강상록

SW Developer Experience Part

CTO, LG Electronics

개발자 사이트란 목적에 부합하는가?

LG Developer 포털은 자사의 플랫폼, 제품, 서비스를 활용하여 앱 이나 서비스를 개발하는 외부의 개발자에게 개발 가이드 및 개발 툴을 제공하고, 기술 지원을 목적으로 운영하는 포털입니다.
제품 판매나 마케팅을 위한 목표에는 사이트의 기능이 최적화되어 있지 않습니다. 예를 들어, 홍보를 위한 LG Developer 전체 회원에 대한 메일 발송 등은 지원되지 않습니다.

개발자 사이트에 필요한 준비 사항 및 약관에 대해 고려하였는가?

사이트 개설 후 투입되는 리소스에 대해 고려해 보았는가?

로그인이 필요한가?

특수한 목적으로 과도한 개인정보가 추가적으로 필요하지는 않는가?

LG Developer 포털은 현재 기준으로 LGE Members에서 수집하는 정보 이외에 회원 닉네임(필수)와 프로필 이미지(선택), 기타 회사 정보만 수집하고 있습니다.
결제를 위해 회원의 주소나 빌링 정보 등의 추가적인 정보를 수집 및 저장하는 부분에는 법무적 이슈 이외에 이러한 정보를 저장하는 관리 시스템의 제약이 존재하므로 별도의 목적 사이트 및 인프라 개설을 권장합니다.

매우 소수의 사용자 또는 국가를 대상으로 사이트 구축이 필요하거나 외부에 노출되지 않아야 하는가?

LG Developer는 developer.lge.com 도메인과 그 하위 서브도메인으로 외부에 노출되어 있으며, 검색 엔진의 크롤링을 통해 구글과 같은 검색 사이트에 노출됩니다.
또한 통합 약관을 사용하는 부분에 있어 상호 간 검토해야 함에 따라 관리 요소가 증가할 수 있습니다. 
따라서 특정 목적에 따라 외부에 노출되지 않거나, 소수의 사용자 또는 파트너를 위한 사이트 운영이 필요한 경우에는 필요성을 검토하여 별도의 마이크로 사이트로 구축하는 것이 효율적인지 검토를 권장합니다.  

1. 사이트 목적 및 적합성 검토

1.1 개발자 사이트 목적 부합성

- [ ] 개발자 사이트 목적에 부합하는가?

  - LG Developer 포털은 자사의 플랫폼, 제품, 서비스를 활용하여 앱이나 서비스를 개발하는 외부의 개발자에게 개발 가이드 및 개발 툴을 제공하고, 기술 지원을 목적으로 운영하는 포털입니다.
  - 제품 판매나 마케팅을 위한 목표에는 사이트의 기능이 최적화되어 있지 않습니다.
  - 예를 들어, 홍보를 위한 LG Developer 전체 회원에 대한 메일 발송 등은 지원되지 않습니다.

1.2 사이트 구축 방식 검토

- [ ] 매우 소수의 사용자 또는 국가를 대상으로 사이트 구축이 필요하거나 외부에 노출되지 않아야 하는가?
  - LG Developer는 developer.lge.com 도메인과 그 하위 서브도메인으로 외부에 노출되어 있으며, 검색 엔진의 크롤링을 통해 구글과 같은 검색 사이트에 노출됩니다.
  - 통합 약관을 사용하는 부분에 있어 상호 간 검토해야 함에 따라 관리 요소가 증가할 수 있습니다.
  - 특정 목적에 따라 외부에 노출되지 않거나, 소수의 사용자 또는 파트너를 위한 사이트 운영이 필요한 경우에는 별도의 마이크로 사이트로 구축하는 것이 효율적인지 검토를 권장합니다.

2. 기술적 요구사항 및 시스템 연동

2.1 로그인 및 회원 관리

- [ ] 로그인이 필요한가?
  - 로그인이 필요한 경우 LGE 멤버스 플랫폼(LMP) 연동 필수입니다.
  - 로그인 연동 변경 사항에 대한 지속적 모니터링과 유지 보수에 대한 체계와 리소스를 확보해야 합니다.

2.2 유관 시스템 연동 계획

- [ ] LGE 멤버스 플랫폼(LMP) 연동 계획을 수립하였는가?
  - 회원 관리 및 규제 대응을 위한 연동 방안 검토
  - 국가별 개인정보 규제 대응 방안 확인

- [ ] Admin 서버(ADM) 연동 필요성 검토
  - 일반적인 LMP 회원도 사이트에 접근할 수 없으며 파트너와 같은 LMP 회원 내 특정 인원만을 사이트 접근 허용해야 한다면 Admin 서버 또는 이와 유사한 권한 확인 시스템을 구축해야 합니다.
  - LG Developer 서비스를 사용할 경우 사용자에 대한 닉네임 수집이 필수이며, 닉네임은 고유한 값을 가지고, ThinQ 등과 같은 타 서비스와 중복 관리되지 않습니다.
  - SDK와 같은 개발 툴을 배포해야 한다면 Admin 서버를 사용하거나 이와 유사한 고용량 파일 업로드/다운로드 기능을 구현해야 합니다.

