복잡한 회원 인증 프로세스, 기본 원칙만 알면 쉽습니다

1 day ago 3

팀장님: "회원 인증 체계를 리뉴얼해 봅시다"

기획자: "인... 인증이요?" ('인증 시스템 레거시도 많아 보이고 복잡해 보이는데... 좀 무섭네...')

'인증'이란 단어는 듣기만 해도 복잡해 보이고, 완벽해야만 할 것 같아 무섭게 느껴지곤 하죠.

네. 실제로도 그렇습니다. 인증 시스템이 허술하면 전체 프로덕트의 신뢰가 무너지고, 부정 사용자가 급증해 운영이 엉망진창이 되어버리니까요.

하지만 이런 복잡해 보이는 인증도 기본 원칙만 잘 알고 있다면 전혀 두려울 게 없습니다.

소개가 늦었습니다. 안녕하세요. 저는 ABC Studio에서 기획을 담당하고 있는 천재연입니다. 현재 일본 최대 규모의 배달 서비스인 데마에칸(Demaecan, 出前館)에서 기획 업무를 담당하고 있습니다. 지금까지 여러 프로덕트의 회원 인증 프로세스 구축과 KYC(Know Your Customer의 약자로 금융 기관의 고객 확인 제도를 의미) 전반에 대한 작업을 담당해 왔습니다.

통상 회원 인증은 서비스에 접근하려는 사용자의 신원을 확인하는 모든 과정을 일컫는데요. 이번 글에서는 단순 ID/PW를 이용한 지식 기반 인증 이외에 회원의 유효성을 확인할 수 있는 식별 장치 위주로 서술해 보고자 합니다.

잘 정립된 회원 인증 체계의 중요성

너무 뻔한 이야기지만, 그만큼 중요하기 때문에 한 번 짚고 넘어가겠습니다. 어떤 서비스를 만들던 회원 가입과 인증 시스템은 항상 필요합니다(그만큼 한 번 개념을 잘 잡아두면 계속 써먹기 좋다는 의미겠죠?).

너무나도 기본적인 요소이기에 별달리 특별할 것도 없어 보이지만, 그 어떤 것보다 신중하게 접근하고 설계해야 하는 영역이라고 생각합니다. 가입 및 인증의 영역은 서비스를 처음 시작할 때부터 적용할 수밖에 없고, 누적된 사용자가 많아질수록 잘못된 것을 바로잡기 어려워지기 때문입니다.

신규 프로젝트에서 본격적인 인증 시스템을 도입하기가 부담스러워 일단 건너뛰었다가 뒤늦게 도입하는 과정에서 머리 아파하는 사례를 종종 보곤 합니다. 이런 경우 필연적으로 아래와 같은 케이스 때문에 머리가 아파집니다.

케이스 1: 이미 등록된 회원의 정보가 실제 존재하지 않는 정보이다.
- 예를 들어, 휴대폰 번호 '010-1234-5678'와 같은 경우가 여기에 해당합니다. 유령 회원인 경우가 많으며, 회사에서 연락을 취하고 싶어도 취할 수가 없습니다. 즉, 회원 정보를 임의로 변경할 수 없는 환경에서는 이런 회원은 영영 골치 아픈 엣지 케이스로 남게 됩니다.
케이스 2: 입력한 정보가 타인의 정보라서 신규 사용자의 가입에 방해가 된다.
- 이 경우 신규 사용자가 해당 정보가 본인의 정보임을 증명하는 과정이 길어지면서 중간에 이탈할 가능성이 높아질 수밖에 없습니다.
케이스 3 : 회원 식별이 필요한 순간에 활용할 수 있는 인증 정보가 전혀 없다.
- 쿠폰 이벤트와 같은 마케팅을 진행할 때 부정 사용자를 방지하기 위한 회원 식별은 필수입니다. 이때 활용할 수 있는 정보가 없다면 사용자가 제출한 정보가 사실인지 비교할 수 없으며, 이로 인해 인증 정보를 추가로 받아야 하는 부담이 커집니다.

따라서 신규 프로젝트를 담당하는 기획자라면 본인의 서비스가 어느 정도 수준의 인증이 필요할지 설계 단계에서부터 충분히 논의하고 고민해야 합니다.

국내와 해외의 회원 인증 방식은 어떻게 다를까?

최근에는 프로젝트 규모를 키우고자 해외 서비스로 확장하거나 또는 애초에 해외에서 첫 서비스 오픈을 시도하는 서비스들이 자주 보이고 있습니다. 저도 데마에칸을 담당하면서 처음으로 해외 서비스 기획을 경험해 봤는데요. 회원 인증 방식에서 국내 서비스와 확실히 차이가 있다는 것을 알 수 있었습니다. 제 경험을 바탕으로 국내 서비스와 해외 서비스의 인증 방식이 어떻게 다른지 소개하겠습니다.

국내 서비스의 인증 종류와 기한

국내 프로덕트에 적용되는 인증은 크게 다음 세 가지로 구분할 수 있습니다. 각각을 대표적인 예시와 함께 살펴보겠습니다.

