체리피커는 단순히 혜택만 받아 가는 고객에 그치지 않는데요. 고객 획득, 전환율 같은 핵심 지표를 오염시키고, 막대한 마케팅 비용 손실까지 초래할 수 있습니다. 따라서 플랫폼은 먼저 ‘고객’을 어떻게 정의할 것인지부터 명확히 해야 합니다. 이후 고객의 특성을 진단하고, 순도 높은 고객을 확보하기 위한 데이터 전략을 세워야 합니다.

이번 글에서는 가입 정책을 ‘비즈니스 필터’의 관점에서 살펴봅니다. 본인인증(CI/DI)과 기기 식별(Device ID)이 중복 가입과 체리피커를 막고, 데이터 무결성을 지키는 방식을 짚어봅니다. 또한 법적 휴면제 폐지 이후 데이터 정책이 ‘보유’ 중심에서 ‘수익성 기반 타겟팅’으로 어떻게 전환되어야 하는지도 함께 살펴보겠습니다.

플랫폼은 어떻게 ‘한 사람 이상의 실체’를 찾아내는가?

다음은 국내 이커머스 플랫폼의 실제 사례를 바탕으로 한 리서치입니다.

1) 마켓컬리(Market Kurly)의 '100원 딜'과 배송지 정제

마켓컬리의 성장을 견인한 ‘100원 딜’은 체리피커의 주요 타깃이 되기 쉬운 정책입니다. 초기에는 가족 명의의 휴대폰 번호를 여러 개 확보한 뒤, 한 집으로 여러 개의 100원 상품을 주문하는 사례가 빈번했습니다. 당시에는 본인인증 제도가 적용되지 않았기 때문이죠.

실무 대응: 이에 마켓컬리는 휴대폰 번호 중복 체크뿐만 아니라, ‘배송지 주소 정제(Normalization)’ 로직을 도입했습니다. 동일한 배송지 주소에서 단기간에 여러 신규 가입자가 혜택을 신청할 경우, 시스템이 이를 이상 징후로 판단해 승인을 거절하거나 추가 본인인증을 요구하는 방식입니다. 이는 온라인 가입 정보만으로 고객을 판단하지 않고, 물리적 거주지를 기준으로 실사용자를 검증하는 오프라인 기반 방어책입니다.

2) 무신사(Musinsa)의 기기 식별(Device ID) 기반 차단

무신사는 커뮤니티 기반의 강력한 팬덤을 보유한 플랫폼입니다. 그러나 팬덤이 강한 만큼, 신규 가입 혜택이나 프로모션 정책의 허점이 사용자들 사이에서 빠르게 공유되기도 합니다.

실무 대응: 무신사는 앱 실행 시 기기 고유 식별자인 ‘Device UUID’를 수집해 계정 정보와 매칭합니다. 사용자가 다른 명의의 휴대폰 번호로 가입하더라도, 동일한 스마트폰에서 로그아웃과 재가입을 반복하며 ‘990원 딜’ 등을 이용하려 하면 구매를 제한하는 방식인데요. 예를 들어, “이미 혜택을 받은 기기입니다”와 같은 메시지를 노출해, 동일 기기에서의 반복 혜택 수령을 막을 수 있습니다. 이는 계정 팜(Account Farm)을 통한 마케팅 예산 탈취를 차단하는 핵심 수단입니다.

3) 알바몬(Albamon)의 이벤트 순도 관리

알바몬과 같은 채용 플랫폼은 단순 가입자 수보다 ‘이력서 작성’이라는 유효 행동이 더 중요합니다. 즉, 가입 자체가 아니라, 실제 구직 의사가 있는 사용자인지를 판단해야 합니다.

실무 대응: 알바몬은 가입 직후 경품을 지급하는 대신, ‘본인인증 완료 + 이력서 1회 저장’과 같은 복합 조건을 설정합니다. 단순 가입이 아니라, 실제 서비스 이용 의지를 확인할 수 있는 행동까지 요구하는 방식입니다. 이때 본인인증 API에서 활용하는 CI 값을 통해 과거 탈퇴 이력이 있는 사용자가 재가입 후 다시 경품만 받아가는 행위를 차단할 수 있습니다. 이는 이벤트 참여자의 순도를 높이고, 마케팅 비용이 실제 전환 가능성이 있는 사용자에게 쓰이도록 만드는 장치입니다.

4) 쿠팡이츠의 네트워크 식별

쿠팡은 앱 곳곳에 배너와 팝업을 배치해 와우 멤버십 가입, 쿠팡이츠 첫 주문 등을 적극적으로 유도합니다. 이처럼 마케팅 집행 규모가 큰 플랫폼일수록, 혜택이 실제 신규 고객에게 쓰이고 있는지 검증하는 장치가 중요합니다.

