[MOSO]
STAY OS

백엔드 구조

• 브랜딩 모듈은 자산 중심이라 무거운 백엔드는 없으나, '브랜드를 코드로 박제'하는 최소 인프라를 둔다.
• Supabase Storage 버킷 `brand-assets`(public-read CDN + signed-write) — 로고 변주·아이콘·OG·웹폰트 정본 호스팅, 버전 폴더링(/v1, /v1.1).
• 테이블 `brand_tokens`(id, token_key, category[color|type|space|radius], value_hex, value_rgb, value_hsl, value_cmyk, wcag_pair, updated_at) — 디자인 토큰을 DB 단일소스로 두고 콘솔/앱/인스타 템플릿이 동일 값을 참조.
• 테이블 `brand_assets`(id, kind[logo|icon|og|favicon|pattern], variant, file_path, mime, w, h, version, checksum) — 자산 매니페스트.
• 테이블 `brand_guideline_sections`(견적 단계엔 정적, 추후 콘솔 내 가이드 뷰어로 확장 여지).
• API/엣지: GET `/api/brand/tokens.css`(토큰→CSS 변수 자동 생성·캐시), GET `/api/brand/tokens.json`(앱·Figma 동기화용), GET `/api/og?title=&kind=`(Cloudflare Worker가 OG 이미지를 SVG→PNG 동적 생성, 캠페인별 텍스트 합성).
• 서비스: `brandTokenSync`(토큰 변경 시 콘솔/앱/인스타 템플릿 캐시 무효화), `faviconGen`(원본 1장→멀티해상도 파생 배치).
• 전부 공통기반(Supabase Realtime·Auth·RLS) 위에 얹어, 추후 브랜드 토큰 수정이 전 접점에 실시간 전파되게 설계.

프론트엔드 구조

• 페이지 `brand-guideline`(디지털 브랜드 매뉴얼 단일 HTML, PDF 동시 출력) — 섹션: 로고/변주/컬러/타이포/모티프/아이콘/배지/보이스/Don'ts/접점예시. 좌측 스티키 네비 + IntersectionObserver 현재섹션 하이라이트(기존 moso-insta 패턴 재사용).
• 컴포넌트: `<LogoLockup variant>`(가로/세로/심볼/역상 props로 자동 출력), `<ColorSwatch>`(클릭 시 HEX 복사·대비비 표시), `<TypeScaleRow>`, `<IconGrid>`(26종), `<TierBadge tier>`(시그니처/셀렉티드/스테이), `<OniAvatar>`+`<OniBubble>`(온이 페르소나), `<ChannelTag channel>`(OTA 6채널 컬러칩).
• 인스타 키트 페이지: `<FeedGridPreview>`(3x3 목업), `<HighlightCover ×9>`, `<CarouselFrame role>`(cover/body/impact/cta).
• 토큰 소비: 모든 컴포넌트가 `/api/brand/tokens.css`의 CSS 변수만 참조(하드코딩 색상 금지) → 브랜드 단일소스 원칙을 프론트에서도 강제.
• 반응형: 기존 시스템대로 468px(인스타)·780px(문서)·풀폭(콘솔) 3브레이크포인트. PWA·SEO/OG 메타 공통기반 적용.

서버 · 보안

• 자산 무결성: `brand_assets.checksum`(SHA-256)으로 CDN 자산 변조 검출, 정본은 immutable 버전 폴더(/v1.1)로만 교체(덮어쓰기 금지) → 외주·디자이너가 임의 교체해도 추적 가능.
• Storage RLS: `brand-assets` 버킷 read=public(CDN), write=service_role + 디자이너 롤(`role=designer`)만, 삭제는 owner(무해)만.
• 토큰 API: `/api/brand/tokens.*`는 read-only·강캐시(Cache-Control immutable + ETag), 쓰기는 Supabase Auth JWT + RLS로 디자이너/오너만.
• OG 동적생성 Worker: title 파라미터 XSS/길이 sanitize(SVG 텍스트 이스케이프), 화이트리스트 kind만 허용, 응답 캐시로 남용 차단.
• 폰트 라이선스 가드: Pretendard(OFL) + 전용 디스플레이 셀프호스팅은 라이선스 적합, 가이드 문서에 라이선스 고지 섹션 포함(클라 리스크 차단).
• 소유권/이전: 전 원본(AI/SVG/Figma)·소스코드·Supabase 프로젝트는 공통기반 합의대로 무해 소유권 이전 — 핸드오프 시 Storage 버킷·테이블·Figma 팀 권한을 클라 계정으로 transfer, Appears는 접근권 회수.
• 상표: 워드마크/심볼 최종본은 상표 출원 가능 형식(고해상 벡터·흑백 출원본)으로 별도 산출.

동작 프로세스

1) 킥오프·디스커버리: 무해 대표(명훈)·송현우 정렬 워크숍 1회 → 포지셔닝 좌표·키워드 3개·무드보드 2종 합의. 2) 버벌 락: 네이밍 규칙·태그라인·서브카피 5종·온이 보이스 승인. 3) 로고 탐색: 3개 시안 루트 제시 → 1개 선택 → 벡터 정밀 락(곡률·옵티컬). 4) 시스템 구축: 선택 로고 기준으로 변주 8종 → 컬러 토큰화 → 타입스케일 → 모티프·아이콘 26종 순으로 전개(이전 단계 승인이 다음 단계 입력). 5) 적용·확장: 온이 페르소나·등급 배지·인증마크 → 콘솔/맥앱/인스타 접점 목업으로 검증(실제 빌드된 콘솔·인스타에 얹어 정합성 확인). 6) 문서화: 토큰을 `brand_tokens` DB에 입력 → `/api/brand/tokens.css·json` 자동 생성 → 가이드 문서가 그 토큰을 소비(문서와 코드가 어긋날 수 없는 구조). 7) 인스타 세팅: 프로필·하이라이트 9·9그리드 템플릿 적용 + OG/파비콘/앱아이콘 멀티해상도 출력. 8) 핸드오프: 벡터 락·웹폰트·토큰 JSON·Figma·README 패키징 → Storage·테이블·Figma 권한 무해 이전 → 상표 출원본 별도 전달. 검수: 각 마일스톤(2·3·5·6단계) 클라 서면 승인 게이트, 결제는 계약금/중도금/잔금 구조 연동.

백엔드 구조

공통 기반(전 모듈 관통)을 그대로 사용. 이 모듈 전용 스키마:

• leads — 리드 마스터. id(uuid), created_at, status(enum: new/contacted/diagnosed/proposal/won/lost), name, phone, email, region(지역), property_type(한옥/펜션/아파트/게하), room_count, ota_channels(jsonb 현재 사용 채널), preferred_contact(카톡/전화), consent_privacy(bool), consent_marketing(bool), utm_source/medium/campaign/content(인스타 카드뉴스 어느 덱에서 왔는지 추적), referrer, landing_path, locale, assigned_to(uuid → admin), memo, score_snapshot(jsonb 진단 당시 점수).

• diagnoses — 진단 결과. id, lead_id(nullable; 폼 제출 전 익명 진단도 저장), created_at, answers(jsonb 7문항), automation_score(int 0~100), leak_revenue_est(int 월 추정 누수액), market_compare(jsonb: 입력 지역·평수의 시장 EWMA 시세 vs 추정 운영가), segment(번아웃/성장정체/확장준비 등), locale, session_id.

• market_cache — 진단 위젯이 참조하는 지역별 시세 캐시. region(PK), avg_price, demand_index, p25/p50/p75, source_badge(LIVE/WIRED/REAL/CALIB — 콘솔의 정직 4단계 배지 그대로), updated_at. 모듈 ③ 마스터콘솔/Worker가 5분 Cron으로 채우는 MOSO_KV를 미러링.

