세균무기가 알려주는 서비스 기획의 모든 것(5-1)
뛰어난 제품을 만들기 위해 서비스 기획자 및 PM/PO가 알아야할 가이드
05. 프로세스 기획
회원가입과 로그인 프로세스를 통해 서비스 구현을 위한 프로세스를 학습해 보자.
5-1. 프로세스 기획
기획자는 과정을 줄이며 전환율을 높이기 위해 노력하는 직군이다.
복잡한 과정을 기획했다면 왜 그렇게 기획해야만 하는지 스스로가 납득할 만한 이유를 찾고 그 이유를 묻는 회원과 동료들에게 합리적이고 논리적으로 설명하거나 설득할 수 있어야 한다.
그래야만 모방이 아닌 기획을 한 것이라고 당당히 말할 수 있는 것이다.
회원 인증 방식
'이메일 주소 점유 인증(이하 이메일 인증)', '휴대폰 번호 점유 인증(이하 휴대폰 번호 인증)', '휴대폰 본인 인증', '싱글 로그인(SSO, Single Sign-ON)'의 4가지 방식이 주로 사용된다.
물론 이 외에도 수많은 인증 방식이 있을 수 있으며 어떤 인증 방식을 선택할지는 서비스의 특성, 필요한 데이터, 비용, 편의성 등을 고려해서 결정하게 된다.
[인증 방식 선택 시 고려사항]
: 서비스 특성 ⇢ 필요한 데이터 ⇢ 비용 ⇢ 편의성 ⇢ 보안
글로벌 서비스를 기획하고 있다면, 주민등록번호를 기반으로 하는 휴대폰 본인 인증 방식을 도입할 수 없다.
금융 서비스를 기획하고 있다면, 이메일 인증 방식을 도입할 수 없다.
경영진이나 마케팅 팀에서 마케팅 목적으로 휴대폰 번호 및 이메일 주소의 수집은 물론이거니와 개인의 정확한 식별도 필요하다고 하여 회원가입 시 휴대폰 본인 인증과 함께 이메일 인증까지 모두 적용할 수도 없다.
회원가입 시 허들이 너무 높아 가입전환율이 매우 낮을 것이 뻔하기 때문이다.
게다가 통지를 위한 수단이기 때문에 해당 인증 방식을 통해 회원에게 통지를 해야 하는데, 이메일과 문자 또는 카카오 알림톡 발송 비용이 크게는 5배 이상 차이가 난다. 회원 수가 많다면 그 비용의 차이도 무시할 수 없다.
그래서 휴대폰 번호로 통지하는 경우 문자로 발송하면 건당 약 17원 정도로 발송 비용이 비싸, 건당 약 8원 정도 하는 카카오 알림톡을 사용하는 것이다.
어떠한 인증 방식을 선택할지는 매우 신중하게 선택해야 한다.
그리고 선택했다면 논리적이고 합리적인 인증 프로세스를 설계해야 한다.
이메일 인증 방식 선택 시, 주의사항
회원이 비밀번호를 잊어버린 상황에서 이메일 주소마저 사라졌을 때 비밀번호를 변경하거나 초기화할 수 있는 프로세스를 기획해야 한다는 것
대다수 이메일 인증 기반의 서비스들은 이메일을 통해 비밀번호를 초기화하고 재설정할 수 있는 기능을 제공한다.
휴대폰 번호 인증 및 휴대폰 본인 인증 방식을 선택한 경우에는 동일한 휴대폰 번호로 회원가입을 시도했을 때의 처리 프로세스를 기획해야 한다.
따라서, 해당 번호를 사용했던 이전 회원은 로그인을 통해 추가 데이터를 쌓지 못하도록 막고, 휴대폰 번호를 변경할 수 있도록 회원 정보 변경 프로세스를 제공해야 한다. 그래야 통지나 알림이 필요한 경우 안내할 수 있기 때문이다.
이를 위해서는 DB 서버의 유저 테이블에서 휴대폰 번호는 유니크 체크를 하지 않고, 별도의 인증 여부를 저장하고 있어야 한다. 그래야 이전 회원의 휴대폰 번호를 사용하게 된 신규 사용자가 회원가입을 정상적으로 할 수 있고, 회원가입과 동시에 이전 회원은 인증이 풀리며 로그인이나 화면 이동 시에 휴대폰 번호 재인증 화면을 띄울 수 있다.
