LY Corporation Tech Blog

LY Corporation과 LY Corporation Group(LINE Plus, LINE Taiwan and LINE Vietnam)의 기술과 개발 문화를 알립니다.

복잡한 회원 인증 프로세스, 기본 원칙만 알면 쉽습니다

팀장님: "회원 인증 체계를 리뉴얼해 봅시다"

기획자: "인... 인증이요?" ('인증 시스템 레거시도 많아 보이고 복잡해 보이는데... 좀 무섭네...')

'인증'이란 단어는 듣기만 해도 복잡해 보이고, 완벽해야만 할 것 같아 무섭게 느껴지곤 하죠.

네. 실제로도 그렇습니다. 인증 시스템이 허술하면 전체 프로덕트의 신뢰가 무너지고, 부정 사용자가 급증해 운영이 엉망진창이 되어버리니까요. 

하지만 이런 복잡해 보이는 인증도 기본 원칙만 잘 알고 있다면 전혀 두려울 게 없습니다. 

소개가 늦었습니다. 안녕하세요. 저는 ABC Studio에서 기획을 담당하고 있는 천재연입니다. 현재 일본 최대 규모의 배달 서비스인 데마에칸(Demaecan, 出前館)에서 기획 업무를 담당하고 있습니다. 지금까지 여러 프로덕트의 회원 인증 프로세스 구축과 KYC(Know Your Customer의 약자로 금융 기관의 고객 확인 제도를 의미) 전반에 대한 작업을 담당해 왔습니다.

통상 회원 인증은 서비스에 접근하려는 사용자의 신원을 확인하는 모든 과정을 일컫는데요. 이번 글에서는 단순 ID/PW를 이용한 지식 기반 인증 이외에 회원의 유효성을 확인할 수 있는 식별 장치 위주로 서술해 보고자 합니다.

잘 정립된 회원 인증 체계의 중요성

너무 뻔한 이야기지만, 그만큼 중요하기 때문에 한 번 짚고 넘어가겠습니다. 어떤 서비스를 만들던 회원 가입과 인증 시스템은 항상 필요합니다(그만큼 한 번 개념을 잘 잡아두면 계속 써먹기 좋다는 의미겠죠?).

너무나도 기본적인 요소이기에 별달리 특별할 것도 없어 보이지만, 그 어떤 것보다 신중하게 접근하고 설계해야 하는 영역이라고 생각합니다. 가입 및 인증의 영역은 서비스를 처음 시작할 때부터 적용할 수밖에 없고, 누적된 사용자가 많아질수록 잘못된 것을 바로잡기 어려워지기 때문입니다.

신규 프로젝트에서 본격적인 인증 시스템을 도입하기가 부담스러워 일단 건너뛰었다가 뒤늦게 도입하는 과정에서 머리 아파하는 사례를 종종 보곤 합니다. 이런 경우 필연적으로 아래와 같은 케이스 때문에 머리가 아파집니다.

image

  • 케이스 1: 이미 등록된 회원의 정보가 실제 존재하지 않는 정보이다.
    • 예를 들어, 휴대폰 번호 '010-1234-5678'와 같은 경우가 여기에 해당합니다. 유령 회원인 경우가 많으며, 회사에서 연락을 취하고 싶어도 취할 수가 없습니다. 즉, 회원 정보를 임의로 변경할 수 없는 환경에서는 이런 회원은 영영 골치 아픈 엣지 케이스로 남게 됩니다.
  • 케이스 2: 입력한 정보가 타인의 정보라서 신규 사용자의 가입에 방해가 된다.
    • 이 경우 신규 사용자가 해당 정보가 본인의 정보임을 증명하는 과정이 길어지면서 중간에 이탈할 가능성이 높아질 수밖에 없습니다.
  • 케이스 3 : 회원 식별이 필요한 순간에 활용할 수 있는 인증 정보가 전혀 없다.
    • 쿠폰 이벤트와 같은 마케팅을 진행할 때 부정 사용자를 방지하기 위한 회원 식별은 필수입니다. 이때 활용할 수 있는 정보가 없다면 사용자가 제출한 정보가 사실인지 비교할 수 없으며, 이로 인해 인증 정보를 추가로 받아야 하는 부담이 커집니다.