• lead_events — 리드 활동 타임라인(상태변경·연락·메모). id, lead_id, type, payload(jsonb), actor, created_at. RLS·감사용.

• experiences — 정식 웹 /experience 페이지 콘텐츠(체험 8종). slug, title_i18n(jsonb 6개국어), price(10000), duration, region, images(jsonb), active.

• i18n_strings(선택) — 카피 운영 테이블. key, locale, value, namespace. 또는 빌드타임 JSON(/locales/{lng}.json) 정적 번들 — 트래픽·SEO 위해 정적 우선, 운영 카피만 DB.

• page_meta — SEO 운영. path, locale, title, description, og_image, jsonld(jsonb), noindex(bool).

[RLS 정책]

- leads/diagnoses INSERT: anon 키로 허용하되 Turnstile 토큰 검증 통과 + rate-limit(IP·세션) 후에만. SELECT/UPDATE/DELETE: 인증된 admin 역할만(auth.jwt() role 체크). 호스트 본인 리드 재조회는 별도 매직링크 토큰.

- market_cache/experiences/page_meta SELECT: public(anon 읽기 전용). 쓰기: service_role(Worker)만.

- lead_events: admin read/write only.

- 모든 PII(phone/email) 컬럼은 RLS로 anon SELECT 완전 차단. 노출 필요 시 마스킹 뷰.

[API · 엣지 함수 — Cloudflare Worker(기존 moso-collector Worker에 라우트 증설)]

• POST /api/diagnose — 진단 채점. 입력(answers·region·property_type·room_count·locale) → market_cache 조회 → automation_score·leak_revenue_est·market_compare 산출(decideV2 시그널 재사용) → diagnoses INSERT(익명 허용) → 결과 JSON + 동적 OG 이미지 URL 반환. CORS·Turnstile 검증.

• POST /api/lead — 리드 생성. Turnstile 검증 → leads INSERT → diagnoses와 연결 → 알림 웹훅(슬랙/카톡 알림톡/이메일) → 마스터콘솔 온보딩 큐(KV/DB)로 푸시 → 200. 중복 전화/이메일 dedupe.

• GET /api/market?region= — 진단 위젯·웹이 쓰는 시세 조회(KV 캐시 우선, 5분 TTL).

• GET /og?score=&region= — 진단 결과 동적 OG 이미지(satori/SVG→PNG) — 카톡·인스타 공유 시 "내 숙소 자동화 점수 62점" 카드.

• POST /api/track — 퍼널 이벤트(섹션 노출·위젯 시작·이탈) 수집(전환 최적화용, 익명).

• GET /sitemap.xml · /robots.txt — 동적 생성(다국어 hreflang 포함).

• /api/i18n/* — 운영 카피 페치(정적 폴백).

[서비스 레이어]

- ScoringService: 진단 답변→점수. 가중치 테이블(응대속도 25·가격자동화 20·청소연동 15·다채널 20·정산 20)·시장비교 보정. 순수함수·결정론적·단위테스트(모듈 ① 가격엔진 17 PASS 패턴 계승).

- LeadPipeline: 리드 정규화·dedupe·UTM 귀속·콘솔 큐 푸시.

- NotifyService: 신규 리드 즉시 알림(알림톡 템플릿·이메일·슬랙). 실패 재시도 큐.

- MarketMirror: 모듈 ③ Worker의 MOSO_KV(지역 EWMA) → market_cache 동기화(Cron 또는 read-through).

- I18nService: 로케일 해석·폴백 체인(요청 언어→ko 기본).

- SeoService: page_meta·JSON-LD·hreflang·sitemap 빌드.

프론트엔드 구조

Astro 또는 Next(정적 우선 + 아일랜드 인터랙티브) · TypeScript · Tailwind(MOSO 디자인 토큰) · i18next/Astro-i18n · Supabase JS · Cloudflare Pages. SEO·속도 위해 콘텐츠는 SSG, 진단위젯·리드폼·온이데모만 클라이언트 아일랜드(부분 하이드레이션).

[A. 전환 퍼널 — 페이지 1 / 섹션 9 컴포넌트]

• HeroFunnel — 풀블리드 다크 히어로, 후킹 카피("새벽 2시, 또 폰을 켜셨죠"), 단일 1차 CTA, 스크롤 인디케이터, 신뢰 미니배지(누적 수집 1,116 매물·6개국어).

• PainTimeline — 호스트 24시간 시간축(새벽 응대→아침 청소→낮 가격→밤 정산), 스크롤 연동 하이라이트.

• SolutionOneLiner — "호스트는 한국어만, 나머지는 전부 자동" 대형 타이포 + before/after 토글.

• DiagnosisWidget(핵심 아일랜드) — 스텝 위저드(7문항), 라이브 게이지(0~100 SVG 도넛), 월 누수매출 카운트업, 지역·평수 입력→시장비교 바차트, 결과 카드 → CTA 전환. 상태머신·진행바·뒤로가기·중간이탈 복구.

• OniLiveDemo — 온이 다국어 응대 채팅 목업(영/중/일 말풍선 자동 타이핑), "이걸 24시간 자동으로" 캡션.

• HowItWorks4Step — 콘텐츠만 주면 → 등록·다국어응대·가격·청소·정산 4스텝 카드, 아이콘 애니메이션.

• TrustProof — 청소 사진 인증 갤러리(투명노출)·정산 리포트 샘플·"숙소 늘수록 똑똑해지는 데이터 해자" 차트.

• FaqObjections — 아코디언(위탁=뺏김 아님·수수료·내 숙소 색 유지·연락 안 됨 — 카드뉴스 "오해 4가지" 웹화).

• FinalConvert + LeadForm — 최종 카피 + 리드 폼(이름·연락처·지역·숙소유형·객실수·동의), 인라인 검증·제출 성공 시 "전담이 연락드립니다" 상태.

• 글로벌: StickyCtaBar(스크롤 시 하단 고정 "1:1 무료 진단"), LocaleSwitcher, FloatingKakao, A11y 스킵링크, ScrollProgress.

[B. 정식 웹사이트 — 메인 + 6 하위]

• SiteHeader(글래스 내비·언어·CTA) / SiteFooter(사업자정보·법적고지·SNS·6개국어).

• HomeHero — 풀스크린 "당신의 숙소를 비워두지 않습니다. 맡기면, 알아서 채워집니다." 브랜드 무드 + 제품 프리뷰 스크롤.

• ProductPage — 멀티-OTA 원툴·온이·완판가격엔진·청소투명노출을 콘솔 실스크린샷/모션으로(모듈 ③ 자산 재사용), 기능별 섹션.

• HowPage — 온보딩(아이디·주소만)→동기화→가격→응대→청소→정산 end-to-end 플로우 다이어그램.

• PricingTrustPage — 수수료 구조·정산 투명성·"빈 날 채워 더 번다" 시뮬 그래프.

• ExperiencePage — 체험 8종 카드 그리드(한과·김장·광장시장 투어), B2C 예약 관심 캡처.

• CompanyPage — 비전·3단계 로드맵(브랜드>위탁자동화>커머스>플랫폼화) 타임라인, 무해×Appears, 채용/파트너.

• ContactPage / LegalPages — 문의 폼·지도·연락, 약관·개인정보·통신판매중개 면책·쿠키정책.

[공통 컴포넌트 라이브러리] Button(primary/ghost)·Card·Accordion·Stepper·Gauge·StatCounter·BarChart·Toast·Modal·FormField(검증)·SkeletonLoader·OgImage·SeoHead·CookieConsent·LangPicker. 전부 토큰 기반 재사용.

[상태·데이터] 진단/리드는 React 아일랜드 로컬 상태 + Supabase JS. 시세는 SWR(엣지 캐시). 폼은 zod 스키마 검증. 다국어는 라우트 프리픽스(/en, /ja, /zh…) + hreflang.

