회원이 서 말이라도 꿰어야 보배지

통합회원제로 통합 빅데이터 못만든다

페친님의 심금을 울리는 라임.jpg

 페친님이 올려주신 멘트. 라임부터 찰지다. 이 한문장이 요즘 골머리를 썩고 있던 내 심경을 울렸다.

 최근 데이터에 대한 2가지 글을 올린 적이 있다. 하나는 이커머스에서 결제데이터를 활용하여 개인에 대한 다면적 정보를 만들어가고 있는 네이버에 대한 글인 '데이터 관점에서 보는 네이버페이(Npay)', 그리고 상품속성 데이터가 플랫폼답게 제대로 쌓이지 못하는 국내 이커머스의 현실을 다룬 '한국 이커머스에는 빌런이 산다'.  

 결국 이커머스는 궁극적으로 고객과 상품의 다면적 정보를 분석하여 매치메이킹방식의 큐레이션 서비스로 방향성이 모아지고 있고, 이에 대해 자기만의 방식으로 몹시 잘하고 있는 네이버와 아직도 헤메고 있는 이커머스 플랫폼들에 대한 이야기였다.

 그런데 이 글을 보고 혹자는 이렇게 말했다.

상품 정보가 부족해도 고객의 행동정보만 수집한다면
충분히 해소가 가능하지 않나요?

 이 질문에 대한 답변이야말로 '사람은 많은데 데이터는 없고, 데이터는 많은데 사람은 없어요'다. 이번 글에서는 서비스의 이용자 즉, '회원'의 행동정보 수집과 활용에 대한 이야기를 해보려고 한다.

 

 우리가 서비스 이용자에 대해서 연속성을 가지고 인지를 하려면 최소 구분가능한 기준값이 있어야 한다. 그것은 바로 '회원'이다. 회원이라는 제도는 ID를 기준으로 일관된 이용 데이터를 관리하고, 정보를 정리하는 기준이 된다. ID라는 것이 이용자가 편히 자신을 인증할 수 있는 도구라면, 이러한 회원을 실제 오프라인상의 실존 인물로 연결할 수 있는 정보는 디바이스의 UDID를 대신하는 UUID 라든가 주민등록번호를 대신하여 개인을 구분할 수 있는 CI(Connecting Information) 정보값과 같은 개인정보 식별이 가능한 정보가 된다. 어떤 서비스는 이런 정보 하나도 없이 두세개의 ID를 무분별하게 생성해도 되지만 보통 뭔가 고객데이터로 뭔가 해보고 싶은 곳들은 CI를 구분하여 오프라인상의 실제 사람에게 1개의 서비스 ID를 부여하려고 한다. 회원가입 할 때 전세계 어떤 나라보다도 본인인증이 너무나 당연한 우리나라다보니, 회원가입 절차가 가끔은 너무나 당연해서 어떻게하면 UI나 절차를 없애볼까 싶어지겠지만, 실제 우리가 고객의 행동정보를 수집하고 활용하려면 이러한 '회원'에 대해서 관점을 바꿀 필요가 있다.

 회원 가입과 동의

 회원을 가입할 때 우리가 무의식적으로 체크박스를 눌러버리는 동의 항목에는 대표적으로 4가지 정도의 범주가 있다.

 서비스 기본 약관(필수)

 개인정보 수집 및 활용에 대한 취급 방침(필수 또는 선택)

 마케팅 정보 수신 동의(선택)

 제 3자 정보 제공 활용동의(필수 또는 선택)

 가장 길게 쓰여 있는 '서비스 기본 약관'의 역할은 '계약'이다. 지금 이용하려는 서비스를 이용하기 위해서 서비스 제공업자와 회원 개인은 서비스 계약에 대한 여러가지 사항에 대해 적혀있고 이에 대한 동의를 서명이나 날인을 대체한다. 정말 편집증적 태도가 아니라면 의례 한번도 안읽어보겠지만 약관은 대체로 각 회사가 제공하는 서비스의 범주는 어떤 것들이 있으며 그 서비스를 이용하는 회원이 서비스에 문제를 제기했을 때 기본적인 처리 방침 등이 적혀있다. 상거래 서비스의 경우에는 좀 더 자세하게 반품이나 교환, 거래의 성립 등에 대해서 구구절절하게 쓰여 있는 편이라 공정위에서는 '상거래 표준 약관'을 만들어서 배포할 정도로 내용이 구체적이다.