따라서 신규 프로젝트를 담당하는 기획자라면 본인의 서비스가 어느 정도 수준의 인증이 필요할지 설계 단계에서부터 충분히 논의하고 고민해야 합니다.

국내와 해외의 회원 인증 방식은 어떻게 다를까?

최근에는 프로젝트 규모를 키우고자 해외 서비스로 확장하거나 또는 애초에 해외에서 첫 서비스 오픈을 시도하는 서비스들이 자주 보이고 있습니다. 저도 데마에칸을 담당하면서 처음으로 해외 서비스 기획을 경험해 봤는데요. 회원 인증 방식에서 국내 서비스와 확실히 차이가 있다는 것을 알 수 있었습니다. 제 경험을 바탕으로 국내 서비스와 해외 서비스의 인증 방식이 어떻게 다른지 소개하겠습니다.

국내 서비스의 인증 종류와 기한

국내 프로덕트에 적용되는 인증은 크게 다음 세 가지로 구분할 수 있습니다. 각각을 대표적인 예시와 함께 살펴보겠습니다.

  • 점유 인증: 해당 정보를 실제로 소유하고 있는지 확인하는 방식의 인증입니다.
    • 이메일 인증: 대표적으로 널리 쓰이는 점유 인증 중 하나로, 인증 번호를 메일로 받아 입력합니다. 이를 통해 이 메일은 내가 점유(소유)하고 있다는 것을 인증할 수 있습니다.
  • 실명 인증: 이름과 주민등록번호(또는 그에 준하는 개인 식별 정보)를 이용해 개인이 실제로 존재하는지 확인하는 방식의 인증입니다.
    • 국가 시스템: 사용자가 특정 복지 혜택의 대상자인지 조회할 때 사용되는 것을 본 적이 있습니다. 단순히 이름과 주민등록번호를 입력해 인증하며, 별도로 인증 번호를 받아 증명하는 과정은 없습니다.
  • 본인 인증: 점유 인증과 실명 인증을 합쳐둔 것이라고 이해하면 쉽습니다. 굉장히 많은 방식이 있으며, 계속 다양해지고 있습니다. 각 인증별로 커버할 수 있는 범위가 다르다 보니 여러 인증을 함께 진행하는 경우가 꽤 있습니다.  
    • 휴대폰 본인 인증: 가장 대표적인 방식으로, 통신사의 고객 정보에 기대서 인증을 하는 방식입니다(예를 들어 PASS 앱). 사용자가 입력한 성명, 전화번호, 주민등록번호가 통신사의 고객 정보와 모두 일치해야 인증이 진행될 수 있습니다.
    • 1원 인증: 금융 기관에서 본인 계좌를 인증하는 용도로 사용됩니다. 본인 계좌 번호를 입력하는 과정을 통해 실명 인증이 진행되고, 1원을 받아서 인증 코드를 입력하는 과정을 통해 점유 인증이 진행됩니다.
    • 안면 인증: 실물 신분증 촬영 후 사용자의 얼굴을 촬영합니다. 두 얼굴이 일치한다면 본인으로 판정하는 방식입니다.
    • SNS 인증: 많이들 사용하시는 네이버 인증이 여기에 속합니다. 위에 서술한 여러 방법으로 이미 본인 인증을 마친 계정에 기대어 간단한 인증 번호 입력만으로도 본인 인증을 할 수 있는 간편한 방법입니다.

여기서 퀴즈!

LY에서 신규 서비스를 출시했다고 하여 가입을 시도해 보았다.

이름과 휴대폰 번호를 입력하니 총 5자리의 인증 번호가 전송되었으며, 인증 번호를 입력하니 손쉽게 가입이 완료되었다.

여기서 사용된 인증은 어떤 인증일까요?

정답은 점유 인증입니다. 휴대폰을 활용했기 때문에 본인 인증으로 헷갈릴 수 있지만, 주민등록번호와 같은 개인 식별 정보를 활용하지 않았기 때문에 점유 인증에 해당됩니다. 이와 같이 인증에는 방식이 유사한 것들이 굉장히 많기 때문에 항상 인증의 원리를 이해해 어떤 방식의 인증인지 파악해야 합니다.

