'여러 장치에서 동시에 로그인을 허용하지 않는 앱의 제한 요소는 무엇인가요'

2023년에는 다중 장치 협업이 대부분의 사람들에게 필수가 되었습니다. 애플이 선도하면서 다양한 단말 제조업체들이 자신들만의 다중 장치 에코시스템을 구축하고 있으며, 그 중에는 화면 캐스팅, 클립보드 공유, 장치 간 데이터 공유 등이 포함되어 있지만, 반드시 그런 것만 있는 것은 아닙니다.

현재 상황#

이러한 필연적인 추세에도 불구하고 많은 소프트웨어 회사들이 다중 장치 협업에 따라가지 못하고 있습니다. 가장 기본적인 수준에서, 많은 앱들이 동일한 계정으로 여러 장치에 로그인하는 옵션을 지원하지 않습니다. 여러 장치 로그인 또는 동시 로그인에 대해 이야기할 때, 우리는 동일한 계정으로 여러 장치에 동시에 로그인하면서, 다른 장치 간의 로그인 상태가 서로 영향을 미치지 않고 독립적이며 완전한 접근 권한을 갖는 것을 의미합니다.

이런 앱들은 동시 로그인을 지원하지 않는데, 보통의 접근 방식은 두 번째 장치에서 로그인이 성공할 때 첫 번째 장치에서의 계정을 자동으로 로그아웃하되, 사용자에게 알리는 어떤 알림도 주지 않는 것입니다.

편의성을 위해 자동 로그인을 사용하는 것은 사용자에게 이로워 보일 수 있지만, 미래의 사용에 문제를 야기할 수 있습니다. 예를 들어, 장치에서 자동 로그아웃되었던 적이 있고 그 직후에 다시 사용해야 할 경우, SMS 인증 코드를 입력하거나 얼굴 인식을 하기 위한 추가 보안 단계를 거쳐야 할 수도 있습니다. 이러한 추가 단계는 얼굴 인식을 위해 특정한 조명이나 포즈가 필요하거나, 일부 위험이 수반될 수 있을 만큼 더 많은 불편함을 가져올 수 있습니다.

어떤 접근 방식이 바람직한지 궁금할 수 있습니다. 더 나은 접근 방식은 사용자에게 한 번에 하나의 장치에만 로그인할 수 있다는 것을 알려주는 것입니다. 충돌이 발생하면 그것을 해결하기 위해 장치를 어떤 것을 제거할지, 아니면 새 장치에서의 로그인 시도를 취소할지 결정하는 것은 사용자의 선택이어야 합니다. 이렇게 하면 사용자는 상황에 대해 더 많은 통제력을 가질 수 있습니다.

도전 과제와 잠재적 솔루션#

현재 동시 로그인을 지원하지 않는 앱들을 분석하면서 그들이 직면하게 될 수 있는 잠재적인 문제들을 발견하였고, 우리 자신의 가능한 솔루션을 제공하려고 시도했습니다.

준수 요건#

일부 국가와 지역에서는 특정 카테고리의 앱들(예: 순간 메시지 전송과 소셜 미디어)이 준수 요건을 충족시키기 위해 실명 등록을 요구합니다.

앱들은 준수 요건에 어떻게 대응하나요?#

이러한 요구에 대응하기 위해, 다른 앱들은 다른 전략을 채택하였습니다:

• 실명 등록 요구
• 가입은 허용하되 실명 확인이 끝난 후에만 특정 기능에 접근을 허용
• 결제 앱에 은행 카드를 바인딩하는 것과 같은 방법으로 간접적으로 실명 요구를 충족

이러한 요구사항들이 존재하면서도, 다른 앱들이 채택한 솔루션들은 서로 다릅니다. 확실한 한 가지는 어떤 앱도 그 플랫폼에서 유저가 여러 계정을 만드는 것을 막지 않는다는 것입니다. 즉, 동일한 소유자가 대체 장치를 걸치에 여려 계정을 사용하는데 기술적 제한을 가하지 않는다는 것입니다.

