안전한 제품 개발에서 UX 마찰을 줄이는 방법

게시 됨: 2022-07-22

제품 개발에서 외모는 종종 모든 관심을 끌게 됩니다. 기분 좋은 UI도 중요하지만 UX는 제품을 만들고 망가뜨리는 것입니다.

제품 관리자로서 저는 대부분의 시간을 UX 전체에서 마찰을 줄이는 방법에 대해 생각하는 데 보냅니다. 이는 최종 사용자가 목표를 달성하기 위해 취해야 하는 단계의 수를 줄이거나 해당 단계의 복잡성을 줄이는 것을 의미합니다. 세 가지 보안 조치를 거쳐 구매하도록 하는 전자상거래 앱은 하나만 필요한 앱만큼 성능이 좋지 않습니다.

그러나 금융 기관 및 보험 회사와 같이 민감한 고객 데이터를 유지 관리하는 조직에서는 마찰이 적다고 해서 보안이 희생될 수 없습니다.

사용 편의성과 개인 데이터 보안은 일반적으로 상충되기 때문에 적절한 균형을 찾는 것이 까다로울 수 있습니다. 방법은 다음과 같습니다.

보안과 편의성 사이의 오랜 싸움

1950년대 신용 카드가 탄생한 후 수십 년 동안 사기를 경계한 발행인은 거래가 "하한선"(카드 소지자가 사전 승인 없이 청구할 수 있는 최대 금액)을 초과할 때마다 판매자에게 전화를 걸어야 했습니다. 그것은 새 차나 냉장고를 사기 위해 기다리는 소비자에게 많은 마찰입니다. 결과적으로 은행과 신용카드 회사는 하한선을 설정할 때 위험에 대한 선호도와 불편을 감수하는 소비자의 인내력을 비교해야 했습니다.

신용 한도가 $10,000인 고객은 한도가 $1,000인 고객보다 은행에 더 가치가 있고 서비스에 대한 기대치가 더 높을 것입니다. 이러한 유형의 고객이 경험하는 마찰을 최소화하기 위해 하한선 한도를 높일 수 있습니다. 하지만 이러한 고액 계정도 사기에 가장 취약하다면 어떻게 될까요? 일부 고객을 잃는 것보다 수익에 더 큰 피해를 입힐 수 있는 위험 수준을 도입하게 될 수도 있습니다.

빠르게 변화하는 위협과 인내심이 적은 소비자에도 불구하고 디지털 시대와 경쟁적인 요구의 시소는 여전히 남아 있습니다. 이러한 요구 사항을 조정하는 정확한 공식은 없으므로 소프트웨어 및 응용 프로그램에서 작업하는 제품 관리자는 마찰과 보안의 균형을 유지하기 위해 지속적으로 UX를 보정해야 합니다.

더 적은 사기가 항상 더 많은 이익을 의미하는 것은 아닙니다

가장 안전한 소프트웨어 및 애플리케이션에는 제품 관리자가 서비스를 제공해야 하는 두 가지 고객이 있습니다.

  1. 가능한 최고의 보호를 우선시하는 조직입니다.
  2. 원활한 제품 UX를 원하는 최종 사용자.

예를 들어 은행은 다음과 같은 여러 가지 이유로 사기로부터 100% 보호를 선호합니다.

  • 고객 만족.
  • 사기 손실 감소.
  • 브랜드 평판.
  • 사이버 공격 최소화.

반면에 최종 사용자는 자신의 계정에 쉽고 빠르게 액세스하기를 원하는 경쟁적인 요구 사항이 있습니다. 은행의 UX가 100% 사기 방지를 위해 설계된 경우에는 그런 일이 발생하지 않습니다.

대신 최종 사용자는 앱을 사용할 때마다 높은 마찰에 직면하게 됩니다. 예를 들어 비밀번호를 입력한 후 사용자는 휴대전화로 전송된 2단계 인증 코드를 입력한 다음 생체 인식 스캔 또는 보안 문자를 입력해야 할 수 있습니다. 그로 인한 지연 시간으로 인해 일부 사용자는 앱 사용을 줄이거 나 더 심하게는 새 은행을 찾을 수 있습니다. 이 시나리오에서 은행은 사기 손실에 대한 비용을 절감했지만 감소하는 고객 기반으로 인해 손실을 입게 됩니다.