 위에 목록에서 '필수'라고 되어있듯이 서비스 이용약관 필수동의 항목이다. 말그대로 기본 약관이기 때문에 동의하지 않는다는 것은 서비스 이용을 하지 않겠다는 뜻이 된다. 때문에 이 기본 약관이 변경되는 상황이 생긴다면 그 변경사항에도 고객은 무조건 동의를 해야만 회원으로 유지가 가능하다.  지금 당장 메일함을 뒤져서 '약관'이라고 검색을 해보자. 한 수십통의 방치됐던 메일들이 있을 텐데 약관이 변경되면 이메일로 한달전에 사전 고지를 한다. 서비스 제공처의 일종의 통보다.  우리는 한달 뒤에 이렇게 서비스를 변경할 테니 그게 마음에 들지 않으면 그전에 알아서 탈퇴하라는 뜻이다. 여기서 탈퇴하지 않고 있다면 변경사항에 동의한 것으로 간주한다. 이러한 절차를 '묵시적 동의'라고 부른다.  너무나 심심치않게 자주 일어나서 보통의 개인은 신경조차 쓰지 않는 곳이지만.

  

 기본 약관은 물론 우리의 아이덴티티를 보여주지만 사실상 우리가 관심있어하는 행동정보 수집에는 큰 관계가 없는 경우가 많다. 그저 행동정보 수집 가능한 대상을 상정해줬을 뿐이다. 우리가 고객의 행동정보로 뭔가 해보겠다고 생각한다면 중요한 것은 두번째에 해당하는 개인정보 수집 및 활용에 대한 취급방침에 주목해야한다.

 개인정보의 정의는 이렇다.

개인 정보(個人情報)는 개인에 관한 정보 가운데 직ㆍ간접적으로 각 개인을 식별할 수 있는 정보를 가리킨다. - 위키백과(https://ko.wikipedia.org/wiki/%EA%B0%9C%EC%9D%B8%EC%A0%95%EB%B3%B4)

 우리나라는 개인정보보호법이 타이트한 것으로 어디 가서 뒤지지 않을 정도로 굉장히 쎄기 때문에,  개인을 식별할 수 있는 정보라고 한다면 단독으로 있어도 개인정보로 볼 수 있다. 커머스에서 주로 활용하고 싶어하는 고객의 행동정보가 고객이 뭘 원하고 좋아하는지 알아낼 수 있을 정도의 내용이 된다면 개인정보로 볼 수 있다.  개인정보의 제공은 기본적으로 각 개인에게 선택권이 있다. 그래서 가급적이면 이 동의에서는 수집하는 정보항목과 목적을 명시하도록 하고 있다.

 다만 상거래의 경우 대부분 개인정보 수집 및 취급에 대해서 부분적으로 필수동의를 받고 있는데, 주문배송 과정에서 이름부터 주소지, 전화번호, 결제정보 등은 서비스 이용에 필수불가결한 정보이기 때문에 '필수 동의' 항목으로 개인정보 수집동의를 받을 수 있다. 그리고 실제로 이 정보는 지금도 고객을 판단하는 것에 아주 유용하게 사용되고 있다.

 여기까지는 규격화된 정보였다. 행동정보라는 레벨로 차별화하고 싶은 우리의 욕심은 그 수준에 머무르지 않는다. 이제 우리가 요즘 수집하고 싶어하는 정보는 그런 종류의 정보가 아닌 것이 문제다. 우리가 구매하지 않았어도 관심있게 봤던 상품이나 아마존에서처럼 부가 서비스로 제공된 음악서비스의 장르라든가, 휴대폰에 있는 친구의 목록이라든가 애인과의 연애 기념일 등 좀 더 자세하고 개인에게서만 얻을 수 있는 정보를 얻고 싶어한다. 그리고 이 정보는 상거래 서비스 이용에 필수적인 정보가 아니다. '선택적 동의'를 받아야하는 항목이 되고 결국 조금이라도 편한 UI와 거액의 이벤트 비용을 들여서 동의를 하도록 유도하고 있다.

