근할 수 있게 됩니다. 이 경우, Authentication은 ID와 비밀번호를 넣어 그것이 정말 소유자의 것인지 확인하는 행위를 말합니다. Authorization은 그 ID가 관리자 페이지에 접근하여 글을 작성할 수 있는 권한할당을 의미합니다. 그리고, 관리자 페이지에서 일어난 일들이 어딘가에 기록이 된다면, 그것이 Accounting이 됩니다.
2. 댓글을 작성하는 것으로 예를 들어 보자면, 댓글이 허용된 글에는 간단한 이름, 홈페이지, 비밀번호 그리고 자기의 의견을 적어 넣을 수 있습니다. 이 경우, Authentication은 일어나지 않습니다. Authorization에 해당하는 것은, 글에 대해서 글쓴이가 댓글을 달 수 있도록 허용하는 것을 말합니다. 그리고, 글 쓴 시각이나 IP 등이 저장되는 Accounting이 일어납니다.
3. 작성한 댓글을 수정하는 예를 들어 본다면, 사용자는 자기가 쓴 글을 선택하고, 비밀번호를 넣으며, 비밀번호가 확인되면 글을 수정하여 올릴 수 있습니다. 이 경우 Authentication은 댓글번호/비밀번호 조합에 대해 맞는지 이루어지며, 맞을 경우 댓글번호에 대한 수정권한이 주어지는 Authorization이 수행됩니다. Accounting은 전과 동일한 기록이 남습니다.
   

사람과 관계되고, 또 나를 표현하는 것에 대한 사이트일수록 구별 가능한 무엇의 존재가 점점 다양해집니다. 나를 표현하는 것이 주민번호가 될 수도 있고, I-PIN이 될 수도 있고, 이메일이 될 수도 있고, Home page URL이 될 수도 있습니다. 또한 이들이 모두 나이므로 어떤 접근일지라도 같은 권한을 할당받기를 원 할 수 있습니다.

전통적인 사이트 관리는 ID/비밀번호 기반으로 메일에 접근하거나, 자신의 ID가 허락된 까페에 글을 쓰거나, 로그인한 사용자에게만 허락되는 블로그에 글을 남기거나 할 수 있습니다. ID에 집중되기 때문에, ID/비밀번호 찾기라는 것이 자연스럽게 존재합니다.

OpenID가 계속 화두가 되면서, 사이트에서 발급한 ID/비밀번호 조합만 가지고 접근을 허락하지만 말고, 그 사람이 제시한, 다른 사이트에서도 사용되는 동일한 아이디로 같은 접근권한을 허락해 달라가 계속 은연중에 외쳐지고 있습니다.

다음 글이 언제가 될 지 모르겠지만, 생각이 정리되는대로 또 올리겠습니다.