문제를 복잡하게 만드는 것은 최종 사용자마다 다른 서비스 제공업체를 찾기 전에 얼마나 많은 마찰을 견딜 수 있는지에 대한 임계값이 다를 수 있다는 것입니다.

은행을 나타내는 아이콘에는 "은행은 보안 앱을 원합니다."라는 텍스트로 레이블이 지정됩니다. 휴대전화를 표시하는 아이콘에는 "사용자는 원활한 경험을 원합니다."라는 텍스트가 표시됩니다.
클라이언트의 요구와 사용자의 선호는 종종 일치하지 않습니다.

고객의 목표, 비용 및 위험 허용 범위를 잠급니다.

100% 사기 방지를 제공하려는 시도가 비즈니스에 적합하지 않다는 것을 확인했으므로 이제 무엇이 올바른지 결정해야 합니다. 은행의 자원인 돈과 사람부터 시작하겠습니다.

먼저 은행의 현재 사기율과 얼마나 많은 손실을 흡수할 수 있는지 확인합니다. 또한 이 신제품으로 얻을 수 있는 순 절감액과 개발 및 유지 관리 비용을 비교해 보십시오. (사기 보호가 사기 자체보다 비용이 더 많이 든다는 것을 알 수 있습니다.)

다음으로 은행 직원이 하루에 처리할 수 있는 의심스러운 사례 및 "오탐지" 수를 파악합니다. 오탐은 은행이 위험 계산 오류로 인해 사용자 계정을 제거하거나 제한할 때 발생합니다. 이러한 오탐은 사용자의 마찰을 증가시키고 은행 직원의 시간을 낭비하며 궁극적으로 브랜드 평판을 손상시킬 수 있습니다.

은행이 돈과 노동력으로 지출하거나 잃을 수 있는 금액을 제한한 후에는 제품 범위를 지정할 수 있습니다. 이 정보를 사용하여 실시간으로 사기 위험 점수를 계산하기 위해 최종 사용자로부터 수집할 데이터 포인트를 결정할 수 있습니다.

최종 사용자로부터 수집할 데이터 식별

보안 소프트웨어 및 애플리케이션은 다음을 확인합니다.

  • 당신이 누구인지. 이는 로그인 위치 또는 마우스 움직임과 같은 것을 포함하는 귀하의 행동입니다.
  • 가지고 있는 것. 귀하에게 등록되어 있거나 정기적으로 사용하는 장치입니다.
  • 당신이 알고. 여기에는 비밀번호, 보안 질문, 생일 및 기타 개인 정보가 포함됩니다.

소프트웨어가 이 정보를 수집하면 기계 학습 모델은 각 범주의 입력을 사용하여 사용자에게 사기 위험 프로필을 할당합니다. 이 프로필을 기반으로 조직은 액세스 허용, 액세스 거부, 추가 인증 요청, 기능 제한 또는 이러한 옵션의 조합을 결정할 수 있습니다.

제품 관리자는 가능한 한 많은 정보를 수집하고 싶어합니다. 그러나 이것이 항상 최선의 방법은 아닙니다. 각 사용자로부터 더 많은 정보를 수집할수록 백엔드에서 위험 점수를 계산하는 데 더 많은 시간과 리소스가 필요하기 때문입니다. 이는 차례로 사용자의 지연 시간, 즉 더 많은 마찰을 증가시킵니다.

대신 위치, 알려진 장치 및 암호와 같이 사용자의 신원을 나타내는 가장 단순한 표시로 시작합니다. 그런 다음 악의적인 행위자가 이러한 지표를 우회할 수 있는 방법에 대해 생각해 보십시오. 교묘한 범죄자는 사용자의 위치와 장치를 스푸핑할 수 있으며 데이터 유출 또는 맬웨어 공격을 통해 손상된 암호에 액세스할 수 있습니다. 이러한 허점을 없애기 위해 마우스 움직임을 분석하거나 사용자가 과거에 유사한 구매를 했는지 확인할 수도 있습니다.