서버 · 보안

Cloudflare Pages(정적+엣지) + 기존 moso-collector Worker 확장(라우트 증설, 동일 계정·KV). Supabase(Postgres·Auth·Realtime·Storage). 전 구간 HTTPS·HSTS·자동 SSL.

[인증·권한]

- 공개 웹/퍼널: 인증 없음(SSG). 쓰기 경로(진단·리드·문의)만 Turnstile(Cloudflare 무료 캡차) 토큰 + 서버측 검증.

- 어드민(리드 CRM): Supabase Auth(이메일 매직링크 또는 OAuth) + 역할(admin/operator) 클레임. 미들웨어 게이트 + RLS 이중 방어.

- 호스트 본인 진단 재조회: 만료형 매직링크 토큰(서명·TTL), 세션 영속 안 함.

[RLS·데이터 보호] 위 backend의 RLS 정책 전면 적용. PII(전화·이메일) anon SELECT 완전 차단, 어드민도 마스킹 뷰 기본·상세는 권한 행에서만. 진단 익명 저장은 session_id로만(개인식별 분리). 개인정보 최소수집·동의 컬럼 강제(consent_privacy=false면 INSERT 거부 트리거).

[봇·남용 방어] ① Turnstile 전 쓰기 폼. ② Worker 단 rate-limit(IP·세션 슬라이딩 윈도, KV 카운터) — 진단 분당 N회·리드 시간당 M회. ③ 허니팟 필드 + 제출 최소 체류시간 검증. ④ dedupe(동일 전화/이메일 24h 병합). ⑤ Cloudflare WAF·DDoS(기본)·Bot Fight.

[입력·출력 보안] zod 스키마 서버검증, 파라미터라이즈드 쿼리(Supabase 클라이언트), 출력 이스케이프(XSS), CSP 헤더(script-src 화이트리스트)·X-Frame-Options·Referrer-Policy·Permissions-Policy. 동적 OG는 입력 sanitize 후 렌더.

[비밀·키 관리] 블루프린트 13장 원칙 계승 — 서비스 키·웹훅 시크릿·Hostaway/Beds24·알림톡 키는 코드·배포물에 절대 저장 안 함, Cloudflare/Supabase 환경변수(시크릿)로만. 클라(anon) 키만 프런트 노출, RLS로 보호. .env는 git 제외.

[개인정보·법무] 통신판매중개자 면책 고지(거래 당사자 아님) 전 페이지 푸터·폼 근접 노출. 개인정보처리방침(수집항목·목적·보유기간·국외이전(Cloudflare/Supabase 리전)·파기)·이용약관·쿠키 동의 배너(GA4/픽셀은 동의 후 로드). 진단 데이터 보유기간·삭제요청 경로 명시.

[관측·백업] Cloudflare Analytics·Workers Logs·Sentry(프런트 에러), Supabase 일일 백업·PITR. 알림 실패·전환율 급락 모니터링. 감사 로그(lead_events)로 누가 언제 리드 열람·수정.

[소유권 이전] 소스코드(Git 저장소)·Supabase 프로젝트·Cloudflare Pages/Worker·도메인 전부 무해(클라) 소유로 이관. 키·시크릿 로테이션 후 인계, 1:1 핸드오프 세션·운영 문서 제공.

동작 프로세스

① 모듈 ④ 인스타 카드뉴스(30덱)·메타 광고의 CTA 클릭 → moso.kr 도착(UTM 태깅: 어느 덱·어느 캠페인). ② 히어로 통증 후킹 → 스크롤하며 통증 공감 → 진단 위젯 진입. ③ 호스트가 7문항 응답 + 지역·평수 입력 → POST /api/diagnose → Worker가 market_cache(모듈 ③ EWMA 시세) 조회 + decideV2 시그널로 자동화 점수·월 누수매출·시장비교 산출 → diagnoses 익명 저장 → 결과 카드 렌더(게이지·누수액·"시장가 대비 30% 낮음"). ④ 결과 충격 → "이 빈칸 다 채웁니다" CTA → 리드 폼. ⑤ 폼 제출 → Turnstile·rate-limit·dedupe 통과 → POST /api/lead → leads INSERT(진단 연결) → NotifyService가 즉시 알림톡/슬랙으로 영업팀 호출 + 마스터콘솔 온보딩 큐로 푸시 → 화면 "24시간 내 연락" 전환. ⑥ 호스트는 결과 OG 카드(점수)를 카톡 공유 가능 → 2차 유입.

[흐름 2 — 리드 운영 → 콘솔 승격]

① 영업팀 어드민 로그인(매직링크) → 리드 칸반 보드. ② 신규 리드 카드(점수·지역·출처 덱·진단답변) 확인 → 슬라이드오버에서 상세·연락 → 단계 드래그(연락중→진단완료→제안→계약), 모든 변경 lead_events 감사 저장. ③ 계약 확정 리드 → "온보딩 큐 승격" 1클릭 → 모듈 ① 마스터콘솔 온보딩(아이디·주소만 입력 → 채널연결·가격엔진·청소라인 자동세팅)으로 인계. ④ 전환지표 대시보드가 방문→진단→리드→계약 퍼널 전환율·덱별 ROI 집계 → 모듈 ④ 카드뉴스 제작에 피드백.

[흐름 3 — 정식 웹사이트 브랜드·파트너 경로]

① 투자자·언론·B2B 호스트·OTA(야놀자·놀유니버스)가 검색/추천으로 moso.co.kr 도착 → 브랜드 히어로·제품·작동원리·회사 로드맵 열람(SSG 고속·SEO 상위·6개국어). ② 제품 페이지서 콘솔 실스크린샷·온이 데모·완판 가격엔진 그래프로 "진짜 작동하는 회사" 확인. ③ 체험 페이지(8종)서 B2C 확장 가능성 인지. ④ 문의 폼 또는 무료 진단 CTA로 전환 → 흐름 1·2와 동일 파이프. ⑤ PWA 설치 프롬프트로 "허들 높은" 앱 경험 제공(블루프린트 매각 전략 — 초기 100~1,000명 락인 후 매각 테이블).

[흐름 4 — 시세 데이터 동기화(백그라운드)]

모듈 ③ Worker의 5분 Cron이 지역 EWMA 시세를 MOSO_KV에 누적 → MarketMirror가 market_cache로 동기화 → 진단 위젯이 항상 최신 시장가로 비교(소스 배지 LIVE/WIRED/REAL/CALIB 정직 표기 그대로 노출). 맥/브라우저 꺼져도 서버가 계속 돈다.

백엔드 구조

- leads(id, source, source_ref, name, phone, email, company_id, listing_id, raw_payload jsonb, score int, stage_id fk, owner_id fk, status, created_at, version) — 인입 원장

- companies(id, name, biz_no, region, listing_count, platform_exposure jsonb, demand_index numeric) — 호스트/매물 주체(1,116 실매물 연동 키)

- contacts(id, company_id, name, role, phone, email, kakao_id, channel) — 담당자 다대일

- pipeline_stages(id 1~11, key, label_ko/en/ja/zh/vi/th, order, entry_rule jsonb, exit_rule jsonb, sla_hours int, color) — 11단계 정의(다국어 라벨 내장)

- deals(id, lead_id, company_id, title, amount_estimate, currency, stage_id fk, owner_id fk, probability int, expected_close date, quote_url, contract_url, lost_reason, created_at, updated_at, version)

- stage_transitions(id, deal_id, from_stage, to_stage, actor_id, reason, auto bool, dwell_seconds, created_at) — append-only 감사이력

- activities(id, deal_id, type[call/email/meeting/dm/note/system], direction, summary, payload jsonb, actor_id, occurred_at) — 타임라인 원천

