패스워드 없이 로그인을 쉽게 만드는 UX란?
통계에 따르면 평균적으로 근로자들은 일평생의 10시간 정도를 패스워드를 입력하는 데에 사용한다고 한다. 이는 연간 5200만 달러 정도의 자원 낭비로 이어진다. 비밀번호를 기억하고 입력하는 데에 사용자가 느끼는 피로감과 짜증 역시 어마어마하다. 이미 이러한 현상을 가리키는 'Password Fatigue'라는 용어도 등장했다.
심지어 Password는 더 이상 보안적으로도 안전한 로그인 방식이 아니다. 영국의 National Cyber Security Center(NCSC)에 따르면 '123456'과 '123456789'가 가장 많이 사용되는 비밀번호라고 한다. (그 외에 ‘qwerty’, ‘password’, ‘111111’ 등이 있었다.) 이런 비밀번호들은 실력 낮은 해커들에게조차 털리기 십상인 것들로서, 패스워드가 얼마나 털리기 쉬운 체계인지를 보여준다.
새로운 트렌드: Passwordless-login
그래서 나온 새로운 보안업계 트렌드가 바로 Passwordless-login이다. 패스워드 없이 로그인이 가능하다고? 약간 홍철 없는 홍철팀 같기도 하다. Passwordless-login이란 말 그대로, 패스워드 대신 신뢰할 수 있는 대체 수단을 이용해 인증하는 방식을 말한다.
개념 자체는 생소하지만, 아래 예시들을 보면 아~ 이런 게 Passwordless-login이구나 싶을 것 같다.
1) PIN번호/생체 인증 수단 등록
PIN 번호, 생체 인증 수단을 등록하는 방식이다. 특히 생체 인식의 경우 본인이 아니면 인증 자체가 불가능하기 때문에 가장 강력한 보안성을 가질 수 있다. 하지만 PIN 번호와 생체 인증 정보는 클라이언트(특히 모바일)에 종속되어 있는 정보이기 때문에 다른 기기에서는 이용할 수 없는 단점이 있다.
- 장점: 생체 인증의 강력한 보안성 및 간편함
- 단점: ID/PW와 연동하는 보조 수단. 기기가 바뀌면 ID/PW를 이용해 로그인해야 함
2) 휴대폰 번호/이메일을 통한 인증 번호 입력
가입 시 입력해둔 휴대폰과 이메일로 인증 번호를 받아 입력하는 방식이다. 둘 중, 아무래도 더 편리한 수단은 휴대폰일 것이다. 휴대폰으로 바로 전송되는 SMS에 반해 이메일로 인증번호를 받도록 하면 사용자가 본인 이메일에 접속해야 하는 번거로움이 생기기 때문이다.
이제는 명실상부 최고의 중고 거래 플랫폼 서비스가 된 '당근 마켓'이 휴대폰 인증으로 로그인 기능을 사용하고 있다. 다만 주의해야 할 점은 휴대폰 번호 외에 개인 정보를 수집하지 않으면 사용자가 휴대폰 번호를 바꾸었을 때 상당히 난감한 사태가 벌어지게 된다. (본인의 경험담이다.) 더 이상 해당 계정으로 로그인할 수 있는 방법이 없어 새로운 계정을 만들 수밖에 없게 된다.
- 장점: 접속하는 기기와 상관없이 이용 가능
- 단점: 인증번호를 받아서 입력하는 단계가 귀찮음/휴대폰 번호를 바꾸게 되면 로그인 불가
2-1) 매직링크(일회용 링크) 이용
사실 인증번호를 입력하는 것도 사용자에게 피로감을 줄 수 있다. 매번 로그인을 할 때마다 인증번호를 받아서 다시 서비스에 입력하는 게 그리 편리한 일은 아니다. 슬랙은 이런 불편함을 없애기 위해 '매직링크' 로그인을 적용했다.
매직링크를 이용하면 사용자가 휴대폰이나 이메일로 받은 인증번호를 서비스에 입력하지 않고, 전달받은 링크를 선택하면 곧바로 로그인이 완료된다.
- 장점: 인증번호 절차 없이 링크 클릭으로 바로 로그인 성공
- 단점: 이메일 서비스로 이동해서 링크를 클릭해야 하는 번거로움 존재
3) 소셜 로그인
소셜 로그인은 아마 최근 들어 가장 많은 서비스에서 사용하는 방식이 아닐까 싶다. 기존 ID/PW에 Google이나 네이버 아이디를 연동해두면, 다음번 로그인부터는 네이버 아이디나 구글 계정으로 로그인할 수 있다. 보통 사용자는 본인이 자주 쓰는 소셜 계정의 패스워드는 기억해두고 있고, 기기 내에 이미 해당 소셜 계정 정보가 있는 상태라면 패스워드 입력 없이도 곧바로 로그인이 가능하다.
- 장점: 기기 내에 이미 해당 소셜 계정 정보가 있는 상태라면 패스워드 입력 없이도 곧바로 로그인이 가능하다.