복수 계정 생성을 줄이기 위해 단말기의 로컬 스토리지에 최근 로그인한 SNS를 기록하여 '마지막으로 로그인한 계정이에요.'라는 툴팁을 표시해주기도 한다. 하지만, 앱 삭제 후 재설치 등으로 이를 원천적으로 막을 방법이 없다. 또한 데이터 분석이나 관리 측면에서도 비효율적이다.
어떠한 인증 방식을 선택할지 신중하게 검토하고, 선택한 인증 방식으로 인해 발생하는 엣지 케이스를 고려하며 프로세스를 설계해야 한다.
미성년자 법정 대리인의 동의
개인정보 보호법 제22조(동의를 받는 방법)
6. 개인정보처리자는 만 14세 미만 아동의 개인정보를 처리하기 위하여 이 법에 따른 동의를 받아야 할 때는 그 법정 대리인의 동의를 받아야 한다.
서비스 약관의 작성
대부분 서비스를 기획한 기획자가 작성 ⇢ 상황이 나은 경우 사내 법무팀 또는 외부 법무법인에 작성된 약관의 검토 요청
필자는 경쟁사 서비스를 벤치마킹할 때,
해당 경쟁사의 서비스 약관을 꼭 읽어 본다.
기획자가 서비스 이용약관을 잘 작성하는 방법은 공정거래위원회에서 제공하는 표준 이용약관 양식을 기반으로 작성하되, 경쟁사의 이용약관을 참고하며 자사 서비스에 맞게 수정하는 것이다.
표준 이용 약관: 공정거래위원회에서 제공하는 표준 이용약관은 사업자와 소비자 간 거래에서 발생할 수 있는 분쟁을 예방하고, 소비자의 권리를 보호하기 위해 사업자와 소비자가 계약을 체결할 때 반드시 준수해야 하는 최소한의 기준을 정리한 것이다.
전자상거래, 온라인 교육, 숙박, 항공, 여행, 렌터카, 보험, 의료, 금융, 건설 등과 같은 분야별로 제공하고 있다. 인터넷에서 '공정거래위원회 표준약관'으로 검색하면 분야별 표준약관을 확인하고 다운로드할 수 있다.
기획자가 '개인정보 처리방침'을 작성하는 경우에는 수집 및 이용하고 있는 개인정보의 항목 및 목적, 보유 및 이용기간 등을 명시해야 하므로 개인정보에 대한 이해가 필요하다.
개인정보: 살아있는 사람의 이름, 주민등록번호, 휴대폰 번호, 이메일 주소, 주소 정보와 같이 그 정보만으로도 해당 사용자를 직간접적으로 식별할 수 있는 정보.
고유식별정보: 주민등록번호(개인정보이자 고유식별정보), 여권번호, 운전면허번호, 외국인등록번호 등의 개인을 고유하게 구별하기 위해 부여된 것
민감정보: 성적 취향이나 종교, 정치적 성향, 건강 상태, 범죄경력 등
또한, 단말기 및 운영체제 등을 통해서 여러 '고유식별번호'를 수집하게 되는데, 개발자를 통해 어떤 고유식별번호를 수집하고 있는지 확인하고 이를 명시해야 한다.
몇몇 고유식별번호는 판례를 통해서 개인정보 보호법의 적용 대상으로 인정됐기 때문이다.
'개인정보 처리방침'과 '개인정보 수집 및 이용 동의 약관'은 제공하는 위치와 목적이 다르다.
개인정보 처리방침: 홈페이지 푸터나 정책 화면에서 연결된 화면을 통해 전체 사용자를 대상으로 고지의 목적으로 작성된 정책.
개인정보 수집 및 이용 동의 약관: 개인정보 처리방침에서 회원가입 시 개인정보의 수집 및 이용에 동의가 필요한 내용을 발췌하여 회원으로 가입하고자 하는 이용자에게 동의를 받기 위한 약관.