이렇게 다양한 인증의 특성을 파악하며 어느 것을 도입할지 고려할 때 반드시 함께 챙겨 주셔야 할 한 가지가 있습니다. 바로 인증 정보의 만료 기한입니다.

금융 앱을 사용하다 보면 이따금씩 '고객 정보 재확인'이란 문구를 보신 적이 있으실 겁니다. 높은 보안 수준이 필요한 서비스일수록 고객 인증 정보를 언제까지 유효하게 볼 것인지를 고려해야 합니다. 더불어 사용자가 탈퇴하는 경우에는 인증 정보를 언제까지 보관할지도 결정해야 합니다. 탈퇴 즉시 모든 인증 정보를 제거하면 부정 사용자가 늘어나게 되고, 그렇다고 인증 정보를 영원히 제거하지 않는다면 신규 사용자 가입을 방해할 수 있습니다.

해외 서비스의 인증 방식

데마에칸의 회원 가입 과정을 개선하면서 정말 깜짝 놀랐습니다. 개인을 식별하는 일이 이렇게 어려운 일일 줄이야...!

저는 당연히 본인 인증 시스템이 있을 줄 알았습니다. 한국처럼 휴대폰 번호와 주민등록번호로 쉽게 사람을 식별할 수 있을 것이라고 착각했습니다. 하지만 알고 보니 한국에서 흔히 쓰는 휴대폰을 통한 본인 인증 시스템은 전자 정부가 도입되면서 구축된 전 세계 유일무이한 시스템이었습니다. 한국 외의 국가에서는 이러한 본인 인증 방식을 사용하지 않으며, 점유 인증에 그치거나 신원 확인 없는 단순 2FA(2 factor authentication) 방식을 적용하는 정도였습니다. 

image
일본의 개인 식별에 문제를 겪는 동료들의 대화

몇 개의 간접적인 방법을 조합해서 인증할 수밖에 없음에도 불구하고 인증을 도입하는 이유는, 인증을 하지 않을 경우 앞서 살펴본 세 가지 예시와 같은 문제가 발생해 회사에 직접적인 손실이 발생할 가능성이 있기 때문입니다. 제가 담당하고 있는 데마에칸에서도 이런 손실을 선제적으로 방어하기 위해 회원 가입 시 휴대폰 인증과 이메일 인증을 받고 있습니다.

회원 인증 프로세스 기획에서 핵심은 무엇일까?

지금까지 국내와 해외의 회원 인증 방식 차이를 알아봤습니다. 이제 인증 프로세스 신규 도입 또는 개선 시 어떤 부분을 가장 주의 깊게 고려해야 할지 두 단계로 나눠 살펴보겠습니다.

1단계: 효율적인 인증 방식의 도입

데마에칸은 신규 회원 가입 시 주문에 사용할 수 있는 할인 쿠폰을 배부할 때가 있습니다. 대략 1,500엔(한화 대략 14,000원) 정도로 부정 사용자들이 아주 솔깃해 할 금액입니다. 이로 인해 쿠폰을 배부할 때마다 급증하는 부정 사용자들 때문에 신규 회원 유치에 사용되는 마케팅 예산이 금세 소진되는 문제가 있었습니다. 이메일과 SMS를 통한 두 번의 점유 인증 장치를 마련해 뒀지만, SMS를 수신할 수 있는 번호를 구매하는 것이 쿠폰 금액보다 저렴하기에 어뷰징은 빈번히 발생했습니다.

이를 막기 위해 저희는 SMS 인증을 전화 발신 인증으로 교체하는 작업을 진행했습니다. 입력한 전화번호로 인증 전화가 발신되며, 걸려온 전화를 받으면 인증이 완료되는 점유 인증 방식입니다. SMS와 발신 인증 모두 점유 인증에 속하지만, 일본에서는 전화 수신이 가능한 번호를 구매하는 것이 SMS만 가능한 번호를 구매하는 것보다 비싸기 때문입니다.

