지난 주말 전자출입명부 구현이 어찌 되어있나 궁금해져서, 카카오톡에서 QR 코드를 만든 뒤 내용을 까보았더니 JWT가 나왔다.
민간기업(네이버 · 카카오 등)에선 사용자 고유식별자를 포함한 내용을 암호화해서 QR 코드에 담고, 그 코드를 스캔하면 방문(QR코드 생성기록)에 대한 고유식별자와 시설 고유식별자가 정부 기관(보건복지부와 사회보장정보원)에 전달되는 듯 했다 (전자출입명부 활용 안내(안) (이용자 및 시설관리자용) 3-4페이지).
누군가 확진이 된 경우, 정부 기관이 그 사람의 고유식별자를 갖고 인증 기록을 시설과 시간 별로 모은(aggregation) 뒤 방문 기록을 추린 뒤에 개인정보를 얻을 수 있도록 민간기업들에 요청하는 흐름인 듯 싶은데, 정부 기관이 각 방문 기록에서 사용자 개인을 곧바로 특정할 수 있는 정보까지 바로 넘겨받는지에 따라 디테일은 조금 달라질 수도 있겠다.
디테일이 어찌되었건, 인증 흐름 전반은 HTTPS 대신 물리적인 행동 · 제약에 기댄 프로토콜과 보안을 통해 OAuth가 이루어진다고 요약할 수는 있겠다. (QR 코드를 생성하고 보여주고 찍어서 정보를 주고받는데, 내가 받은 QR 코드를 다른 누군가가 급 탈취해서 내가 원치 않는 임의의 장소에 대해 방문 기록을 남기기는 어렵다.)
그냥 지나가면서 velog에 한 번 무언가를 써보고 싶어서 일기 겸 남긴다. 총총.
.jpeg)
L. Wittgenstein, 맥주, W. V. O. Quine, GARNET CROW