새 지표를 추가하기 전에 사기 방지에 미치는 영향을 제품에 추가하는 초기 비용과 비교하십시오. 또한 추가 계산 및 데이터 저장과 함께 발생하는 반복적인 노동 및 재정 비용을 고려해야 합니다.

올바른 지표 세트를 찾는 것은 시행착오의 연습임을 기억하십시오. 각 지표의 이점을 진정으로 결정하는 유일한 방법은 각 지표를 더하거나 빼면서 모든 조합이 사기율과 클라이언트와 최종 사용자 모두의 사용자 경험에 미치는 영향을 모니터링하는 것입니다.

지표를 확인하기 위해 클라이언트와 함께 임베드

고객이 사기 감소를 우선시할 수 있지만, 백엔드에서 직원(예: 사기 분석가)의 유용성도 중요합니다. 따라서 수집하려는 데이터 포인트가 도움이 되고 방해가 되지 않는지 확인하는 것이 좋습니다.

디자인 사고 프레임워크는 두 가지 사용자 세트를 지원하는 제품에 대한 유용한 접근 방식입니다. 문제 중심이 아닌 인간 중심이며 디자이너가 사용자와 공감하여 미래의 요구 사항을 상상할 수 있도록 요청합니다. 디자인 씽킹은 제품 관리자가 서로 상충하는 이익(이 경우 보안 및 편의성)에 부합하는 역동적인 제품을 개발하는 데 도움이 될 수 있습니다.

공감 단계에 투자한다는 것은 질문을 하고 고객의 일상적인 작업 흐름에 포함시키는 것을 의미합니다. 이를 통해 RFP에 참여하여 시장 변화를 예측하고 클라이언트의 데이터가 실시간 위협 환경과 어떻게 일치하는지 확인할 수 있습니다. 이러한 전략적 및 전술적 과제를 이해하고 나면 개발을 시작할 수 있습니다.

개발 및 테스트 단계에서 클라이언트와 가능한 한 많은 시간을 보낼 수 있도록 계획하십시오. 피드백을 통해 고객의 희망 목록을 파악할 수 있지만 섀도잉은 자체 보고에 표시되지 않는 잘못된 의사 소통, 지식 격차 및 설계 결함을 식별하는 데 도움이 됩니다.

사기 분석가와 사무실 공간을 공유하는 사내 제품 관리자인 경우 섀도잉은 매우 간단합니다. 컨설턴트나 오프사이트 작업자인 경우 가능한 한 자주 사이트 방문을 예약해야 합니다. 여행이 선택 사항이 아닌 경우 화면 공유가 포함된 가상 세션을 시도해 볼 가치가 있습니다.

제품이 가동되고 실행되면 특히 새로운 기능을 출시할 때 UX 디자인이 서비스를 제공하는지 확인하기 위해 사기 분석가와 매주 확인하십시오. 특정 순서로 작업을 수행하는 이유는 무엇입니까? 특정 버튼을 클릭하면 어떻게 됩니까? 알림을 받으면 어떻게 반응합니까? 그들은 일상 업무에서 어떤 변화를 감지하고 있습니까?

데이터 수집

데이터 수집 기술을 통해 조직은 수백 개의 데이터 포인트를 활용하여 사용자의 신원을 확인할 수 있습니다. 또한 전자 상거래 사이트와 앱이 사용자 경험을 인구 통계학적 프로필에 맞게 조정하는 데 도움이 됩니다. 특정 프로필에 맞는 사용자는 맞춤 거래를 받거나 자동 지원을 트리거할 수도 있습니다.

그렇다면 이것이 보안 애플리케이션에서 어떻게 작동합니까?

  • 웹 브라우저: 사용자가 브라우저에서 보호된 사이트를 탐색할 때마다 내장된 JavaScript "수집기"가 식별 정보를 수집합니다. 여기에는 위치, 장치 세부 정보 및 마우스 움직임과 같은 데이터 요소가 포함될 수 있습니다.
  • 기본 앱: 기본 앱은 iOS 또는 Android와 같은 특정 장치 플랫폼용으로 설계되었습니다. 모바일 장치에서 서비스에 액세스할 때 이러한 앱은 소프트웨어 개발 키트(SDK)를 사용하여 식별 정보를 수집합니다. 여기에는 마우스 움직임 대신 손가락 탭과 스와이프가 포함될 수 있습니다.