실무 대응: 동일한 명의가 아니더라도, 같은 와이파이(Wi-Fi)나 IP 주소(IP Address) 환경에서 짧은 시간 안에 복수의 신규 가입과 주문이 발생하면 시스템은 이를 ‘동일 환경’에서 발생한 행동으로 판단할 수 있습니다. 특히 첫 주문 할인 혜택이 큰 플랫폼에서는 동일 네트워크에서 반복 가입과 주문을 시도하는 작업장(Farm)을 막기 위해 이러한 식별 로직이 필요합니다. 이는 실명 인증만으로 걸러내기 어려운 비정상 패턴을 보완하는 방어책입니다.

CI/DI 수집, 가입창에 번호만 받으면 끝일까?

가장 중요한 포인트는 여기입니다. 가입창에 휴대폰 번호 입력 필드를 만드는 것만으로는 비즈니스 로직을 보호할 수 없기 때문인데요. 현실적으로 사용자가 직접 입력한 휴대폰 번호는 검증된 식별값이 아니라, 단순한 ‘텍스트’에 가깝습니다. 예를 들어, 010-1234-5678로 가입한 사용자가 탈퇴한 뒤, 010-1234-5679로 다시 가입하는 것을 막기는 어렵습니다.

1) 기획자가 도입해야 하는 진짜 정책

CI와 DI
가입 정책에서 중요한 것은 휴대폰 번호 입력이 아니라, 사용자를 식별할 수 있는 검증된 값을 수집하는 것입니다. 이때 핵심이 되는 값이 CI와 DI입니다.

CI(Connecting Information): 주민등록번호를 기반으로 생성되는 88바이트 고유값입니다. 통신사나 휴대폰 번호를 바꿔도 변하지 않는 ‘디지털 지문’에 가깝습니다. 따라서 타 서비스와의 연동이나, 평생 1회 혜택 제한처럼 강한 중복 방지 정책에 활용됩니다.
DI(Duplication Information): 해당 웹사이트 안에서만 유효한 고유값입니다. 서비스 내부에서 동일 사용자의 중복 가입 여부를 판단하는 데 쓰입니다.

본인인증 API 연동

이를 위해서는 NICE나 KCB 같은 본인인증 서비스를 연동해야 합니다. 사용자가 [인증하기] 버튼을 누르고 통신사 인증을 완료하면, 인증사는 우리 서버로 CI와 DI 값을 전달합니다. 여기서 중요한 점은 CI가 사용자가 직접 입력한 휴대폰 번호와 다르다는 것입니다. CI는 사용자가 개명을 하거나, 휴대폰 번호를 바꾸거나, 통신사를 옮겨도 변하지 않는 값입니다.

데이터의 흐름과 해결

데이터 흐름은 단순합니다. 사용자가 [인증하기] 버튼을 클릭하고 통신사 인증을 완료하면, 인증사가 우리 서버로 CI(88바이트 고유값)와 DI(사이트별 고유값)를 전달합니다. 이후 가입 완료 버튼을 누르기 직전, 서버는 우리 데이터베이스에 같은 CI 값을 가진 사용자가 이미 있는지 확인합니다.만약 같은 CI로 가입한 이력이 있거나, 이미 혜택을 받은 기록이 있다면 추가 혜택 지급을 제한할 수 있습니다. 이 과정은 0.1초 만에 처리되어야 하며, 바로 이 지점이 마케팅 예산을 지키는 ‘기획자의 기술적 방어선’입니다.

2) 추가 응용 아이디어

앞서 살펴본 것처럼 CI/DI는 중복 가입을 막는 핵심 식별값입니다. 이미 많은 글에서도 CI/DI의 개념과 필요성을 설명하고 있지만, 실제 서비스에서는 CI/DI만으로 모든 문제를 해결하기 어렵습니다.

먼저 본인인증 과정 자체가 고객 전환의 허들이 될 수 있습니다. 사용자가 가입 초반부터 인증 절차를 부담스럽게 느끼면, 혜택을 받기 전에 이탈할 가능성이 생깁니다. 또한 마켓컬리 사례처럼 ‘가족 단위’의 사용자를 필터링해야 하는 상황에서는 CI/DI만으로 한계가 있죠. 플랫폼에서 마케팅 대상은 언제나 ‘한 사람’이 아닙니다. 때로는 ‘한 가구’, ‘한 기기’, ‘한 결제 수단’처럼 다르게 정의되어야 합니다.

따라서 먼저 우리 서비스에서 ‘고객’을 어떻게 정의할 것인지 정하고, 그다음 그 정의에 맞는 보조 식별 정책을 함께 설계해야 합니다.