점유 인증: 해당 정보를 실제로 소유하고 있는지 확인하는 방식의 인증입니다.
- 이메일 인증: 대표적으로 널리 쓰이는 점유 인증 중 하나로, 인증 번호를 메일로 받아 입력합니다. 이를 통해 이 메일은 내가 점유(소유)하고 있다는 것을 인증할 수 있습니다.
실명 인증: 이름과 주민등록번호(또는 그에 준하는 개인 식별 정보)를 이용해 개인이 실제로 존재하는지 확인하는 방식의 인증입니다.
- 국가 시스템: 사용자가 특정 복지 혜택의 대상자인지 조회할 때 사용되는 것을 본 적이 있습니다. 단순히 이름과 주민등록번호를 입력해 인증하며, 별도로 인증 번호를 받아 증명하는 과정은 없습니다.
본인 인증: 점유 인증과 실명 인증을 합쳐둔 것이라고 이해하면 쉽습니다. 굉장히 많은 방식이 있으며, 계속 다양해지고 있습니다. 각 인증별로 커버할 수 있는 범위가 다르다 보니 여러 인증을 함께 진행하는 경우가 꽤 있습니다.
- 휴대폰 본인 인증: 가장 대표적인 방식으로, 통신사의 고객 정보에 기대서 인증을 하는 방식입니다(예를 들어 PASS 앱). 사용자가 입력한 성명, 전화번호, 주민등록번호가 통신사의 고객 정보와 모두 일치해야 인증이 진행될 수 있습니다.
- 1원 인증: 금융 기관에서 본인 계좌를 인증하는 용도로 사용됩니다. 본인 계좌 번호를 입력하는 과정을 통해 실명 인증이 진행되고, 1원을 받아서 인증 코드를 입력하는 과정을 통해 점유 인증이 진행됩니다.
- 안면 인증: 실물 신분증 촬영 후 사용자의 얼굴을 촬영합니다. 두 얼굴이 일치한다면 본인으로 판정하는 방식입니다.
- SNS 인증: 많이들 사용하시는 네이버 인증이 여기에 속합니다. 위에 서술한 여러 방법으로 이미 본인 인증을 마친 계정에 기대어 간단한 인증 번호 입력만으로도 본인 인증을 할 수 있는 간편한 방법입니다.

여기서 퀴즈!

LY에서 신규 서비스를 출시했다고 하여 가입을 시도해 보았다.

이름과 휴대폰 번호를 입력하니 총 5자리의 인증 번호가 전송되었으며, 인증 번호를 입력하니 손쉽게 가입이 완료되었다.

여기서 사용된 인증은 어떤 인증일까요?

정답은 점유 인증입니다. 휴대폰을 활용했기 때문에 본인 인증으로 헷갈릴 수 있지만, 주민등록번호와 같은 개인 식별 정보를 활용하지 않았기 때문에 점유 인증에 해당됩니다. 이와 같이 인증에는 방식이 유사한 것들이 굉장히 많기 때문에 항상 인증의 원리를 이해해 어떤 방식의 인증인지 파악해야 합니다.

이렇게 다양한 인증의 특성을 파악하며 어느 것을 도입할지 고려할 때 반드시 함께 챙겨 주셔야 할 한 가지가 있습니다. 바로 인증 정보의 만료 기한입니다.

금융 앱을 사용하다 보면 이따금씩 '고객 정보 재확인'이란 문구를 보신 적이 있으실 겁니다. 높은 보안 수준이 필요한 서비스일수록 고객 인증 정보를 언제까지 유효하게 볼 것인지를 고려해야 합니다. 더불어 사용자가 탈퇴하는 경우에는 인증 정보를 언제까지 보관할지도 결정해야 합니다. 탈퇴 즉시 모든 인증 정보를 제거하면 부정 사용자가 늘어나게 되고, 그렇다고 인증 정보를 영원히 제거하지 않는다면 신규 사용자 가입을 방해할 수 있습니다.

해외 서비스의 인증 방식

데마에칸의 회원 가입 과정을 개선하면서 정말 깜짝 놀랐습니다. 개인을 식별하는 일이 이렇게 어려운 일일 줄이야...!

저는 당연히 본인 인증 시스템이 있을 줄 알았습니다. 한국처럼 휴대폰 번호와 주민등록번호로 쉽게 사람을 식별할 수 있을 것이라고 착각했습니다. 하지만 알고 보니 한국에서 흔히 쓰는 휴대폰을 통한 본인 인증 시스템은 전자 정부가 도입되면서 구축된 전 세계 유일무이한 시스템이었습니다. 한국 외의 국가에서는 이러한 본인 인증 방식을 사용하지 않으며, 점유 인증에 그치거나 신원 확인 없는 단순 2FA(2 factor authentication) 방식을 적용하는 정도였습니다.

몇 개의 간접적인 방법을 조합해서 인증할 수밖에 없음에도 불구하고 인증을 도입하는 이유는, 인증을 하지 않을 경우 앞서 살펴본 세 가지 예시와 같은 문제가 발생해 회사에 직접적인 손실이 발생할 가능성이 있기 때문입니다. 제가 담당하고 있는 데마에칸에서도 이런 손실을 선제적으로 방어하기 위해 회원 가입 시 휴

Read Entire Article