그런 다음 기계 학습 모델은 이러한 데이터 포인트가 형성하는 전체 패턴을 기반으로 사기 위험 점수를 할당합니다. 위험 점수가 평균 이상인 경우 이중 인증 또는 보안 질문의 형태로 더 많은 마찰을 도입하는 것이 합리적입니다. 그러나 너무 많은 사용자가 추가 확인 단계를 실행하는 경우 위험 임계값 또는 데이터 수집 전략을 재고해야 할 때일 수 있습니다.

최종 사용자 마찰 줄이기

제품이 실행되면 콜 센터나 앱 스토어를 통해 기록된 최종 사용자의 불만 사항을 추적하여 문제점과 개선 제안 사항을 찾으십시오. 최고의 사전 출시 테스트라도 모든 마찰 지점을 포착하지는 못하며 새로운 운영 체제 및 장치 릴리스는 최종 사용자의 속도를 늦추는 예기치 않은 문제를 일으킬 수 있습니다.

전자 상거래를 기반으로 구축된 비즈니스의 경우 이러한 침체로 인한 비용은 쉽게 알 수 있습니다. 2022년 Baymard Institute는 피할 수 있는 장바구니 포기의 17%가 지나치게 길거나 복잡한 체크아웃 프로세스로 인한 것이라고 추정했습니다. 추가로 18%의 응답자는 신용 카드 정보의 보안에 대한 신뢰 부족을 탓했습니다. Baymard는 느린 체크아웃과 사이트 보안에 대한 신뢰 부족이 미국과 EU 전역에서 2,600억 달러의 매출 손실에 기여한 요인 중 하나라고 추정합니다. 이는 전자 상거래 제품 관리자가 POS 솔루션을 재고할 수 있는 놀라운 기회를 제공합니다. 그러나 업종에 관계없이 사용자 마찰을 줄이고 데이터 보호에 대한 확신을 확보하는 것은 더 행복한 고객과 주요 비즈니스 혁신을 가져올 수 있는 지속적인 관행이어야 합니다.

체크아웃 중 예방 가능한 장바구니 포기 이유를 보여주는 막대 그래프. 값은 다음과 같습니다. 추가 비용이 너무 높음, 48%; 계정 생성 필요, 24%; 배송이 너무 느림, 22%; 사이트 보안이 신뢰할 수 없다고 느낀다(18%). 결제가 너무 복잡함, 17%; 총 비용 불분명, 16%; 웹사이트 오류, 13%; 반품 정책이 너무 엄격함, 12%; 지불 방법이 제한됨, 9%; 카드 거부, 4%.
복잡한 체크아웃 프로세스와 사이트 보안에 대한 신뢰 부족이 2022년에 피할 수 있는 장바구니 포기의 35%를 차지했습니다.

다음은 안전한 제품 개발에서 성공적인 마찰 감소의 두 가지 예입니다.

3DS

1990년대 후반에 Visa와 Mastercard는 협력하여 3D 보안 결제(3DS) 보안 프로토콜을 만들었습니다. 2001년에 출시된 원래 프로토콜은 모든 사용자가 자신의 카드를 3DS에 등록하고 계산할 때마다 전용 3DS 비밀번호로 로그인해야 했습니다. 사용자가 3DS 비밀번호를 기억하지 못하는 경우 구매를 완료하기 전에 비밀번호를 검색하거나 재설정해야 했습니다. 이후 릴리스에서 카드 발급자는 자주 잊어버리는 정적 암호를 동적 OTP(일회성 암호)로 교체할 수 있는 옵션을 제공했습니다. 그러나 추가 로그인 단계는 계속해서 체크아웃 프로세스를 방해했습니다.

3DS 개발자는 이러한 지속적인 마찰에 주목하고 2016년에 응용 프로그램이 3DS 요소를 코드에 포함할 수 있도록 하는 SDK 구성 요소가 포함된 3DS 2.0을 출시했습니다. 3DS 2.0은 모바일 거래에 더 적합하며 더 많은 데이터 포인트를 분석하여 더 정확한 위험 평가를 산출합니다. 결과적으로 소수의 3DS 2.0 사용자만이 종종 OTP의 형태로 추가 인증 단계를 수행하면 됩니다.