이 조치 덕분에 기능 배포 전월 20% 이상을 넘던 부정 사용자 비율을 1.5%로 줄일 수 있었습니다. 

2단계: 잘 정돈된 가입 단계

서비스 기획자로서 제가 늘 염두에 두는 말이 있습니다.

"기획자는 창의적 것을 해내는 사람이 아니야.
독창적인 아이템도 보편화하여 사용자가 편안하게 느끼도록 돕는 역할이지."

회원 인증 프로세스는 더욱이 그렇다고 생각합니다. 개선 전 데마에칸 앱의 회원 가입 프로세스는 다음과 같았습니다.

image

개선 전에는 위 그림과 같이 우편 번호 검색이라는 다소 보편적이지 않은 화면으로 가입이 시작되고, 이후 SMS 인증과 이메일 인증이라는 두 번의 점유 인증을 필수로 진행하는 과정이 있었습니다. 여기서 저는 기존 가입 단계의 가장 큰 문제점이 각 과정이 유사한 목적끼리 그룹화되지 않은 것이라고 생각했습니다. 즉, 주소 정보를 입력한 뒤 SMS 인증을 했다가 다시 나머지 주소를 입력하는 과정으로 진행되다 보니 사용자는 그다음 단계를 도무지 예상할 수가 없었습니다.

이에 따라 제가 이번 개선 과정에서 집중한 것은 세부 과정을 목적별로 명확하게 그룹화하기, 그리고 일부 필드의 입력 간소화였습니다. 아래는 개선 후 회원 가입 프로세스입니다.

image

위 그림과 같이 SMS 인증을 부정 사용자를 효과적으로 판별할 수 있는 발신 인증으로 교체해 1단계로 두고, 사용자가 관련 인증을 이어서 하는 느낌을 받을 수 있도록 이메일 인증을 바로 다음으로 배치했습니다. 또한 유독 길어 보이던 개인 정보 입력 화면에서 소셜 로그인 연동 버튼을 떼어내어 이메일 입력 화면으로 재배치했습니다. 이를 통해 SNS에서 받아온 이메일이 자동 입력되도록 만들 수 있었을 뿐 아니라, 이를 이후 개인 정보 입력 화면에서도 활용해 입력 항목이 적어 보이도록 간소화할 수 있었습니다.

더불어 사용자 이탈 방지 장치도 군데군데 마련해 뒀습니다. 아래 그림과 같이 이메일 인증 시 스펠링을 잘못 기입하는 경우 가입 과정을 이탈하지 않고 쉽게 이전 페이지로 갈 수 있도록 뒤로가기(←) 버튼을 배치했습니다. 또한 화면 닫기 버튼 클릭 시 '인증을 중단할 경우 처음부터 다시 해야 한다'는 안내 메시지를 제공해서 사용자가 가입 중단을 다시 한번 생각해 볼 수 있도록 개선했습니다.

image

이를 통해 개선 전 46%의 이탈률에서 개선 후 17%의 이탈률이라는, 대략 이탈률 30% 감소라는 성과를 달성할 수 있었습니다. 저는 이번 프로젝트를 통해 두 번의 귀찮은 인증도 잘 정돈된 흐름으로 제공하면 이탈률을 획기적으로 줄일 수 있다는 것을 증명할 수 있었습니다.

마치며

지금까지 회원 인증의 개념과 인증 프로세스 기획의 핵심이 무엇인지 살펴봤는데요. 간략히 요약해 정리하자면 다음과 같습니다.

  • 인증의 종류를 충분히 이해하고 서비스에 필요한 인증이 무엇일지 정리할 것
  • 비용과 효과를 고려해 가장 효율적인 인증 방식을 도입할 것
  • 인증 단계를 목적별로 명확하게 그룹화할 것
  • 이탈률 파악을 위해 로그를 꼼꼼히 설계할 것

복잡해 보이는 인증 시스템도 위 사항을 충분히 인지하고 설계한다면, 쉽게 해결하실 수 있을 것이라고 생각합니다. 지금까지 긴 글을 읽어주신 여러분의 서비스도 더욱 안전하고 신뢰받는 서비스가 되기를 기대하며 글을 마치겠습니다.