- tasks(id, deal_id, owner_id, title, due_at, status, priority, auto_generated bool, source_trigger)

- notes(id, deal_id, author_id, body, pinned, created_at)

- attachments(id, deal_id, kind, url, name, size) — 명함·제안서·견적PDF

- lead_sources(id, key, label, config jsonb, active) — 커넥터 메타

- email_sequences(id, name, trigger_stage_id, active) / email_steps(id, sequence_id, step_no 1~10, template_key, delay_hours, send_condition jsonb, stop_condition jsonb) / email_enrollments(id, deal_id, sequence_id, current_step, status[active/paused/done/stopped], next_send_at) / email_events(id, enrollment_id, step_no, type[sent/open/click/reply/bounce], meta, at)

- push_subscriptions(id, user_id, endpoint, p256dh, auth, device, active) / notifications(id, user_id, type, title, body, deeplink, deal_id, read bool, sent_at)

- profiles(id=auth.uid, name, role[owner/manager/rep/viewer], avatar, dnd_window) — 팀/권한

[Postgres 뷰·함수]

- v_pipeline_board(단계별 딜 집계·금액합·평균체류), v_today_tasks(담당자 오늘 due), v_funnel_metrics(단계 전환율·이탈), fn_score_lead(스코어 계산), fn_advance_stage(전이+가드), 트리거: on stage change → enqueue 자동화

[Cloudflare Worker / API 엔드포인트]

- POST /api/leads/intake (5커넥터 공통 인입, source별 정규화) · POST /api/leads/score

- POST /api/deals · PATCH /api/deals/:id/stage (상태머신 가드+낙관락 version) · GET /api/board

- POST /api/sequences/enroll · Cron */15 /cron/sequence-dispatch (next_send_at 도래분 발송) · GET /api/track/open.gif · GET /api/track/click?u=

- POST /api/push/subscribe · POST /api/push/send(내부) · Cron /cron/sla-scan(단계 SLA 임박·미팅 임박 스캔→푸시)

- POST /webhook/quote (contract.html 열람·서명 이벤트 수신) · POST /webhook/dm(인스타/네이버) · POST /api/listings/import-target(실매물→리드)

- 견적빌더 /api/sign(기존)·SION_KV와 브리지: 서명 발생 시 deal stage→⑩ 자동 전진

[서비스 모듈]

stage-engine(전이·SLA·트리거 오케스트레이션) · scoring-service · sequence-engine(디스패처+분기) · mail-service(Resend/SES, SPF/DKIM/DMARC, 픽셀/래핑/바운스) · push-service(VAPID) · realtime-bridge · importer-service(실매물) · webhook-router

프론트엔드 구조

- 페이지/뷰: SalesDashboard(상단 KPI 4: 신규리드·핫리드·이번주 미팅·예상매출), PipelineBoard(11열 칸반, 가로 스크롤, 드래그앤드롭 전이), DealDrawer(우측 슬라이드, 상세+타임라인+메일+태스크 탭), LeadInbox(미배정 인입), SequenceMonitor(시퀀스별 진행·열람율·클릭율), FunnelChart(11단계 깔때기·전환율), SettingsPanel(스코어 가중치·시퀀스 편집·푸시규칙)

- 컴포넌트: StageColumn, DealCard(회사·금액·스코어 칩·SLA 신호등·담당 아바타), ScoreBadge(0~100 색구간), SlaPill(초록 적정/파랑 변동/황 임박, 기존 pmleg 색계), TimelineItem, EmailSequenceRow, KpiTile, TransitionToast, BulkActionBar, QuickFilter, DnDColumn

[모바일 영업본부 PWA — 화면 10종(별도 라우트, manifest-admin 계열, 하단 탭바)]

1. Today(오늘 할 일·임박 미팅·핫리드 푸시 요약) 2. Pipeline(세로 스와이프 칸반, 좌우로 단계 이동) 3. DealDetail(원탭 전화·카톡·메일, 단계 전진 버튼, 타임라인) 4. QuickAddLead(명함 카메라·음성메모·최소필드) 5. MeetingCalendar(주/일, 미팅 카드) 6. SequenceMonitor(모바일) 7. NotificationInbox(푸시 히스토리·딥링크) 8. MobileDashboard(스코어카드·펀넬 미니) 9. ActivityFeed(전사 활동 실시간) 10. Settings(알림 on/off·방해금지·계정)

- 컴포넌트: BottomTabBar, SwipeableDealCard, StageStepper, ThumbActionRow(전화/카톡/메일), PushBanner, MiniFunnel, FabQuickAdd, PullToRefresh, OfflineBadge

- 공통: 다국어 6개 i18n, OG/메타, 오프라인 캐시(Service Worker), 홈화면 설치 프롬프트

서버 · 보안

Supabase Auth(이메일+OTP/매직링크), 영업팀 멤버만 가입(초대 도메인 화이트리스트). JWT 세션, 모바일 PWA는 refresh 토큰 보관(secure storage). 마스터콘솔 게이트(기존 john316 패턴)와 병행, 운영 전환 시 Auth로 일원화.

[권한·RLS] profiles.role 4단계(owner/manager/rep/viewer). 모든 핵심 테이블 RLS ON. rep=owner_id=auth.uid() row만 INSERT/UPDATE, 팀 SELECT 허용(manager/owner는 전체 쓰기). stage_transitions·activities·email_events·notifications는 append-only(UPDATE/DELETE 거부, 감사 무결성). 서비스롤 키는 Worker 서버측에만(클라 노출 금지), 클라이언트는 anon 키+RLS로만 접근. 가중치/시퀀스 편집은 manager+.

[전이·동시성 가드] PATCH /deals/:id/stage 는 (a) pipeline_stages.exit_rule 충족 검사 (b) version 낙관적 락(불일치 시 409→클라 리프레시) (c) 허용 전이표(11×11 인접행렬) 위반 거부. 동시 편집은 Realtime presence로 잠금 표시.

[웹훅 보안] /webhook/quote·/webhook/dm 는 HMAC 서명 검증(공유 시크릿)·타임스탬프 윈도우(리플레이 방지)·IP allowlist(가능 소스). 견적빌더 SION_KV 브리지는 내부 시크릿.

[메일 보안·전달성] 발신 도메인 SPF/DKIM/DMARC 정렬, 트래킹 링크는 서명된 토큰(위변조·오픈리다이렉트 차단), 수신거부(원클릭 unsubscribe)·바운스/콤플레인트 자동 정지(평판 보호), PII 최소수집.

[푸시 보안] VAPID 키 쌍(개인키 서버 보관), 구독 endpoint 사용자 귀속, 만료/410 자동 정리, 페이로드 최소화(민감정보 본문 제외, 딥링크 토큰).

[데이터 보호] 전 구간 HTTPS, 전화/이메일 등 PII 컬럼 접근 RLS 격리, 통신판매중개 면책 법적고지 연동(리드 동의·개인정보 처리방침 링크), 감사로그 보존. 비밀값은 Worker secret/환경변수(Wrangler), 레포에 평문 금지.

[소유권] 운영 안정화 후 Supabase 조직/프로젝트·소스 리포·도메인·시크릿 일체를 클라(무해)로 이관, 키 로테이션 가이드 제공.

동작 프로세스

5소스 중 하나에서 이벤트 발생(폼 제출/견적 열람/DM/실매물 타깃/명함) → POST /api/leads/intake 가 소스별 페이로드 정규화 후 leads 생성(stage ①미팅전) → fn_score_lead 즉시 호출(매물규모·노출·수요지수·행동 가중합) → 임계 통과 시 stage ②자격검증 자동 통과→③중요클라 승격 → stage-engine 이 (1)담당자 라운드로빈 배정 (2)push-service로 "새 핫리드" 발사 (3)email_enrollments 에 인트로 시퀀스 등록 → 담당자 휴대폰 알림 탭→모바일 딜상세 딥링크.

