# InsuRo × ThreadAuto 통합 방안 에이전트 미팅 **일시**: 2026-03-13 **안건**: InsuRo에 ThreadAuto 기능 통합 + 사용자 셋업 가이드 설계 **레벨**: Lv.3 **미팅 모드**: hybrid **토론 깊이**: thorough **참조**: mkt.chef.ai Threads 글 (Meta API 토큰 5단계 가이드) ## 소집 페르소나 - 불칸(Vulcan) — 백엔드 - 아테나(Athena) — UX - 프레이야(Freya) — 프론트엔드 - 헤임달(Heimdall) — 보안 QA - 로키(Loki) — 레드팀 (DA 역할 겸임) --- ## Cycle 1 (Independent) ### 아누 분석 InsuRo(보험설계사 SaaS) + ThreadAuto(Threads 자동발행) 통합. 핵심 쟁점 5개: 1. 통합 아키텍처 (직접 vs 마이크로서비스 vs API 래핑) 2. Meta API 토큰 관리 (암호화, 보관, 갱신) 3. 사용자 셋업 UX (비개발자 보험설계사 대상) 4. 보안 (토큰 유출, 계정 악용) 5. 법적 리스크 (금소법, 보험업법, AI 콘텐츠) ### 페르소나 의견 요약 **불칸(백엔드)**: - 권장: Worker 마이크로서비스 분리 (Remotion Node.js + FastAPI Python 혼재 불가) - InsuRo API → Job Queue(pgmq) → Worker 컨테이너 → Meta API - 토큰: AES-256-GCM + RLS, 마스터키는 env/KMS - Rate limit: 사용자별 추적 (Meta 250/day), 플랜별 소프트 리밋 - MVP 순서: pgmq 단순 큐 → Rate limit 추적 → Worker 수평 확장 **아테나(UX)**: - 핵심: "최고의 셋업 UX는 셋업이 없는 UX" → OAuth 원클릭 연결 우선 - OAuth가 기본, 직접 토큰 입력은 고급 설정(파워유저) 폴백 - "욕망 점화 → 장벽 제시" 순서 (샘플 콘텐츠 먼저 보여주기) - Meta 용어 치환표: 개발자 포털→Threads 연결센터, Access Token→연결키 - 무료: 월 5회 (발행까지 성공 경험 필수), 프로: 무제한 - ~~비관습적 대안: 프리미엄 가입자 "대신 해드립니다" 셋업 대행 서비스~~ → 제이회장님 불채택 **프레이야(프론트엔드)**: - 사이드바: ~~"콘텐츠 자동화"~~ → "AI 콘텐츠 작성" + "AI 포스팅 자동화" 분리 (제이회장님 확정) - 위저드: 4단계 (Meta 로그인 → 권한 확인 → 계정 선택 → 테스트 발행) - 에디터: 사이드바이사이드 (목록 | 미리보기+편집), 카드뉴스 4:5 비율 - 스케줄러: 타임라인 리스트 뷰 우선 (모바일 친화), 캘린더는 v2 - 모바일: 하단 고정 액션바 (승인/거부), safe-area 대응 - PlanGuard 기존 컴포넌트 그대로 활용 **헤임달(보안)**: - 계층형 암호화: AES-256-GCM(앱) + pgsodium(DB) + RLS - OAuth > System User Token (만료 → 피해 제한) - 감사 로그: 불변 테이블 + CRITICAL 이벤트 실시간 알림 - Top 3 위협: ① DB 토큰 대량 탈취 ② SSRF ③ MitM/XSS - MVP 필수: AES 암호화, 로그 마스킹, RLS, SSRF 방어 **로키(레드팀/DA)**: - ★ "System User Token 직접 보관 = 설계 오류" — OAuth Flow 재설계 필수 - ★ "법무 검토를 개발 착수 전에 받아야 함" — 금소법/보험업법 리스크 - Meta 앱 전체 제재 위험: 하나의 위반 → 모든 사용자 서비스 불가 - AI 생성 콘텐츠 + 보험업 = "설계사 면허 취소"까지 이어질 수 있는 사안 - 비관습적 대안: Zero-Knowledge 설계 (서버 토큰 미보관, 클라이언트만) - 필수 안전장치: 금소법 키워드 필터, #AI생성 자동태그, 경쟁사명 블랙리스트 ### Devil's Advocate (로키 지정) 1. **실패 시나리오**: InsuRo 서버 침해 → 수천 개 토큰 유출 → 보험설계사 계정 악성 콘텐츠 발행 → 금소법 위반 + 면허 취소 2. **후회 이유**: 보험업 AI 콘텐츠 규제 강화 시 이미 발행된 수천 건 콘텐츠 → 소급 문제 3. **더 단순한 대안**: - Zero-Knowledge (서버 토큰 미보관) - 또는 "콘텐츠 생성만 + 발행은 사용자 직접" (Threads 앱에서 붙여넣기) **반박**: - OAuth Flow 채택 시 토큰 유출 피해 60일로 제한 (System User Token의 영구 피해 방지) - 금소법 키워드 필터 + #AI생성 태그 자동화로 법적 리스크 상당 완화 - "발행은 사용자 직접"은 자동화의 핵심 가치를 훼손 → 최소한 "승인 후 서버 발행" 유지 필요 - 법무 검토는 Phase 1과 병행 (blocking 아닌 parallel) **판정**: DA 우려 수용 → OAuth 필수, 법적 안전장치 Phase 1에 포함 ### 합의 사항 1. **아키텍처**: Worker 분리 (Day 1). InsuRo API → Job Queue → Worker → Meta API 2. ~~**인증**: OAuth 2.0 원클릭이 기본~~ → **수정됨** (Cycle 2 참조) 3. **토큰 보관**: AES-256-GCM + Supabase RLS. 