- [ ] GFTS(Global File Transfer System) 연동 계획
  - 프로필 이미지 관리 필요 여부 확인
  - 고용량 파일 저장 및 배포 필요 여부 확인
  - Internet Explorer 호환성 제약 사항 검토
  - 사내 네트워크 접근 제한 대응 방안 검토

### 2.3 대안 시스템 검토
- [ ] **기존 시스템 제약 사항 대응 방안 수립**
  - GFTS 제약 사항 해결을 위한 대안 파일 저장 시스템 검토
  - 별도 개인정보 관리 시스템 구축 필요성 검토

---

## 3. 개인정보 보호 및 법적 준수사항

### 3.1 개인정보 수집 및 처리
- [ ] **특수한 목적으로 과도한 개인정보가 추가적으로 필요하지는 않는가?**
  - LG Developer 포털은 현재 기준으로 LGE Members에서 수집하는 정보 이외에 회원 닉네임(필수)와 프로필 이미지(선택), 기타 회사 정보만 수집하고 있습니다.
  - 결제를 위해 회원의 주소나 빌링 정보 등의 추가적인 정보를 수집 및 저장하는 부분에는 법무적 이슈 이외에 이러한 정보를 저장하는 관리 시스템의 제약이 존재하므로 별도의 목적 사이트 및 인프라 개설을 권장합니다.

- [ ] **개인정보 수집 항목 최소화 원칙 적용**
  - 서비스 제공에 필수적인 정보만 수집 계획
  - 선택 정보와 필수 정보 명확히 구분
  - 수집 목적과 보유 기간 명확히 설정

- [ ] **개인정보 국외 이전 계획 검토**
  - 서비스 대상 국가별 데이터 현지화 법령 확인
  - EU GDPR 적정성 결정 및 표준계약조항(SCC) 적용 검토
  - 데이터 주체의 국외 이전 거부권 행사 절차 수립

### 3.2 개인정보 파기 및 삭제 체계
- [ ] **회원 탈퇴 프로세스 구축 계획**
  - LMP 이외 추가 수집 정보의 파기 절차 수립
  - 포럼/게시판 작성 글 처리 방안 수립
  - 해외 법인의 데이터 삭제 요청 대응 절차 수립

- [ ] **개인정보 자동 파기 시스템 구축**
  - 보유 기간 만료 시 자동 파기 기능 구현 계획
  - 파기 로그 관리 체계 수립

### 3.3 약관 및 개인정보 처리방침
- [ ] **약관 검토 및 개정 계획 수립**
  - 이용 약관 법무 검토 필요성 확인
  - 개인정보 처리방침 개정 필요성 검토
  - 기능별 특정 약관 필요성 검토 (뉴스레터, EULA 등)

- [ ] **약관 변경 프로세스 이해 및 일정 계획**
  - 약관 변경 시 최소 1개월 소요 시간 고려
  - LGE Terms Portal을 통한 검토 절차 이해
  - 유관 부서와의 협의 일정 계획

---

## 4. 웹 접근성 및 사용자 경험

### 4.1 웹 접근성 준수
- [ ] **웹 접근성 가이드라인 적용 계획**
  - LG전자 웹 접근성 가이드라인 2.0 적용
  - 시각적, 청각적, 운영적, 인지적 접근성 모두 고려
  - 웹 접근성 체크리스트 활용 계획

- [ ] **법적 리스크 대응 방안**
  - 웹 접근성 미준수로 인한 소송 리스크 고려
  - 접근성 테스트 및 검증 계획 수립

### 4.2 쿠키 및 추적 기술
- [ ] **쿠키 배너 적용 필요성 검토**
  - 서비스 대상 국가에 EU 포함 여부 확인
  - GDPR 대응을 위한 쿠키 배너 구현 계획
  - 쿠키 동의 관리 시스템 구축 방안 검토

- [ ] **쿠키 분류 및 관리 체계 구축**
  - 필수/기능/성능/마케팅 쿠키 분류
  - 각 쿠키별 수집 정보, 보존 기간, 거부 방법 명시
  - 외부 솔루션 활용 vs 직접 개발 검토

---

## 5. 보안 및 컴플라이언스 준비

### 5.1 보안 설계 및 구현
- [ ] **보안 코딩 가이드라인 적용**
  - LG-SDL(Secure Development Lifecycle) 원칙 적용
  - 개인정보 암호화 기준 설정 (알고리즘, 키 길이)
  - 접근 권한 관리 체계 설계