생각 & 가능한 솔루션#

정규화의 본래 목적이 고유한 계정 ID를 통해 계정의 사용과 장치를 추적하는 것이었다면, 현재의 인증 프로토콜과 기술은 단일 계정이 여러 장치에 로그인하고 있을 때도 어떤 특정 장치에서 활동이 시작되었는지 여부를 여전히 탐지할 수 있습니다.

다중 장치 로그인을 가능하게 하는 것이 규제적 추적성을 반드시 배제하는 것은 아닙니다. 적절한 기술적 구현을 통해, 각 장치에서 출발하는 계정 활동들은 여전히 식별하고 추적할 수 있습니다. 따라서, 사용자에게 단일 장치 제한을 부과하지 않고도 규제 요구사항을 준수할 수 있습니다.

비즈니스 성장 고려사항#

우리는 이 문제를 너무 길게 논의해서는 안 될 것 같습니다 - 모든 회사는 상업적인 결정에 대한 이유를 가지고 있습니다.

우리가 알게 된 실제 사례#

그러나, 알려진 바와 같이, 일부 회사들은 초기에 성장 전략으로 사용자들이 여러 계정을 만들도록 장려했습니다. 나중에 이런 회사들은 기술적인 이유와 비즈니스 이유로, 사용자의 여러 계정 간의 데이터를 통합해야 하는 새로운 단계에 진입했으며, 이것은 그들의 팀들이 잘하기 위해 몇 년 동안 계정 통합에 노력을 기울이도록 요구했습니다.

만약 우리라면 어떻게 할 것인가?#

사용자가 여러 계정을 만드는 것은 단기적인 성장에는 좋아 보일 수 있지만, 장기적으로 보면 계정 간에 데이터를 관리하는 것이 사용자에게 어려워질 수 있으며, 회사들은 많은 비활성 '좀비 계정'에서 중요한 통찰력을 추출하는데 어려움을 겪게 됩니다. 이것은 사용자 경험을 해치고 운영 비용을 증가시킵니다.

그래서 사용자당 여러 계정을 장려하는 것은 임시로 성장 지표를 부풀려 보일 수 있지만, 이것은 기술적 부채를 만들고 장기적으로 사용자 경험을 해치게 됩니다.

보안 이유#

보안 문제는 앱 출판사들이 동시에 여려 장치에 로그인하는 것이 지원되지 않는 이유를 사용자들에게 설명하는데 가장 설득력 있는 이유일 수 있습니다.

많은 사람들이 이 설명을 수긍하고 더 이상 생각하지 않을 수 있지만, 우리는 실제 이유를 찾아 보려고 노력했습니다.

보안 조치 상태#

엄격한 보안 요구 사항이 있는 은행 앱을 고려해 봅시다. 이런 앱을 열면 첫 번째 단계는 로그인하는 것입니다. 많은 은행 앱들은 Face ID나 지문 인식을 사용한 언락 및 앱 접근의 편리함을 제공합니다. 그러나 큰 금융 거래와 같은 더 민감한 작업들에 대해서는 보안을 보장하기 위해 추가적인 확인 단계가 필요합니다. 이런 단계들은 종종 다인 인증(MFA)의 다양한 형태와 신뢰할 수 있는 제삼자, 종종 정부 기관이 제공하는 공식적인 온라인 신원 확인 서비스를 포함합니다.

가장 중요한 것은 대부분의 MFA 방법들은 현재 사용자가 장치에 액세스할 수 있음을 확인할 수 있지만, 사용자가 합법적인 계정 소유자임을 보장할 수는 없다는 것입니다. 어떤 사람은 다른 방법을 통해 계정 자격 증명을 획득했을 수 있습니다. 그러나 온라인 제삼자 신원 확인 서비스는 이러한 제한을 효과적으로 해결합니다. 고위험 작업에 대해 MFA와 제삼자 신원 확인을 사용하는 것을 결합하면, 여러 장치에 로그인하는데 관련된 보안 위험의 많은 부분을 완화할 수 있습니다.