[흐름B · 컨택→미팅→상담(④~⑦)] 담당자 모바일에서 원탭 전화/카톡→activity 자동 기록(direction outbound), stage ④최초컨택 전진 → 니즈 진단 메모 입력 시 ⑤ → 캘린더에서 미팅 슬롯 확정 시 deals.expected_close·미팅 activity 생성, stage ⑥미팅확정 → SLA 스캐너 Cron 이 "미팅 1시간 전" 푸시 → 미팅 후 상담록 작성 시 ⑦미팅완료, 다음 추천 액션 카드 = "제안서 발송".

[흐름C · 제안→견적→협상(⑧~⑨)] ⑦에서 [견적 링크] 누르면 contract.html 빌더로 견적 생성·링크 deals.quote_url 저장, stage ⑧제안발송 + 제안 시퀀스 점화 → 고객이 견적 열람 시 /webhook/quote 수신→activity '열람'+score 가산+"견적 열람됨" 푸시 → 협상 메모/금액 조정 시 ⑨협상검토, SLA(예: 3일 무응답) 임박 시 자동 리마인드 메일+푸시.

[흐름D · 계약→고객전환(⑩→⑪)] 고객이 견적 링크 ?sign 에서 전자서명 완료→기존 /api/sign(SION_KV) 발생→브리지 웹훅이 deal stage ⑩계약 자동 전진+"서명 완료🎉" 푸시+계약 activity → 온보딩 인계 태스크 자동 생성(미팅·온이 세팅·청소 플로우) → 인계 완료 체크 시 ⑪고객전환, 해당 호스트가 기존 마스터콘솔 '전체 숙소'로 편입(운영 두뇌로 핸드오프). 펀넬 지표(v_funnel_metrics) 자동 갱신.

[흐름E · 10차 메일 디스패치(상시)] Cron */15 /cron/sequence-dispatch 가 next_send_at 도래한 enrollment 조회→send_condition 평가→mail-service 발송(픽셀+래핑)→email_events(sent) → 수신자 열람(open.gif)/클릭(track)/회신 감지 시 분기: 응답=시퀀스 stop+담당자 푸시, 미열람 N일=리마인드 step, 목표 행동 달성=stage 자동 전진. 모든 결과 Realtime 으로 PC·모바일 동시 반영.

백엔드 구조

hosts(id, auth_uid, phone, name, biz_type[personal/simple/corp/foreign_only], biz_no, ceo_name, addr, kakao_id, naver_id, created_at, locale) ·

properties(id, host_id FK, name, type[hanok/guesthouse/pension/saengsuk/motel...], rooms, address, lat, lng, amenities jsonb, house_rules text, checkin_info text, photos jsonb[], status[draft/pending/live/paused]) ·

licenses(id, property_id FK, kind[public_health/lodging/foreign_only], file_url, ocr_json jsonb, review_state[pending/approved/rejected], reviewer_note, verified_at) — 미신고 거절 게이트 ·

channel_connections(id, property_id FK, provider[beds24/onda], account_ref, room_map jsonb, ari_status[wired/live/error], last_sync_at, error_log jsonb) ·

ota_links(id, property_id FK, ota[airbnb/booking/agoda/yanolja/goodchoice/naver], external_listing_id, link_state[unlinked/pending/linked]) ·

commission_plans(id, host_id FK, tier[free/basic/pro/fullauto], rate_pct[0/1/2/3], started_at, ended_at, status[active/pending_change/cancelled], approved_by) ·

plan_change_requests(id, host_id FK, from_tier, to_tier, requested_at, decided_at, decision, operator_uid) — 운영자 승인 큐 ·

bookings(id, property_id FK, channel, guest_name, checkin, checkout, nights, gross_amount, channel_fee, status[confirmed/cancelled/completed], external_ref, created_at) — 채널매니저 webhook 인입 ·

settlements(id, host_id FK, period_start, period_end, gross, channel_fee, cleaning_fee, commission_amount, net_payout, state[scheduled/paid/held], payout_date, invoice_url) ·

settlement_lines(id, settlement_id FK, booking_id FK, type[revenue/channel_fee/cleaning/commission], amount) ·

threads(id, host_id FK, property_id, subject, status[open/closed], last_msg_at, assigned_operator) ·

messages(id, thread_id FK, sender[host/operator/oni], body text, attachments jsonb, read_at, created_at) ·

onboarding_progress(host_id FK, property_id, step, payload jsonb, updated_at) — 중간저장 ·

push_subscriptions(id, host_id FK, endpoint, keys jsonb, platform) ·

audit_log(id, actor, entity, entity_id, action, diff jsonb, at) — CMS 편집·승인 추적.

[API — Cloudflare Worker(기존 moso-collector 확장) + Supabase Edge/RPC]

Auth: POST /auth/otp(발송)·/auth/verify·/auth/social(kakao/naver 콜백).

Onboarding: POST /onboard/property·/onboard/license(업로드+OCR)·/onboard/step(중간저장)·GET /onboard/resume.

Provisioning(서버 오케스트레이션): POST /provision/connect{provider,property_id}→Beds24/온다 계정·객실 매핑 잡 enqueue, GET /provision/status, POST /provision/retry. 기존 moso-engine/beds24.js(Beds24 클래스 _token/_get/_post/toSoldEvents) + 신규 onda.js 어댑터 재사용.

Commission: GET /plans·POST /plan/select·POST /plan/change(→승인 큐).

Dashboard: GET /host/summary(순수익·예약률·채널매출·성장·엔진로그·온이건수, 기존 /occupancy·/ledger·/recommendations 집계).

Settlement: GET /settlements·GET /settlement/:id·GET /settlement/:id/invoice.

CMS: PUT /property/:id(편집→writeback)·POST /property/:id/block(차단일)·PUT /property/:id/pricing-mode. Writeback은 Beds24 setPrices/calendar PUT·온다 ARI POST.

Messenger: Supabase Realtime channel(threads/messages 구독)·POST /message·POST /thread/read·웹훅으로 운영자 콘솔 통합인박스 fan-out.

Push: POST /push/subscribe·내부 sendPush(webpush/FCM).

Webhook 수신: POST /webhook/beds24·/webhook/onda(예약 인입→bookings·settlement 집계→push).

[서비스/잡 — Worker Cron + Queue]

provisionWorker(큐 소비, 멱등 매핑·재시도) · settlementRoller(Cron daily, 기간별 정산 집계·net_payout 계산·invoice 생성) · pushDispatcher · bookingIngest(webhook→bookings→host_summary 캐시 무효화) · oniHandoff(메신저 무응답 N분→온이 1차응대, 기존 oniLive KB 재사용). 기존 자율엔진 체인(fleet→/ingest→engineTick→/recommendations, 기존 worker.js·engine_core.mjs)은 이 모듈의 '엔진이 한 일' 로그 소스로 read-only 소비.

프론트엔드 구조

페이지(라우트):

/login — OTP·소셜 로그인 ·

/onboarding — 7스텝 위저드(단일 플로우, 스텝 라우팅 /onboarding/[step]) ·

/home — 대시보드(기본 진입) ·

/properties·/properties/[id] — 숙소 목록·상세 ·

/properties/[id]/edit — CMS 편집 ·

/settlements·/settlements/[id] — 정산 목록·상세 ·

/plan — 커미션 티어·시뮬레이터 ·

/messages·/messages/[thread] — 메신저 ·

/settings — 알림·언어·계정.