회원가입 시 약관의 동의일을 기준으로 12개월마다 개인정보 이용내역을 통지의 수단으로 회원에게 안내해야 한다. 가입일자를 서버에 기록해 두고 배치를 통해 통지해야 한다.
개인정보 취급 위탁 동의 약관: 배송업체, 콜센터 등과 같이 자사의 이익 및 목적을 위해 개인정보 취급업무를 제삼자에게 위탁한 경우에 사용자에게 동의를 받기 위한 약관.
따라서 사용자에게 개인정보를 제공받는 자와 그 업무 내용을 명시하고 동의를 받아야 한다.
서비스 이용 시 필수로 제공하는 기능인 경우가 많아 보통 회원가입 시 동의를 받는다.
개인정보 제3자 제공 동의 약관: 개인정보를 제공받는 자의 이익 및 목적을 위해 개인정보를 제3자에게 제공하는 경우에 사용자에게 동의를 받기 위한 약관.
따라서 제공받는 자와 그 목적, 제공되는 개인정보 항목, 보유 및 이용 기간을 명시하여 동의를 받아야 한다.
대기업이 계열사나 자회사 간 개인정보를 공유하려면 해당 약관의 동의를 받아야 하는데, 제공된 개인정보는 제공된 기업의 광고나 마케팅 목적으로 활용하는 경우가 많아 사용자에게 포인트나 쿠폰 등을 지급하며 동의를 받곤 한다.
마케팅 및 광고성 정보 수신 동의 약관: 정보통신망 이용촉진 및 정보보호 등에 관한 법률(정보통신망법) 제50조 1항에 의거하여 앱 푸시, 문자, 이메일, 전화 등 전자적 전송매체를 이용하여 영리 목적의 광고성 정보를 전송하기 위해 수신자에게 명시적인 사전 동의를 받기 위한 약관.
오후 9시부터 그 다음날 오전 8시까지의 야간 시간에 영리 목적의 광고성 정보를 전송하려면 위 약관과 별개로 '야간 마케팅 및 광고 수신 동의 약관'에 동의를 받아야 한다.
수신 동의를 받은 날로부터 2년마다 재동의를 받아야 하므로 동의 여부와 함께 동의 일자를 서버에 기록해 두고 배치를 통해 통지해야 한다.
단, 재동의는 보통 통지의 내용으로 수신 거부 방법이나 경로를 안내함으로써 갈음 처리한다.
정보통신망법 제50조(영리 목적의 광고성 정보 전송 제한)
1. 구든지 전자적 전송매체를 이용하여 영리 목적의 광고성 정보를 전송하려면 그 수신자의 명시적인 사전 동의를 받아야 한다.
2. 전자적 전송매체를 이용하여 영리 목적의 광고성 정보를 전송하려는 자는 제1항에도 불구하고 수신자가 수신거부의사를 표시하거나 사전 동의를 철회한 경우에는 영리 목적의 광고성 정보를 전송하여서는 아니 된다.
3. 오후 9시부터 그 다음날 오전 8시까지의 시간에 전자적 전송매체를 이용하여 영리 목적의 광고성 정보를 전송하려는 자는 제1항에도 불구하고 그 수신자로부터 별도의 사전 동의를 받아야 한다.
모바일 고유식별번호
UUID(범용 고유식별번호, Universally Unique Identifier)
ID의 고유성을 완벽하게 보장하기 위해 중앙관리시스템이 있어서 고유한 일련번호를 부여해 준다면 쉽고 간단하게 해결할 수 있는 일이다.
하지만 전 세계에서 수많은 기업이 네트워크 연결이 필요한 다양한 제품을 개발하고 있는 상황에서 중앙관리시스템을 통한 통제는 사실상 불가능하다.
따라서 개발 주체가 스스로 ID를 부여하도록 하되 고유성을 충족할 수 있는 방법이 필요하다.
이를 위해 탄생한 것이 UUID다.
UUID는 총 36개의 문자로 이루어져 있으며 다음과 같은 형식으로 작성된다.
UUID는 정보통신망법 제22조 2(접근권한에 대한 동의)를 근거로 개인정보 보호법의 적용 대상이다.