제품 관점에서 우리가 더 할 수 있는 것은 무엇인가?#

지금까지, 보안 관점에서 다중 장치 로그인을 지원하는 데 기술적으로 방해가 되는 요소들을 찾지 못했습니다. 단일 장치에서의 현재 조치가 보안을 확보할 수 있을 경우, 다중 장치 지원을 확장하는 것은 추가 보안 위험을 도입하지 않을 것입니다.

보안 측면에서 동시 로그인을 지원하는 데 기술적 장벽이 없다는 것을 확인했습니다. 제반 문제를 방해 없이 해결할 수 있다는 사실입니다.

그러나, 일부 제품 조치는 보안을 더욱 향상시킬 수 있습니다(동시 로그인을 이미 지원한 상태를 가정):

1. 일정 기간 활동이 없으면 장치를 자동으로 로그아웃합니다.
2. 모든 장치에서 모든 장치의 로그인 상태를 관리하고 활동을 모니터링하는 것을 지원합니다. 필요한 경우 사용자가 다른 장치를 강제로 로그아웃시킬 수 있도록 하여 보안을 보장합니다.
3. 사용자가 악의적인 조치인지 판단하고 필요에 따라 차단할 수 있도록, 의심스러운 활동에 대한 알림을 장치로 푸시합니다.

이러한 도전을 해결하는 데 도움이 될 수 있는 기존의 반자동화된 솔루션이 있는가?#

첫 두 가지 문제에 대해서는 너무 자세하게 설명하지 않을 것입니다, 왜냐하면 이것들은 비즈니스와 규제적 고려사항들을 포함하기 때문입니다. 하지만, 동시 로그인을 지원하는 신원 확인 솔루션을 찾고 있다면, Logto가 확인해 볼 만합니다!

첫 번째 문제에서 언급한 것처럼 각 활동이 어느 장치에서 발생했는지 추적해야 할 필요가 있습니다. Logto의 기존 사용자 활동 로그들은 이미 장치 정보를 기록하고 있어서, 이 영역에서 준수 요건을 충족시키는 데 도움이 될 수 있습니다. 준수 요건들은 지역에 따라 다르기 때문에, 다른 에리어에서의 규제 규칙들 사이에서는 모순이 있을 수 있습니다. 만약 특별한 요구사항이 있다면 Logto 팀에 연락을 주저하지 마세요.

계정 통합이라는 두 번째 문제에 대해서는, Logto를 설계할 때, 우리는 모든 계정에 대해 여러 로그인 방법들의 중요성과 어려움을 잘 알고 있었습니다. 우리의 로그인 및 가입 플로우는 불필요한 계정 생성을 방지하려고 하며, Google, 이메일, 사용자 이름/비밀번호 등 다양한 방법으로 하나의 계정에 접근할 수 있게 합니다.

세 번째 문제에서 언급했던 '제삼자 온라인 신원 확인 서비스'와 관련하여, Logto 사용자들은 제삼자와 통합하여 이를 얻을 수 있습니다.

Logto의 초점은 주류 방식과 호환되는 MFA를 사용할 수 있게 하는 것이고 (2023년 하반기에 출시 예정, 뉴스레터를 구독하면 알림을 받을 수 있습니다!), 우리의 기존 로그인 체험 (Chapter1, Chapter2)와 설정을 결합하는 것입니다. 우리는 MFA 사용 사례를 공유하는 것을 매우 환영합니다 - 이런 것들은 우리의 최종 제품에 대한 중요한 참조가 될 것입니다. 모든 Logto 기능은 세 가지 원칙에 충실합니다: 보안, 최대한 사용하기 쉬운, 그리고 사용자의 문제를 해결하는 것. 우리의 강력한 로그인 체험 설정을 통해, 사용자들은 아무런 노력 없이 비즈니스 준비가 된 로그인/가입 플로우를 쉽게 구축할 수 있습니다. Logto는 이미 여러 장치에서의 로그인을 지원합니다. MFA가 준비되면, Logto는 사용자를 더 높은 보안 수준으로 이끌어 줄 수 있습니다.