컴포넌트:

- 인증: OtpInput, SocialButtons, BizTypePicker

- 온보딩: StepperBar(진행률), AddressSearch(다음우편번호), PropertyTypeGrid, AmenityChips, PhotoUploader(클라 리사이즈), LicenseUploader(드래그·OCR프리뷰·상태배지), OtaSelect, ProvisioningStatus(채널별 스피너·WIRED/LIVE 배지), AutomationToggles, ResumeBanner

- 커미션: TierCard×4, EarningsSlider(실시간 시뮬 그래프), PlanChangeSheet

- 대시보드: NetProfitHero(큰 숫자·전월대비), BookingTodayStrip(체크인/아웃), OccupancyGauge, CalendarHeatmap, ChannelDonut, GrowthLineChart, EngineActionLog('오늘 가격 이렇게 바꿨어요' 카드), OniHandledCounter

- 정산: SettlementCard(다음정산), SettlementTimeline, FeeBreakdownBar(수수료·청소·커미션 차감 시각화), InvoiceButton

- CMS: PropertyEditForm, BlockDateCalendar, PricingModeToggle(엔진위임/직접), SaveBar(라이트백 진행)

- 메신저: ThreadList, ChatView(버블·읽음·타이핑), AttachmentSheet(예약·정산 카드 첨부), MessageComposer

- 공통: PushPermissionPrompt, LangSwitcher(6개국어), LegalNoticeSheet(통신판매중개 면책), BottomTabBar(홈·숙소·정산·메시지·설정).

상태: Supabase 클라이언트 SDK(Auth·Realtime·RLS 자동), TanStack Query 캐시, 온보딩 로컬 드래프트→서버 동기화.

서버 · 보안

Supabase Auth(휴대폰 OTP + 카카오·네이버 OAuth). JWT 세션, 짧은 access + refresh 로테이션. 호스트/운영자/온이 역할 클레임 분리. 소셜 콜백은 Worker에서 state·PKCE 검증.

[권한·RLS — 핵심] 모든 테이블 RLS 강제. hosts/properties/bookings/settlements/threads/messages는 auth.uid()=host의 auth_uid인 행만 SELECT/UPDATE. 운영자 role은 service_role 또는 별도 정책으로 전 호스트 조회(콘솔 통합 인박스·승인 큐). plan_change_requests·license review_state는 호스트가 본인 신청 INSERT만, 승인 결정은 운영자 정책에서만 UPDATE. messages는 thread 소유자만 read/insert, 운영자 fan-out은 정책 예외. audit_log는 append-only(UPDATE/DELETE 차단).

[법적 게이트] 미신고 매물 차단: properties.status는 licenses.review_state='approved' 전까지 'live' 전이 불가(DB 트리거/RPC). 통신판매중개 면책 고지 동의는 가입 시 audit_log에 타임스탬프·약관버전 기록. 영업주체=호스트(B형) 구조 반영 — 매출은 운영사 통장 비경유, settlements는 집계·표시만(자금 직접 이동 없음, 자동 송금 미구현·표시 전용).

[시크릿·키] Beds24 refresh token·온다 자격증명·FCM 서버키·소셜 시크릿은 전부 Worker secret(코드 미저장, 기존 패턴 계승: env.BEDS24_REFRESH_TOKEN·HOSTAWAY_*). 호스트가 입력하는 OTA 토큰은 Supabase Vault/암호화 컬럼에 저장, 클라 노출 금지. INGEST_TOKEN류 내부 호출 토큰 검증(기존 worker.js 패턴).

[입력·업로드 보안] 신고증/사진 업로드는 서명 URL(Supabase Storage), MIME·용량 제한, 클라 리사이즈. OCR 결과는 신뢰경계 밖으로 취급(검토자 승인 필수). XSS 방지(메신저 본문 sanitize), CSRF(상태변경 토큰), 레이트리밋(OTP 발송·provision 재시도). webhook 수신은 서명 검증(Beds24/온다 시그니처).

[동시성·정합성] 채널매니저 라이트백·정산 집계는 멱등키. 더블부킹 창 최소화는 채널매니저(Beds24/온다) webhook 수초 동기화에 위임(자체 폴링엔진 미구축, 정직 경계). 정산 롤업은 booking 상태 확정분만.

[소유권 이전] 소스코드·Supabase 프로젝트(스키마·RLS·Edge)·Worker 전체 클라(무해온)로 이관. 키는 클라 계정 발급분 사용.

동작 프로세스

① 호스트가 /login에서 휴대폰 OTP 또는 카카오/네이버로 진입 → Supabase Auth가 hosts row 생성(없으면). ② /onboarding 스텝1 사업자유형 → 스텝2 숙소 추가(주소·타입·객실·편의·사진, 각 입력 즉시 onboarding_progress 저장) → 스텝3 신고증 업로드(서명URL→Storage→OCR→licenses INSERT, review_state=pending) → 스텝4 연동 OTA 선택 → 스텝5 POST /provision/connect → Worker가 provisionWorker 큐에 잡 적재 → Beds24 초청코드/refresh token(또는 온다)로 계정·객실 매핑 시도 → channel_connections.ari_status=wired, OTA 본계정은 토큰 입력 반자동 → 스텝6 자동화 토글(다이내믹·온이·청소) → 스텝7 개시. ③ 운영자가 콘솔 승인 큐에서 신고증 approved → 트리거가 properties.status=live 허용 → 라이브.

[운영 루프] 채널매니저 webhook(POST /webhook/beds24·onda)이 예약 인입 → bookings INSERT → host_summary 캐시 무효화 + pushDispatcher가 호스트에 '새 예약' 푸시 → 대시보드 /home의 NetProfitHero·예약률·채널도넛 갱신. 기존 자율엔진(engineTick cron→/recommendations)이 매물 권장가 산출 → CMS pricing-mode=engine이면 자동 라이트백 + EngineActionLog에 '오늘 한 일' 기록(호스트 언어로 번역).

[정산 플로우] settlementRoller(daily cron)가 기간 도래분 booking을 집계 → settlement_lines(매출·채널수수료·청소비·커미션) 생성 → net_payout 계산 → settlements.state=scheduled → 지급일 도래 시 paid + invoice_url(전자세금계산서 훅) → 호스트 푸시 → /settlements에 표시. 자금 자동 이동은 미구현(표시·집계 전용, B형 구조).

[커미션 변경] 호스트가 /plan에서 티어 변경 신청 → plan_change_requests INSERT(status=pending_change) → 운영자 콘솔 승인 큐 → 승인 시 commission_plans 갱신 → 다음 정산부터 새 rate 적용.

[메신저 플로우] 호스트가 /messages에서 전송 → messages INSERT → Supabase Realtime이 운영자 콘솔 통합 인박스로 fan-out + 운영자 푸시. 운영자 무응답 N분 → oniHandoff가 온이 1차응대(기존 oniLive 6개국어 KB) → 필요 시 운영자 에스컬레이션(threads.assigned_operator). 읽음·타이핑 Realtime 동기화.

백엔드 구조

1) cleaners — 청소사 마스터: id, name, phone, kakao_id, lang, device_fingerprint, magic_token_hash, active_link_slug, pay_rate_default, status(active/suspended). ※무로그인 식별 주체.

2) cleaning_jobs — 배차 단위: id, listing_id(FK 숙소), cleaner_id(FK), scheduled_date, checkout_at, checkin_deadline_at, pay_amount, status(pending/in_progress/submitted/approved/rejected/settled/cancelled), dispatched_at, started_at(펀치), finished_at(펀치), inspector_id, approved_at(=정산 T0), settle_due_at(=approved_at+1h), settled_at. ※기존 data.js의 cleaning{unit,date,worker,status,photos,checkout,checkin} 스키마를 정규화 확장.

3) job_steps — 단계 체크리스트 인스턴스: id, job_id(FK), step_key(arrive/ventilate/bedding/bath/kitchen/floor/restock/final), required_photo(bool), done(bool), done_at.