- 단점: 이미 ID/PW로 이용하고 있던 사용자라면 별도의 연동 과정을 거쳐야 한다. 소셜 로그인을 선택했는데 알고 보니 연동되어 있지 않아서 낭패를 보는 케이스도 있다.
4) QR 로그인
최근 들어 QR 코드가 어떻게 사용자 경험을 편리하게 만들고 있는지를 자주 이야기되는 것 같다. 네이버 앱의 경우 공공장소에서 ID/PW를 이용해 로그인하는 것은 계정 탈취의 우려가 있기 때문에 QR 코드 등의 다른 로그인 방법을 제공하고 있다.
넷플릭스 역시 TV 로그인 시 패스워드를 리모컨으로 입력해야 하는 불편함을 줄이기 위해 QR코드로 로그인 기능을 제공하고 있다.
Passwordless login 기획 시 유념해야 할 Point
1) 소셜 로그인(카톡/네이버/페이스북/구글) 시 가입부터 가능하도록 하자.
사실, 로그인 시점부터 '소셜 계정으로 가입'을 제공하지 않으면 반쪽짜리에 가깝다. 소셜 계정으로 로그인을 선택했더니, '연결된 소셜 계정이 없다'는 메시지와 함께 ID/PW를 이용한 가입을 유도당한 경험이 있을 것이다. 이때 사용자는 마치 농락당한 기분을 가지게 된다.
사용자에게 진짜로 편리한 로그인 기능을 제공하려면, 연결된 소셜 계정이 없을 때 해당 소셜 계정으로 곧바로 가입이 가능하도록 사용자 흐름을 만들어야 한다.
2) 너무 많은 소셜 로그인 방식을 제공하는 게 독이 될 수 있다.
'소셜 로그인'도 너무 많이 제공하면 독이 된다. 사용자가 어떤 소셜 계정으로 가입을 했었는지 기억하지 못하게 되기 때문이다. 사용자가 우리 서비스에 그렇게 많은 관심이 있다고 착각하는 것은 금물이다.
지그재그의 경우 '카카오 계정으로 로그인'만을 제공하고 있다. 국내 거의 대부분의 사용자가 카카오톡 아이디를 가지고 있기 때문에 한 개 만으로도 충분하다.
가능하다면 사용자가 마지막으로 로그인했을 때 어떤 수단으로 로그인했는지를 알 수 있도록 해주는 것도 사용자 경험에 큰 도움을 줄 수 있다. 똑닥의 경우 로그인 시 해당 기기에서 마지막으로 로그인한 수단을 알려주고 있다.
3) 번호가 바뀌거나 연동이 해지되어도 ID를 찾을 수 있는 방법이 있어야 한다.
당근 마켓은 '휴대폰 번호로 로그인'을 이용해 빠르고 편리하게 로그인할 수 있도록 제공하고 있지만, 이 경우 사용자의 번호 변경되는 경우에는 아예 계정이 미아가 되어버리는 난감한 상황이 발생하게 된다. 이를 위해 가입 직후에 보조 수단을 입력하도록 장려하는 것이 좋다.
은행 앱의 경우 로그인 직후에 어려운 로그인 방식 대신 간편한 로그인을 위해 PIN 번호, 패턴, 생체 인증 정보를 등록하도록 유도하고 있다. 보안이 중요하지 않은 서비스에서도 해당 부분은 충분히 벤치마킹해 볼 만한 UX라고 생각된다.
무엇보다 중요한 것: 우리 서비스에 맞는 로그인 체계는 무엇인가?
당근 마켓은 소셜 로그인 없이 휴대폰 번호로만 가입할 수 있다. 왜 그랬을까? 당근 마켓은 중고거래가 성사되면 전화를 걸 수 있는데, 이 기능을 위해서는 회원의 휴대폰 번호 수집이 필요하다. 이를 위해 별도로 휴대폰 번호를 수집하지 않고 로그인부터 휴대폰으로 해결한 것이다. UX적인 측면에서 봤을 때 군더더기 없다. 서비스에 맞는 로그인 체계를 사용한 대표적인 사례이다.
서비스를 만들면 무턱대고 로그인 기능을 넣는 관행은 없어져야 한다. 완벽한 서비스를 만들겠다는 일념 하나로 굳이 회원을 구분해야 할 필요가 없는 서비스에 가입 기능부터 넣는 서비스를 가끔 본다. 이러면 오히려 가입 절차 때문에 고객이 이탈하게 된다. 사실 우리가 사용하는 간단한 앱들에는 로그인이 필요 없다.
설사 로그인이 필요한 서비스라고 해도 처음부터 가입을 시키지 말고 가입이 필요한 기능에 접근했을 때에만 가입 절차를 밟도록 하는 것도 방법이다.
뭣이 중헌지도 모르고 Passwordless-login이 트렌드라고 해서 무지성으로 여러 개 넣었다간 끔찍한 로그인 페이지가 탄생하게 될지어니...
<Reference>
©️요즘IT의 모든 콘텐츠는 저작권법의 보호를 받는 바, 무단 전재와 복사, 배포 등을 금합니다.