이전 3DS 프로세스와 새 3DS 프로세스를 비교하는 이미지. 원래 3DS에서는 모든 쇼핑객이 종종 팝업 창이나 리디렉션 사이트에 입력되는 정적 암호로 신원을 인증해야 했습니다. 3DS 2.0 프로세스는 더 많은 인증 단계가 자동으로 발생하며 쇼핑객의 결제 프로세스를 느리게 하는 것이 아니라 병렬로 표시합니다. 이러한 인증 단계에는 구매자 위치, 장치, 쇼핑 내역, 현재 구매, 시간대 및 생체 인식을 나타내는 아이콘이 포함됩니다.
3DS 2.0은 수동 인증 기능을 사용하여 대부분의 쇼핑객이 결제 시 추가 단계를 거치지 않아도 됩니다.

우버

3DS 2.0은 반복을 통해 제품 마찰을 줄이는 예입니다. 그러나 파괴적인 제품을 도입하여 업계 수준에서 마찰을 줄일 수도 있습니다.

Uber의 비즈니스 모델은 전통적인 택시 승차에서 마찰을 빼는 것에 기반을 두고 있습니다. Uber를 사용하면 더 이상 택시 서비스를 기다리거나 여행이 끝날 때 지갑을 뒤질 필요가 없습니다.

원활한 지불 프로세스는 회사의 초기 성공의 핵심이었지만 몇 가지 위험이 따랐습니다. Uber는 앱에 저장된 신용 카드 거래를 자동으로 처리할 때마다 지불 거절(카드 소지자가 거래에 이의를 제기하고 환불을 받는 경우)의 위험이 있습니다.

그러나 Uber는 이러한 잠재적 지불 거절 비용이 사용자 경험을 최적화할 수 있는 기회의 가치가 있다고 계산했습니다. 사용자가 차량 서비스를 요청할 때마다 신용 카드를 알아내거나 비밀번호를 입력해야 했다면 전체 비즈니스가 실패했을 수 있습니다. 대신 Uber는 마찰에 대한 위험을 감수했고 서비스가 시작되었습니다.

이 두 가지 예에서 보안과 위험도 함께 고려한 사용자 중심의 제품 관리 접근 방식은 혁신적이고 수익성 있는 혁신을 가져왔습니다.

최고의 유지 보수는 좋은 공격입니다

사기는 제품 팀보다 한 발 앞서 있기를 원합니다. 다른 유형의 개발은 변화하는 요구 사항에 대응할 수 있지만 보안 소프트웨어 프로젝트는 이를 예상해야 합니다. 즉, 제품 관리자는 산업 문헌을 읽고 여러 고객의 데이터를 활용하여 과거의 보안 침해 및 성공적인 편향으로부터 배워야 합니다.

제품 팀은 정기적인 위협 환경 보고서를 제공하고 이를 고객의 경험 및 요구 사항과 상호 참조해야 합니다. 모든 새로운 위협이 제품 업데이트를 보증하지는 않습니다. 팀에서 UX가 보호하지 못하는 새로운 유형의 공격을 식별했을 수 있지만 고객과의 논의에서 위협 환경과 관련이 없음이 드러났습니다. 남아프리카의 한 은행 고객은 SIM 스왑 사기가 있고 뉴욕의 다른 곳에서는 VPN을 사용하는 해커로부터 더 많은 공격을 받고 있을 수 있습니다. 대부분의 경우 두 은행을 두 가지 유형의 사기로부터 보호하는 것은 비용 효율적이지 않고 불필요한 UX 마찰을 초래합니다.

제품 관리자로서 귀하의 역할은 즐거운 사용자 경험을 위해 보안을 거래하지 않거나 그 반대의 경우도 마찬가지임을 보장하기 위해 지속적으로 기능을 조정해야 합니다. 고객과 최종 사용자의 요구를 진정으로 이해하려면 많은 데이터가 필요하지만 나머지 균형 조정 작업은 시행착오, 오류 및 예술이 혼합된 것입니다.