4) job_photos — 사진: id, job_id(FK), step_key, slot(before/after), storage_path, exif_taken_at, lat, lng, width/height, bytes, created_at.

5) inspections — 검수 기록: id, job_id(FK), inspector_id, decision(approve/partial_reject/reject), rejected_zones(jsonb), comment, created_at. ※approve가 정산 타이머 발화.

6) settlements — 호스트 월정산(기존 settlement{gross,commission,cleaning,fee,payout} 계승): id, listing_id, month, gross, commission, cleaning_cost, operation_fee, payout, finalized_at.

7) payout_ledger — 청소사 정산원장: id, cleaner_id, job_id, amount, state(pending/approved/settled/clawback), settle_due_at, settled_at. ※멱등키로 중복정산 차단.

8) notifications — 알림톡 발송 로그: id, target(cleaner/host), template_code(8종), job_id, sent_at, status(sent/failed/fallback_sms), deeplink.

9) space_briefs — 숙소 출근 브리핑: id, listing_id, access_info(jsonb: 도어록·키박스·엘베), features(jsonb: 평수·구조), detail_points(jsonb: 숙소 고유 주의), supplies(jsonb), photos(jsonb), updated_at. ※콘솔에서 숙소당 1회 세팅→전 배차 자동 첨부.

[API 엔드포인트 — Cloudflare Worker(기존 moso-collector 확장) + Supabase Edge/REST]

인증: GET /c/:slug (매직링크 진입→토큰 검증·기기 바인딩·세션 발급) · POST /auth/rebind (타기기 재인증).

청소사: GET /jobs/today (오늘 배차+동선) · GET /jobs/:id (상세+space_brief 조인) · POST /jobs/:id/start (지오펜스 검증 펀치) · POST /jobs/:id/step (단계 토글) · POST /jobs/:id/photo (서명URL 발급→직업로드 후 메타 커밋) · POST /jobs/:id/submit (제출, 상태→submitted) · GET /me/settlements (내 정산).

검수자: GET /review/queue · POST /review/:jobId (approve/partial_reject/reject) — approve 시 settle_due_at=now+1h 세팅 + 큐 적재.

스케줄러: scheduled() Cron */5 — settle_due_at<=now 인 payout_ledger 처리(멱등)→settlements 비용 반영→알림톡 발송. (기존 worker.js scheduled 패턴에 settleTick 추가.)

콘솔/호스트: GET /console/board (칸반 상태) · POST /console/dispatch (배차/재배차) · POST /console/standby-call (펑크 대체 호출) · GET /host/cleaning?listing=:id (안심 모니터 읽기전용).

알림톡: POST /notify (template_code+payload→비즈메시지 API, 실패 시 SMS 폴백).

[서비스/로직 레이어]

- DispatchService: 콘솔 수동배차 + 간이 자동배정(같은 동선·가용 청소사 우선). 동시 배차 락.

- BriefingService: space_briefs→배차별 브리핑 카드 조립.

- PhotoService: 서명URL 발급·EXIF/GPS 파싱·Before-After 페어링·썸네일.

- GeofenceService: 펀치 좌표 vs 숙소 좌표 반경 판정.

- InspectionService: 승인/반려 상태전이, 반려 구역만 재오픈.

- SettlementScheduler: T0+60m 지연 큐, 멱등 정산, 취소 시 회수(clawback).

- NotifyService: 알림톡 8종 템플릿 렌더+발송+폴백.

- RealtimeBridge: 상태변경→Supabase Realtime 채널 publish(콘솔·호스트 동시 갱신).

프론트엔드 구조

페이지: P1 매직링크 랜딩/세션 부트 · P2 오늘의 배차 리스트(카드+동선 정렬) · P3 숙소 출근 브리핑(공간 카드 스와이프) · P4 단계별 청소 체크리스트(사진 게이트) · P5 사진 촬영·업로드(Before/After 슬롯) · P6 제출 완료/검수 대기 · P7 반려 재촬영 화면 · P8 내 정산(명세·이력·누적 그래프) · P9 프로필/언어/설치 안내.

컴포넌트: JobCard, RouteSorter(시각순/동선순 토글), BriefCardSwiper, StepChecklist, PhotoSlot(B/A 페어), CameraCapture(직촬), UploadProgress, PunchButton(지오펜스 상태), StatusTimeline, SettlementRow, LangSwitcher, InstallPrompt, OfflineBanner, BigTouchButton(접근성 48px+).

[웹 — 검수자 리뷰 콘솔 (MOSO 마스터 콘솔 내 '청소 배차 보드' 탭 확장)]

페이지: 검수 큐(그리드) · 건별 검수 디테일(Before/After 병렬+체크리스트+펀치 메타) · 배차 칸반 보드(미배정/진행/검수대기/완료) · 펑크 대체 호출.

컴포넌트: ReviewQueueGrid, BeforeAfterCompare, ChecklistAudit, PunchMetaBadge(시각·위치), ApproveRejectBar(승인/부분반려/전체반려+코멘트), DispatchKanban(드래그 배차), StandbyCallModal, SettleTimerBadge(T0+1h 카운트다운).

[웹/앱 — 호스트 안심 모니터 (호스트 앱 '메시지&청소 현황' 위젯)]

컴포넌트: CleaningStatusWidget(내 숙소 진행/완료), CompletedPhotoGallery(읽기전용 Before/After), CleanTimeStamp(입·퇴실 시각), 재계약 신뢰용 '최근 청소 인증' 카드.

[디자인 시스템] 블루프린트 팔레트 계승(--navy #1d3557 / --mid #457b9d / --powder #a8dadc / --ice #eef5f7), Pretendard, 모바일 우선. 청소사 앱은 고대비·대형 터치·아이콘 병기로 별도 접근성 스킨.

서버 · 보안

무로그인이되 무방비가 아님. 매직링크=청소사별 서명 토큰(짧은 만료+롤링 재발급). 첫 진입 시 기기 핑거프린트 바인딩→이후 같은 폰 무마찰, 타 기기/만료 시 알림톡으로 새 링크 재발급(POST /auth/rebind). 토큰은 코드/배포에 저장 금지, 해시만 DB 보관(기존 블루프린트 '키는 환경변수로만' 원칙 계승).

[권한 — Supabase RLS] 역할 3종 격리: 청소사=자기 cleaning_jobs·job_photos·payout_ledger만 read/write(다른 청소사 배차·정산 불가시), 검수자=검수 큐 전체 read+inspections write, 호스트=자기 listing의 청소 현황 read-only(쓰기 전면 차단). Storage 버킷은 청소사별 폴더 격리+서명URL 단기만료(사진 무단 열람 차단).

[현장 무결성] (1) GPS 지오펜스: 숙소 반경 밖 펀치 거부→원격 허위완료 차단. (2) 카메라 직촬 강제 옵션: 갤러리 첨부 차단으로 '딴 사진' 제출 방지, EXIF 촬영시각·좌표를 서버가 교차검증. (3) 펀치 시각 vs 체크아웃 시각 정합성 이상탐지(체크아웃 전 완료 등 플래그).

[정산 안전] 멱등키(job_id 기준)로 중복정산 원천 차단. 승인 후 1시간 유예 윈도우는 이의·반려 번복 안전장치—이 안에서 취소 시 큐 회수(clawback). 정산 트리거는 Cron 서버측에서만 발화(클라이언트가 정산 못 일으킴). 모든 정산 이벤트 감사로그(누가 언제 승인→정산).

[데이터·법무] 통신판매중개 면책 법적고지(공통 기반)·개인정보(청소사 연락처·위치·사진) 최소수집·보존기한·동의. 사진은 운영 인증 목적 한정, 게스트 식별정보 노출 금지(청소 사진에 게스트 소지품 마스킹 가이드). 소스코드·Supabase 프로젝트 소유권 무해 이전(공통 기반).