 그럼 나머지 2개 항목은 무엇일까.

 마케팅 수신 정보 동의는 이메일과 SMS 등 각종 채널에 스팸성 광고를 보내도 되냐는 동의고, 유익한 정보를 보내주겠다고 어르고 달래지만 광고채널 정보가 맞다. 종종 KISA 등에서 스팸 신고에 대해 이 수신동의 정보를 증빙으로 요청할만큼 이 정보는 중요한 관리대상이다.

 제3자 정보제공 동의는 현재 약관 동의하는 서비스의 법적주체(법인)이 아닌 타 법인으로 사용자의 개인정보를 공유하는 것에 대한 동의를 받는 것이다. 이걸 왜 동의해줘야 하는지 뾰족하게 굴고 싶어지지만 대형 서비스는 보통 고객센터부터 운영하는 회사 구석구석에 다른 법인 소속의 근무자들이 있다. 하다못해 온라인에서 GA만 하나 붙여서 검토하겠다고 해도 우리가 GA에 회원정보를 개인정보 수준까지 넣어서 확인할 거라면 여기에 대한 고객 동의를 받아야한다. 이 항목도 마찬가지다.

 물론 서비스 이용을 위해 필수적으로 제3자에 개인정보가 전달되어야하는 상황에서는 이 또한 필수 동의 조건으로 받거나, 서비스 이용에 딸린 개인정보취급방침으로 별도 갈음하기도 한다.

큰 회사는 빅데이터 쉽지 않아?

 이런 이야기를 하다보면 단독 회원제를 쓰는 서비스들은  대형 회원제 서비스에 대한 부러움 섞인 불만을 터뜨린다.

와!  ID를 계열사끼리 다 공유하니까
온갖 업종의 거래정보를 다 가지고 개인정보 파악은 진짜 쉽겠다!
 이 도둑놈들!

로그인 서비스 해주는 네이버에도
회원 행동정보 장난 아니겠다~

 맞다. 어떤 면에서는 데이터도 많고 사람은 많다. 하지만 활용가능한 데이터도 없고 활용가능한 사람도 없는 것이 현실이다. 구슬은 서 말인데 내맘대로 꿰어서 쓰면 잡혀간다.

 쉽게 생각하면 서비스를 넘어서서 여러 서비스의 회원을 통합해서 이용하게 하면 모든 정보를 다 모을 수 있을 것처럼 생각하기 쉽다. 하지만 2가지 측면에서 쉽지가 않다. 먼저 정보보호법은 그렇게 호락호락 하지가 않으며, 둘째로 데이터의 적체 위치가 문제다. 정보가 많고 데이터가 많아도 같이 써먹기 어려운 이유에 대해 고민해보자.

SSO와 제휴회원제도

 서비스 개별 단위 회원 가입을 하지 않고 이러한 회원제에 편입해서 자사 회원을 만드는 방법에는 대체로 2가지 종류가 있다.

 첫째, 이중약관제 방식. 통합 회원제 운영하는 법인과 제휴하여 SSO(single sign on)방식의 로그인으로 개인 식별 후 추가적인 사이트 약관동의를 받아서 가입시키는 형태다. CJ one 이나 롯데L.point,  skt의 T통합회원 등 '통합 회원제'라고 불리는 대부분의 케이스가 여기에 해당한다. 회원제를 운영하는 회사에 대한 가입 후에 개별 사이트별 약관에 동의하며 또 가입을 하게되므로 총 2번의 약관을 동의해야 가입이 되는 형태다.

 

CJ One 통합회원제의 CJ푸드빌 이중약관

 둘째, SNS 로그인 후 동의하여 로그인 후에 기존 자사 회원제 아이디에 맵핑하거나 기본정보를 대신 입력하여 신규가입 시키거는 경우. SNS의 ID와 Password를 토큰화시켜서 로그인 처리한 뒤 결국 내부의 회원과 연결 시킨다.  결국 서비스의 약관을 가입해야 하므로 이중약관이 존재하는 거나 마찬가지다.