- [ ] **침투 테스트 대응 준비**
  - ISAC 침투 테스트 대상 여부 확인
  - 보안 취약점 최소화를 위한 설계 원칙 적용
  - 테스트 결과 대응을 위한 리소스 확보

### 5.2 컴플라이언스 활동 준비
- [ ] **ISO 인증 시스템 운영 점검 준비**
  - 개인정보 처리 시스템 점검 항목 확인
  - 보안, 조회, 수정, 파기 기능 점검 준비
  - 점검 대응을 위한 문서화 체계 구축

- [ ] **개인정보 Compliance 점검 준비**
  - 프라이버시센터 신청 절차 이해
  - 점검 항목별 대응 방안 수립
  - 예외 처리 필요 사항 사전 검토

- [ ] **버그 바운티 대응 체계 구축**
  - 취약점 리포트 대응 프로세스 수립
  - 분석, 수정, 회신 절차 명확화
  - 상시 대응을 위한 운영 리소스 확보

---

## 6. 운영 리소스 및 지속가능성

### 6.1 운영 리소스 계획
- [ ] **사이트 개설 후 투입되는 리소스에 대해 고려해 보았는가?**
  - 일상 운영을 위한 인력 배치 계획
  - 기술 지원 및 유지보수 리소스 확보 계획
  - 컨텐츠 관리 및 업데이트 리소스 계획

### 6.2 외부 업체 협력 관리
- [ ] **외부 업체와의 협력 체계 구축**
  - 보안 및 개인정보 관련 대응 의무 계약서 명시
  - 정기적인 보안 점검 및 코드 리뷰 체계
  - 취약점 대응을 위한 지속적 지원 체계 구축

### 6.3 지속적 모니터링 체계
- [ ] **시스템 업데이트 및 변경사항 추적 체계**
  - LMP, ADM, GFTS 등 유관 시스템 변경사항 모니터링
  - API 및 인터페이스 변경 대응 체계 구축
  - 정기적인 시스템 점검 및 업데이트 계획

---

## 7. 개발 단계별 체크포인트

### 7.1 기획 단계
- [ ] **사용자 요구사항 분석 완료**
- [ ] **기술적 제약사항 파악 및 대안 검토 완료**
- [ ] **법적 요구사항 분석 및 대응 방안 수립**
- [ ] **예산 및 리소스 계획 수립**

### 7.2 설계 단계
- [ ] **시스템 아키텍처 설계 완료**
- [ ] **개인정보 처리 로직 설계 및 검토 완료**
- [ ] **보안 요구사항 설계 반영 완료**
- [ ] **웹 접근성 요구사항 설계 반영 완료**

### 7.3 개발 단계
- [ ] **보안 코딩 가이드라인 적용**
- [ ] **개인정보 처리 기능 구현 및 테스트**
- [ ] **웹 접근성 테스트 및 검증**
- [ ] **쿠키 배너 및 동의 관리 기능 구현**

### 7.4 배포 준비 단계
- [ ] **운영 환경 보안 설정 완료**
- [ ] **개인정보 처리방침 및 약관 게시 준비**
- [ ] **컴플라이언스 점검 대응 준비 완료**
- [ ] **모니터링 및 알림 체계 구축 완료**

---

## 8. 최종 검토 체크리스트

### 8.1 필수 준수사항 최종 확인
- [ ] **모든 법적 요구사항 준수 여부 확인**
- [ ] **개인정보 보호 관련 모든 기능 테스트 완료**
- [ ] **웹 접근성 최종 검증 완료**
- [ ] **보안 취약점 최종 점검 완료**

### 8.2 운영 준비상태 확인
- [ ] **운영 매뉴얼 및 문서 작성 완료**
- [ ] **운영팀 교육 및 인수인계 완료**
- [ ] **비상 대응 절차 수립 완료**
- [ ] **백업 및 복구 체계 구축 완료**

### 8.3 승인 및 검토 완료
- [ ] **법무팀 최종 검토 및 승인**
- [ ] **개인정보보호팀 최종 검토 및 승인**
- [ ] **보안팀 최종 검토 및 승인**
- [ ] **사업 담당자 최종 승인**

---

## 체크리스트 활용 가이드

### 활용 방법
1. **단계별 순차 진행**: 1번부터 8번까지 순서대로 체크
2. **관련 부서 협의**: 각 항목별로 해당 전문 부서와 협의 진행
3. **문서화**: 모든 체크 항목에 대한 검토 결과를 문서로 기록
4. **정기적 재검토**: 프로젝트 진행 중 정기적으로 체크리스트 재검토

### 주의사항
- 모든 항목을 체크한 후에도 예상치 못한 이슈가 발생할 수 있으므로 충분한 버퍼 시간 확보 필요
- 법적 요구사항은 지속적으로 변화하므로 최신 규정 확인 필수
- 외부 업체와 협력 시에는 본 체크리스트를 공유하여 동일한 기준으로 진행