마스터키는 env/KMS 4. ~~**UX**: OAuth 원클릭~~ → **수정됨** (Cycle 2 참조) 5. **법적**: 금소법 키워드 필터 + #AI생성 자동태그 + 법무 검토 병행 6. **플랜**: 무료 월5회(발행 성공 경험 필수) / 프로 무제한 7. **모바일**: 타임라인 리스트뷰, 하단 고정 액션바, safe-area 대응 ### 미해결 항목 1. ~~Meta OAuth 앱 심사 통과 절차 및 소요 시간 확인 필요~~ → OAuth 원클릭 불가 확정 2. 법무 검토 착수 시점 확정 3. Zero-Knowledge 대안의 실현 가능성 추가 검토 (스케줄링 vs 보안 트레이드오프) 4. InsuRo 프리미엄 가격 결정 (ThreadAuto 포함 시) --- ## Cycle 2 (제이회장님 피드백 반영) ### 제이회장님 피드백 (현실 검증) > "근데 원스탑 연결은 불가능하잖아. 나 세팅하는데도 너가 직접 못해서 하나하나 내가 했었는데..." **핵심**: Meta API 토큰 셋업은 OAuth를 구현하더라도 사용자가 Meta 개발자 포털에서 앱을 먼저 수동으로 만들어야 함. 5단계 모두 수동 작업 필수: 1. Meta 개발자 포털 가입 2. 앱 생성 3. Threads API 제품 추가 4. 권한 설정 5. 토큰 발급 AI도 대신 수행할 수 없었던 작업 → 비개발자 보험설계사에게 OAuth "원클릭"은 허상. ### 합의 수정 **2번 인증 수정**: OAuth 원클릭 ❌ → **단계별 가이드 위저드가 기본** - InsuRo 앱 내에서 5단계 가이드를 스크린샷 + 번호 + 진행률 바와 함께 제공 - 각 단계마다 "이 화면이 보이시나요?" 확인 체크포인트 - Meta 용어를 보험설계사 용어로 치환 (개발자 포털 → "Threads 연결센터" 등) - 토큰 입력 필드: 복사-붙여넣기 한 번으로 완료 **4번 UX 수정**: "욕망 점화 → 장벽 제시" 유지하되, 장벽 해소 방법 변경 - 샘플 콘텐츠 먼저 보여주기 (욕망 점화) ✅ 유지 - ~~OAuth 원클릭~~ → **스크린샷 기반 5단계 위저드** (mkt.chef.ai 글보다 더 쉽게) **메뉴 구조 (제이회장님 확정)**: - **AI 콘텐츠 작성** > 채널 선택 > Threads > **텍스트/카드뉴스/영상 작성** - 콘텐츠 생성하기: 텍스트 작성 / 이미지 작성 / 영상 작성 (3가지 모드 선택) - **AI 포스팅 자동화** — 별도 메뉴 (향후 개발) **현실적 플랜 구조**: - **무료**: 5단계 가이드 위저드 + 월 5회 발행 - **프로**: 가이드 위저드 + 무제한 발행 + 우선 지원 ### Phase 1 수정사항 - ~~Meta OAuth 앱 등록 및 심사~~ → **5단계 셋업 가이드 위저드 개발** (스크린샷, 용어 치환, 진행률) - Worker 컨테이너 분리 (pgmq 기반 큐) — 유지 - 토큰 암호화 (AES-256-GCM + RLS) — 유지 - 금소법 키워드 필터 + #AI생성 자동태그 — 유지 - 사이드바 "콘텐츠 자동화" 메뉴 + ~~OAuth~~ **셋업 가이드** 위저드 - PlanGuard 적용 — 유지 --- ## 종합 Phase 로드맵 (Cycle 2 반영 최종) ### Phase 1: 기반 구축 + 셋업 가이드 + 법적 안전장치 - **5단계 셋업 가이드 위저드** (스크린샷, 용어 치환, 진행률) - Worker 컨테이너 분리 (pgmq 기반 큐) - 토큰 암호화 (AES-256-GCM + RLS) - 금소법 키워드 필터 + #AI생성 자동태그 - 좌측 메뉴 "AI 콘텐츠 작성" > 채널 선택 > Threads - PlanGuard 적용 ### Phase 2: 콘텐츠 에디터 + 발행 - 콘텐츠 생성 UI (텍스트 작성 / 이미지 작성 / 영상 작성 — 3가지 모드) - 승인 → 발행 워크플로우 - 감사 로그 - 모바일 최적화 ### Phase 3: AI 포스팅 자동화 (별도 메뉴) - 발행 스케줄 설정 - 자동 발행 관리 - 토큰 만료 사전 알림 - AI 개인화 스타일 학습 ### Phase 4: 고도화 - 캘린더 뷰 - 성과 분석 리포트 - 보장분석 → 콘텐츠 연결 CTA - 채널 확장 (Instagram, 네이버블로그) - KMS 연동 (사용자 증가 시)