Device ID (ADID/IDFA):

광고 식별자인 ADID/IDFA나 기기 고유값(UUID)을 수집해 ‘기기당 1회 혜택’ 정책을 설계할 수 있습니다. 이는 본인인증을 우회하려는 부정 사용자를 막는 2차 방어선이 됩니다.

배송지 주소 정규화 및 거리 기반 로직(Address Normalization)

배송지 주소를 정규화해 동일 주소 여부를 판별하는 방식입니다. 상세 주소의 띄어쓰기, 특수문자, 표기 차이를 정리해 같은 주소를 같은 값으로 인식하도록 만듭니다.
예를 들어, ‘홍길대로 123 101호’와 ‘홍길대로123, 101호’는 사용자가 다르게 입력했지만, 실제로는 같은 주소일 수 있습니다. 이런 값을 동일 주소로 판단하면, 같은 가구에서 반복적으로 혜택을 받는 패턴을 걸러낼 수 있습니다.

결제 수단 지문(Payment Fingerprinting)

본인인증 명의가 다르더라도 결제 수단이 같다면 동일 사용자나 동일 가구일 가능성이 있습니다. 따라서 결제에 사용된 카드번호 일부 마스킹값이나 계좌번호의 해시값을 대조하는 방식도 활용할 수 있습니다.
이때는 약관과 안내 문구가 중요합니다. 예를 들어, “본 혜택은 결제 수단별 1회에 한해 제공됩니다”와 같은 기준을 명확히 고지해야 합니다. CI/DI가 달라도 결제 수단이 같다면 동일 혜택 적용을 제한할 수 있는 근거가 필요합니다.

기기 및 브라우저 지문(Device/Browser Fingerprinting)

Device UUID뿐만 아니라 접속한 브라우저 설정, 운영체제(OS) 버전, 화면 해상도 등을 조합해 고유한 식별값을 생성하는 방식입니다. 사용자가 본인인증을 우회하거나 브라우저를 초기화하더라도, 기기 고유의 특성을 통해 동일 기기 여부를 추정할 수 있습니다.
이는 단독 기준으로 사용하기보다는, 다른 식별 정책과 함께 활용하는 2차 방어선으로 설계하는 것이 적절합니다. 가입 정책의 목적은 사용자를 과도하게 막는 것이 아니라, 혜택의 대상을 더 정확히 정의하고 마케팅 예산이 새는 지점을 줄이는 데 있기 때문입니다.

비즈니스 성과, 마케팅 지표와 정책의 연결점

이러한 기술적 방어선은 단순한 보안 장치가 아닙니다. 마케팅 핵심 지표인 CPA(고객 획득 비용)와 LTV(고객 생애 가치)에 직접적인 영향을 미치는 비즈니스 정책입니다.

[마케팅 지표 의사결정 가이드]

지표 연결점: 가입 정책에서 CI/DI 필터링을 강화하면, 단기적으로는 CPA가 상승하는 것처럼 보일 수 있습니다. 신규 가입자 수가 줄어들고, 인증 과정에서 이탈하는 사용자도 생기기 때문입니다. 하지만 이는 ‘가짜 회원’에게 쓰이던 매몰 비용이 제거되는 과정에 가깝습니다.

혜택만 받고 이탈하는 사용자를 걸러내면, 실제 활동 유저를 기준으로 한 Active CPA(실제 활동 유저당 비용)는 오히려 최적화됩니다. 결과적으로 마케팅 예산이 더 순도 높은 고객에게 집중되고, 전체 마케팅 ROI 개선으로 이어질 수 있습니다.

데이터 보유의 시대에서 '정제된 활용'의 시대로

2024년 개인정보 보호법 개정으로 휴면 회원 분리 보관 의무가 사라졌습니다. 이제 기획자와 마케터는 데이터를 ‘어떻게 보관할 것인가’보다, ‘어떻게 수익성 있게 분류하고 활용할 것인가’에 더 집중해야 하는데요. 무분별한 전체 메시지 발송은 비용 낭비일 뿐만 아니라, 브랜드 피로도까지 높일 수 있기 때문입니다. 법적 의무가 사라진 지금, 비즈니스 관점에서 ‘휴면’의 기준을 다시 정의해야 하죠.

결국 중요한 것은 보유한 데이터를 모두 활용하는 것이 아닙니다. 반응 가능성이 높은 사용자에게 마케팅 리소스를 집중할 수 있도록, 세그먼트 정책을 설계하는 것이 핵심이죠. 기획자가 촘촘하게 설계한 가입·회원 정책은 마케팅 비용의 누수를 막고, 회사의 재무 건전성을 지키는 강력한 도구가 될 수 있음을 기억해 두세요.