로그인, 회원가입, ..회원 서비스 기획 너무 어렵다!
회원 서비스 기획을 위한 개인정보 보호법 맛보기
스타트업에서 일하거나 신사업을 맡게 된 기획자가 당면하는 과제 중 하나, 회원 서비스.
해본 사람은 알겠지만 회원 서비스 기획 참 어렵다... 사실 나는 서비스 기획자가 아닌데 어쩌다 보니(...) 서비스 기획까지 하고 있는 처지라 더 그랬다. 나와 같은 처지에 있는 사람들과 공유하고 조금이나마 도움이 되고자 글을 작성한다. 지극히 주니어 관점의 경험이니 참고 정도만 해주시길.. (세상 모든 서비스 기획자분들 존경합니다.)
서비스 기획 왜 이렇게 어려울까
서비스 기획자에게는 많은 역량이 요구되는데, 그중에서 제공하고자 하는 서비스와 관련한 법령에 대한 이해와 개정안에 대한 지속적인 팔로우업이 굉장히 중요하다. 당연한 소리지만, 우리가 기획하는 서비스는 우리 사회가 규정해놓은 법이라는 테두리 안에서 현행법을 준수하며 제공되어야 하기 때문이다. 아무리 좋은 기능과 혜택을 제공하는 서비스 일지라 하더라도 법을 위반하는 서비스는 좋은 서비스가 될 수 없다. 그리고 결국엔, 망한다.
최근의 '머지포인트' 사태가 대표적인 사례다. 머지포인트는 머지머니 충전을 통해 편의점, 대형마트, 대형 프랜차이즈 가맹점에서 20% 할인된 가격으로 상품을 살 수 있는 서비스로, 파격적인 할인율을 내세우며 짧은 시간에 많은 이용자를 끌어모았다. 얼핏 보면 굉장히 좋은 서비스처럼 보이겠지만 결국, 전자금융거래법을 위반한 것이 밝혀졌고 대표가 구속되면서 서비스와 회사가 망하고, 이로 발생한 피해는 고스란히 소비자의 몫으로 돌아갔다.
때문에 서비스는 법령과 이에 준하는 가이드라인에 맞추어 기획되어야 한다. 하지만, 법학을 전공하지 않은 기획자라면 어려운 전문 용어로 쓰인 법률 내용을 완벽히 이해하는 것이 쉽지 않기 때문에 보통 어느 정도 규모가 있는 기업에서는 법무팀의 법률 자문을 받아 진행한다. 스타트업이나 작은 규모의 기업에서는 이마저도 쉽지 않기 때문에 직접 법안을 읽어보고 약관 초안까지 작성하기도 한다. 어찌 되었든, 적어도 내가 기획하는 서비스와 연관된 법령들은 무엇이 있고 해당 법령 내용과 시행령은 어떠한 내용이며 서비스의 어느 부분에서 고려되어야 하는지 파악하는 것은 필수다.
그럼, 이렇게 법까지 알아야 하는 어려운 서비스 기획.. 그중에서도 어렵다는 회원 서비스 기획에 대해서 살펴보자.
회원 서비스가 뭘까?
가입, 로그인, 인증, 아이디 보호 및 데이터 관리 등과 같이 서비스를 가입하고 이용하는 회원 계정과 관련된 전반을 말한다. 때문에 계정 서비스(Account Service) 혹은 멤버십 서비스(Membership Service)라고 부르기도 한다.
회원 서비스는 대개 서비스의 첫 시작이자, 개인정보 보호와 직결되기 때문에 매우 중요한 영역이다. 따라서, 주로 경험이 많은 시니어 기획자가 맡는 경우가 많고 기획자 채용 시 회원 서비스 담당만을 따로 채용하기도 한다.
출처 네이버 파이넨셜 채용 사이트개인정보 보호법
앞서 살짝 언급했지만 회원 서비스 기획이 어려운 이유는, 개인정보 보호법에 따라 관련 규정을 지켜 서비스 설계와 정책 및 방안을 마련해야 하기 때문이다. (기존에는 온라인 상에서의 개인정보 처리에 대한 특별법으로서 정보통신망 이용촉진 및 정보보호 등에 관한 법률에 규정되어 있었으나 현재는 관련 내용이 개인정보 보호법에 이관된 상태다.)
(+ 잠시 딴 길로 새서) 서비스 기획과 설계 단계부터 개인정보를 보호하기 위한 기술과 정책을 적용해 개인정보 유출/노출을 예방하는 것을 말하는 개념을 Privacy By Design(PbD)라고 한단다. 우리는 이러한 PbD의 중요성을 인지하고 서비스를 기획해야 한다.
개인정보보호위원회 & 한국인터넷진흥원. (2020.12). 개인정보 보호조치 적용 안내서회원 서비스는 사용자가 회원으로 가입 시 개인정보가 수집되고, 서비스 이용 시에는 개인정보가 사용되거나 전송되고 이후 사용자가 회원을 탈퇴하여 파기되는 경우 모두를 고려해야 한다. 즉, 정리하면 개인정보 처리 단계별 (1)수집 (2)이용/전송 (3)파기에 대한 보호조치와 방안을 개인정보 보호법에 따라 모두 마련해야 하는 것이다.