따라서 이를 수집하려면 회원가입 시 '개인정보 수집 및 이용 동의 약관'을 통해 수집 항목 및 필요한 이유를 명시하고 사용자의 동의를 받아야 한다.
정보통신망법 제22조의 2(접근권한에 대한 동의)
1. 정보동신서비스 제공자는 해당 서비스를 제공하기 위하여 이용자의 이동통신단말장치 내에 저장되어 있는 정보 및 이동통신단말장치에 설치된 기능에 대하여 접근할 수 있는 권한(이하 "접근권한"이라 한다)이 필요한 경우 다음 각 호의 사항을 이용자가 명확하게 인지할 수 있도록 알리고 이용자의 동의를 받아야 한다.
UDID(고유 기기 식별번호, Unique Device Identifier)
아이폰, 아이패드 등 애플에서 제조한 단말기에 부여되는 고유식별번호다.
총 40자 길이이고, 숫자와 문자로 구성돼 있다.
UDID는 '개인정보 수집 및 이용 동의 약관'에 등장할 수 없다.
Android ID
애플의 UDUI와 같이 안드로이드 단말기에 고유하게 부여되는 16자리의 고유식별번호다.
단말기의 하드웨어 및 소프트웨어 정보를 기반으로 생성되어 단말기의 고유성을 식별하는 데 사용되며 단말기 초기화를 통해 재설정할 수 있다.
앱 개발자들이 앱을 설치한 단말기를 식별하고 관리하는 데 사용된다.
IMEI(국제 모바일 단말기 식별번호, International Mobile Equipment identity)
GSM, WCDMA 통신 기술을 사용하는 휴대폰과 일부 위성 전화를 식별하는 고유 번호다.
Wi-Fi 전용기기는 IMEI 값을 가지고 있지 않다.
제조사가 휴대폰을 출고할 때 부여하며, 형식 승인코드 8자리, 모델 일련번호 6자리, 검증용 수자 1자리 등 총 15자리로 구성된다.
통신 장치를 식별하는 데 사용되며 휴대폰의 정품 여부 확인, 분실 혹은 도난 시 통화 차단, 위치 추적, 보안 기능 활성화 등의 용도로 활용되고 있다.
ADID(Google Advertising ID) IDFA(Apple ID for Advertisers)
광고 표시 및 리타깃팅, 광고 성과 분석 등의 목적으로 활용하기 위한 기기별 고유한 키값으로 애플은 2012년에 IDFA를, 구글은 2014년에 ADID를 지원하기 시작했다.
이름만 다를 뿐 용도는 동일하다.
해당 광고 식별자를 통해 개인정보를 노출하지 않고도 사용자를 식별하고 추적할 수 있으며, 이를 사용해 맞춤형 광고를 제공할 수 있다.
마케팅 진행 시 리타깃팅을 통해 고객획득비용(CAC, Customer Acquisition Cost)을 낮춰야 하는 퍼포먼스 마케터들의 고민이 깊어졌고, 동의율을 높이기 위해 해당 팝업을 띄우기 전에 동의를 하면 일정 포인트나 쿠폰 등을 지급한다는 이벤트를 진행하기도 한다.
리타깃팅이란, 사용자가 특정 웹페이지나 모바일 화면에서 클릭한 제품이나 이와 동일한 제품군을 다른 웹페이지나 화면을 방문했을 때도 보여주며 클릭률이나 구매율을 높이는 마케팅 기법이다. IDFA와 ADID를 통해 자사 서비스나 경쟁 서비스에 관심 있는 사용자에게 자사의 광고를 보여주며 CAC를 낮추거나 ROAS(광고 수익률, Return on Advertising Spend)를 높일 수 있다.
CI(개인식별정보, Connecting Information)와 DI(중복가입확인정보, Duplication Information)
CI - 88byte - 연계정보, 서비스 연계를 위해 본인확인기관에서 부여하는 개인식별정보, 서로 다른 인터넷 서비스 간에도 동일 사용자인지 구분 확인한 정보
DI - 64byte - 서비스별로 각각 관리하는 동일 사용자 구분 수단, 한 사람의 명의로 여러 개의 계정을 만들고 악용하는 것을 막을 수 있는 정보, 즉, 한 서비스에 단 하나의 DI만이 존재한다.