페이스북 오픈 아이디를 통해 기본정보를 내려받아 서비스의 회원제를 가입하는 화면(캡쳐: 챌린져스)

 이 구조가 유지되는 이상 빅데이터는 생각보다 쉽지 않다.

 첫째, 회원제와 데이터 소유주체가 통합되지 않는다.

 이런 구조가 왜 중요하냐면 우리가 필요한 데이터는 쌓는게 아니라 활용하는 것에 목적이 있기 때문이다. 이를 잘 이해하려면 계약관계와 개인정보 동의의 구조를 잘 봐야한다.

 데이터는 소유와 보유의 차이가 있다. 소유란 데이터의 주인이 되는 것으로 활용이나 처분까지도 결정할 수 있는 것이다. 보유란 데이터를 적체하는 것을 의미하므로 계약관계에 의해 소유권 없이도 업무수행을 대행하기 위한 데이터 적체까지는 할 수 있는 상황을 말한다.

 이중회원제 상태에서 회원 ID는 통합멤버십 운영사나 오픈아이디 제공사의 것이지만 열결된 사이트 단위로 분리된다. 회원제는 어디까지나 특정 온라인 서비스 약관에 동의한 사람들의 모임이므로 아이디가 동일하다고 해도 각 사이트에서 등록된 회원의 정보는 각 사의 소유 데이터가 되고 통합멤버십 운영사가 함부로 관리할 수가 없다. 이는 그 회원에게서 추가적으로 발생된 데이터도 마찬가지다.

 즉, 통합멤버십은 개별 이중약관에 해당하는 서비스 범위를 초월해서 다양한 행동정보를 합쳐서 분석할 수가 없다. 법인이 다를 경우 아예 데이터의 통합 보존을 해서는 안되며 오로지 각 개인의 선택적 동의를 받을 경우에 한하여 여러 법인과 서비스간 데이터 공유가 가능해진다.

 한마디로 정리하자면 동일한 아이디를 쓴다고해도 이중회원이라는 구조는 하나의 회원제가 아니고 회원 행동정보가 발생한 것 또한 각 서비스에게만 소유되어 회원별로 타사 공유에 선택적 동의를 받아야만 된다는 말이다. 요즘 이마트에서 5000원이나 주면서 데이터 통합을 위한 온오프라인 통합에 동의를 시키는 것이 바로 이 이유다.

 둘째, 활용해야할 데이터의 발생 위치가 통합 분석에 적절하지 않다. 통합회원 적용시에 SSO는 로그인 외에 각 사이트의 회원정보 최신화도 책임진다. SSO 연동 시 각 사이트는 언제 어디서 바꿨을 지 모르는 고객의 최신 정보를 내려 받아 실제 우리 사이트가 작동하는 곳에 내려받는다. Top to Bottom이다. 일부 수정 정보를 통합회원쪽에 공유는 하겠지만 내려받은 기본정보가 10분의 3  정도면 나머지 7은 전부 사이트에서 직접 수집해야되는 정보다.

 예를 들어 카카오톡 오픈 아이디를 적용했다고 치면 카카오톡의 아이디와 패스워드, 이름과 전화번호, 이메일 정도는 최신성 있게 SSO 로그인 시점에 다운로드 되겠지만 이 정보로 가능한 개인화는 거의 없다. 우리가 말하는 행동정보는 로그정보와 주문정보인데 이는 모두 실제 서비스가 구동되는 서버에 쌓인다.

 즉, 통합회원제 레벨에서는 각 고객의 행동정보를 아예 모아볼 수가 없다. 물론 이 문제도 고객에게 일일이 정보제공 동의를 받는다면 해결할 여지도 있다.

 

복합 서비스의 통합된 행동정보를 활용은 그냥 다시 태어나는 게 답일지도?