3단계로 간략하게 정리했지만, 말처럼 간단하지 않다. 예를 들어, 개인정보 수집 단계 하나만 보더라도 수집할 개인정보의 종류와 범위, 데이터의 타입과 형식뿐만 아니라 저장 후 보관할 때, 보관된 정보를 정정하거나 열람할 때 등등 세부적으로 들여다보면 지켜야 할 규정과 이를 위한 정책 설정이 무수히 많아진다.
어떻게 기획할까
앞서 말했듯, 법 전문가가 아닌 이상 법률을 한 줄씩 따져보고 정책과 약관을 만들기는 쉽지 않을 터...
주니어에다가 사수도 없는 나는 이런 방법을 썼다.
1) 먼저, 우리 서비스에 맞게 서비스 플로우를 작성한다.
시장 조사, 타깃 조사 등을 기반으로 서비스 컨셉과 기능 리스트가 도출되었다면 구체적으로 해당 컨셉과 기능을 어떻게 사용자에게 전달할 것인지 서비스 플로우로 작성하게 된다. 보통 서비스 플로우는 아래 그림처럼 도형과 화살표를 이용해 도식화로 표현한다. (예시는 참고용으로, 보통 이렇게 단순하진 않다.)
회원 서비스 플로우 예시 2) 기관이나 기업에서 제공하는 가이드라인을 참고한다.
이렇게 서비스 플로우가 완성되었으면 각 스텝마다 어떤 규정을 지켜야 하고 정책이 필요한지 법령을 살펴야 하는데 "비밀번호 설정"만 해도 관련 법이 다음과 같다.
• 개인정보 보호법 제29조(안전조치의무)
• 개인정보의 안전성 확보조치 기준 제5조(접근 권한의 관리)
• 개인정보의 안전성 확보조치 기준 제6조(접근통제)
• 개인정보의 안전성 확보조치 기준 제7조(개인정보의 암호화)
• 개인정보의 기술적·관리적 보호조치 기준 제5조(접근통제)
• 개인정보의 기술적·관리적 보호조치 기준 제6조(개인정보의 암호화)
다시 말하지만, 이 많은 법령을 직접 해석해서 적용하기는 어렵기 때문에 정부나 공공기관에서 제공하는 가이드라인을 적극 참고한다. 네이버나 카카오같은 빅테크 기업에서도 관련한 가이드라인을 발행하기도 하니 찾아서 참고하면 좋다. 나의 경우 개인정보보호위원회와 한국인터넷진흥원(KISA)에서 작성한 "개인정보 보호조치 적용 안내서"가 많은 도움이 되었다. 중요한 것은 법령은 지속적으로 개정되므로, 이에 대한 가이드라인 역시 꼭 날짜를 확인하여 되도록 가장 최신판을 보는 것이 좋다!
예를 들어 "비밀번호 설정"에 대해 기획하고 정책을 설정하고 싶다고 해보자. 그럼, 각 기관들의 문서를 뒤져서 비밀번호 설정에 대해 어떻게 가이드하고 있는지 살피는 것이다.
3) 경쟁사의 이용약관 및 개인정보 취급 방침, 서비스 정책 등을 살펴보고 벤치마킹한다.
가이드라인은 말 그대로 가이드라인이지 꼭 따라야 하거나 정답은 아니다!
따라서, 다른 경쟁사들은 법을 준수하면서 어떻게 정책을 설정했는지, 혹시 다른 방법이나 차별화를 가지고 있는지 살펴보고 참고하는 것도 좋은 방법이다.
4) 규정과 정책에 맞추어 화면을 설계한다.
가이드라인과 경쟁사를 참고하여 우리 서비스의 지켜야 할 규정과 정책이 정해졌으면 이걸 이제, 문서화하고 화면을 설계해야 한다. 비밀번호 입력 시 화면에 마스킹 처리가 되도록, 비밀번호 작성 조건을 지키도록, 지키지 않았을 경우 올바르게 작성할 수 있도록 등등의 정책 내용들을 화면에 반영한다.
출처 배달의민족5) 뉴스 기사를 통해 최신 법령 개정안을 지속적으로 업데이트한다.
그리고 혹시 가이드라인 문서에서 아웃데이트된 내용은 없는지, 그리고 앞으로 법령 개정에 따라 정책 변경을 하기 위해 지속적으로 뉴스 등을 통해서 최신 법령 내용을 팔로우업해야 한다.
위 과정은 사실, 회원 서비스뿐만 아니라 서비스 전반에서 모두 적용된다. 다만 살펴봐야 하는 법과 내용이 달라지는 것뿐이다. 많은 사람들이 회원가입 시 약관은 읽어보지도 않고 동의 버튼만 누르기 십상인데, 사실 그 이면에는 기획자들의 많은 공부와 고민들이 들어가 있다. 알면 알수록 어려운 서비스 기획..
참고자료 )
1. 개인정보보호위원회 & 한국인터넷진흥원. (2020.12). 개인정보 보호조치 적용 안내서.
2. https://germweapon.tistory.com/372
3. https://brunch.co.kr/@brunch9yss/16
4. https://www.techm.kr/news/articleView.html?idxno=91110