  어느 순간 통합회원제란 단어는 흔해졌다. 오프라인과 온라인을 따로따로 만들어서 운영하던 곳들이 회원제를 통합시킨다. 최근 로드샵 브랜드인 미샤에서도 온오프라인 통합회원제를 런칭하고 재가입이벤트를 벌이고 있고 '더샘'에서도 통합 POS를 오픈 시켰다. 알라딘은 오프라인 매장 이용시 아예 온라인 회원을 가입시켜서 구매정보를 동기화 시키려고 힘쓰고 있고 앞서 말한 이마트도 마찬가지다.

 그런데 이미 개인정보와 서비스 범주가 좁혀진 약관과 개인정보처리조항에 동의한 고객을 새롭게 동의시키는 것은 쉬운 일이 아니다. 그리고 여전히 구조적으로도 한 통에 담아 쉽게 빅데이터를 추출해낼 수 있는 법적인 상태도 아니다. 특히 국내처럼 하나의 그룹사가 다수의 법인을 만들고 있다면 개인정보나 행동정보의 공유는 조금도 쉽지가 않다.

 이 부분의 개선방법은 한마디로 쉽지 않아보인다. 그냥 처음부터 회원제와 행동정보 분석을 할 수 있는 통을 한개의 데이터 통으로 만드는 것이 오히려 깔끔한 방법처럼 보인다. 중국의 허마셴셩은 온오프라인이 융합되어 그 구분이 없고, 알리페이 사용을 위한 통합회원에도 장벽이 없다. (사실 애초에 한 통의 회원제와 데이터에는 '통합'이란 단어가 사용되지도 않는다')

 CI값이 있다고 그 사람의 여러 회원제의 정보를 본인 동의없이 함부로 엮을 수 없고, 누구도 쉽게 허용해줄 내용이 아니다. 귀찮거나 무슨 말인지 몰라서 꽤나 큰 비용지불이 불가피하다. 결국 통합회원제라 조금 편해진 것밖에 엄청 달라지지 않았다.

 이 모든 원흉은 애초에 온오프라인이나 연관 서비스들의 데이터를 통합활용할 생각이 없었던 초기 기획이 문제였다.

 지금이라도 데이터의 확장성과 활용 등 데이터에 대한 기획자의 비전이 서비스에 어떤 영향을 끼치는지 반면교사해볼 대목이다. 덕지덕지 붙여놓은 통합회원제는 그럴듯해 보이지만 빅데이터 시대에 적합하지 않다.

 회원도 많고, 데이터도 많다. 그런데 데이터는 분산되어 있고, 합법적으로 쓸 수 있는 데이터는 많지 않다. 겉으로 합쳐져 있어도 속에서는 찢어져있다.

 다시 이전에 썼던 두 개의 글과 연결해보자. 네이버페이가 다시 대단해진다.  합법적이고 공식적인 방식으로 회원의 결제정보를 한통에 모으고 있다. 그리고 빌런 문제를 행동정보가 커버 못해줬다. 개인화 추천을 하기에 태부족인 상품정보의 문제를  행동정보가 보정해 주기엔 넘어야할 산이 너무 많다.

 

 물론 나는 서비스 기획자니까 이 문제를 어떻게든 해결하고 싶다. 법도 다 지키고 현실적 조건도 다 인정해가면서. 노답이지만 어딘가 또 방법이 있겠지.

(어쩌다보니 결론이 인터스텔라.)

 

---

이로써 이커머스 데이터에 대한 3부작을 마칩니다

1부: 데이터 관점에서 보는 '네이버페이(Npay)'

(결제데이터의 활용)

https://brunch.co.kr/@windydog/212

데이터 관점에서 보는 '네이버페이(Npay)'

2부: 한국 이커머스에는 빌런이 산다

(한국 이커머스 구조적 문제와 상품 데이터 수집 문제)

https://brunch.co.kr/@windydog/213

한국 이커머스에는 빌런이 산다

3부: 회원이 서 말이라도 꿰어야 보배지

(통합회원제도(SSO)와 행동정보 빅데이터 구성의 현실적 문제)

https://brunch.co.kr/@windydog/215

회원이 서 말이라도 꿰어야 보배지

타이틀 이미지 출처: 어린이 조선일보