[가용성] PWA 오프라인 큐로 약전계 현장에서도 데이터 유실 없음. 알림톡 실패 시 SMS 폴백. Worker Cron은 내·대표가 꺼놔도 도는 상주 구조(기존 moso-collector 패턴).

동작 프로세스

콘솔에서 청소사 1명 등록→개인 매직링크 1개 자동 발급. 콘솔 배차 보드에서 '내일 OO숙소 11:00 체크아웃' 카드를 청소사에게 드래그 배차(또는 간이 자동배정). → cleaning_jobs(pending) 생성 + 알림톡 ①배정 통지 발송.

[B. 출근·진입] 청소 당일 아침 알림톡 ③출발 리마인드. 청소사가 링크 탭→(첫 진입만 기기바인딩)→바로 '오늘의 배차'. 카드 탭→숙소 출근 브리핑(앱이 출입·공간특징·디테일 주의·비품을 직접 설명). 현장 도착→하단 '청소 시작'→지오펜스 검증 통과→started_at 펀치, status=in_progress(콘솔 칸반 '진행중'으로 실시간 이동, 호스트 안심위젯 '청소 중' 표시).

[C. 청소·인증] 단계별 체크리스트 진행, 사진필수 단계는 Before/After 직촬 업로드(클라 압축→서명URL 직업로드→메타 커밋). 전 단계 완료→'제출'→finished_at 펀치, status=submitted, 검수 큐 적재.

[D. 검수(중간 사람)] 검수자 콘솔 큐에서 Before/After·체크리스트·펀치 메타 확인. 결정: (a)승인→approved_at=T0, settle_due_at=T0+1h, payout_ledger(pending) 적재, 알림톡 ⑤승인+⑧호스트 청소완료. (b)부분반려→해당 구역만 청소사 앱 재오픈+알림톡 ④, 청소사 재촬영→재제출→재검수 루프. (c)전체반려→재청소.

[E. 자동정산(+1h)] Worker Cron */5가 settle_due_at<=now 인 건 처리(멱등): payout_ledger→settled, settlements에 청소비 반영(매출−채널수수료−청소비−운영료=호스트 정산금, 기존 스키마), 알림톡 ⑥정산 확정(청소사)·정산 명세 갱신(호스트). 1시간 안에 이의·반려 번복 시 큐 회수.

[F. 펑크 대응] 배차 청소사가 펑크(미펀치/거절)→콘솔 알림→'펑크 대체 호출'로 가용 청소사에게 알림톡 ⑦→수락 시 재배차, 동선 재정렬.

[G. 미러링] 모든 상태전이는 Supabase Realtime으로 콘솔 배차 보드·호스트 안심 모니터에 즉시 반영—'맡기고 잊는다'를 실시간 화면으로 증명.

백엔드 구조

- oni_profiles: 숙소별 온이 설정. (id, listing_id FK, persona enum['warm_host','pro_manager','local_friend','curator'], primary_langs text[], greeting text, custom_rules text, banned_words text[], working_hours jsonb, automation_level enum['full_auto','review_first','off'], channel_toggles jsonb{airbnb,booking,agoda,yanolja,goodchoice,naver:bool}, policy_vars jsonb{late_checkout,parking,pet,extra_night_discount...}, confidence_threshold numeric, voice_enabled bool, voice_persona_id, updated_by, version int)

- oni_profile_versions: 위 설정의 변경 이력(감사·롤백용 append-only).

- conversations: 통합 대화 헤더. (id, listing_id, channel enum['airbnb','booking','agoda','yanolja','goodchoice','naver','voice'], external_thread_id, guest_name, guest_lang, reservation_id FK, status enum['open','auto_resolved','escalated','closed'], sentiment, started_at, last_msg_at)

- messages: 대화 턴. (id, conversation_id FK, direction enum['inbound','outbound'], from enum['guest','oni','host'], lang, body text, intent, confidence numeric, kb_citations jsonb, channel_message_id, delivery_status, created_at) — Realtime 구독 대상.

- voice_calls: 통화 레코드. (id, conversation_id FK, twilio_call_sid, from_number, to_did(070), lang_detected, duration_sec, recording_r2_key, transcript_id FK, summary, resolved bool, escalated bool, cost_estimate numeric)

- voice_transcripts: STT 전사 세그먼트(speaker, start_ms, end_ms, text, lang).

- escalations: 호스트 승인 대기열. (id, conversation_id, reason enum['low_confidence','banned_intent','money','complaint','unresolved_call','pet_policy'], proposed_reply text, status enum['pending','approved','edited','rejected'], host_reply text, resolved_at)

- knowledge_docs: RAG 3계층 지식. (id, scope enum['listing','region','global'], listing_id NULLABLE, region, lang, title, body, embedding vector(1536), source, confidence, hit_count) — pgvector 인덱스(ivfflat/hnsw).

- oni_learning_events: 학습 누적. (id, conversation_id, event_type enum['host_correction','new_faq','intent_pattern','curation'], lang, before, after, applied_to_kb_doc_id)

- oni_metrics_daily: 언어·숙소·채널별 일집계(convos, auto_rate, esc_rate, avg_confidence, p50/p90 응답시간) — 브레인 KPI 소스.

[API 엔드포인트 — Cloudflare Worker(서버측 자율 엔진)]

- POST /voice/incoming (Twilio webhook): 인바운드 070 콜 수신, TwiML로 Media Stream 시작.

- WSS /voice/stream: Twilio Media Streams ↔ OpenAI Realtime 오디오 릴레이(WebSocket, μ-law↔PCM 변환, 턴 감지).

- POST /voice/status (Twilio status callback): 통화 종료 시 녹취 fetch→R2 저장→STT→요약 파이프라인 큐잉.

- POST /webhooks/hostaway, POST /webhooks/onda: 6채널 게스트 메시지 인바운드 수신(서명검증).

- POST /oni/reply: 코어 응답 엔진(의도분류→RAG→생성→채점→분기). 음성·텍스트 공용 내부 호출.

- POST /channels/:platform/send: 채널매니저 경유 게스트 회신 발송(재시도·idempotency-key).

- GET/PUT /oni/profile/:listingId: 호스트 설정 조회·저장(버전 증가).

- GET /oni/inbox, POST /oni/escalation/:id/{approve,edit,reject}: 통합 인박스·승인 처리.

- POST /kb/search, POST /kb/upsert: RAG 검색·지식 갱신.

- GET /oni/metrics: 브레인 KPI·언어별 표·학습피드.

[서비스/잡 — 큐·크론]

- realtime-bridge(상주 WS): 통화 오디오 양방향 브리지.

- inbox-normalizer: 6채널 페이로드→messages 정규화·중복제거.

- reply-orchestrator: 의도분류·RAG·생성·채점·분기.

- escalation-router: 임계값·금지의도 판정→대기열·호스트 알림(SMS/푸시).

- learning-ingestor: host_correction→KB upsert·few-shot 갱신.

- call-postprocess: 녹취→STT→요약→감정→해결여부.

- metrics-rollup(크론): oni_metrics_daily 집계.

- embeddings-worker: knowledge_docs 임베딩 생성·재인덱싱.

프론트엔드 구조

1) 온이 브레인 (다국어 딥러닝 센터, 이미 목업 존재 → 실데이터 연동): KPI 4종(학습 대화·자동응대율·언어 커버리지·에스컬레이션) + 언어별 학습 현황 테이블(KO·EN·JA·ZH·FR·ES, 대화수·자동응대율 pill) + 학습 루프 4단계 + 지식베이스 3카드(숙소별/지역별/글로벌) + 최근 학습 실시간 피드.

2) 통합 인박스(신규): 좌측 대화 리스트(채널 컬러닷·언어·미해결 뱃지), 우측 대화 스레드(게스트/온이/호스트 말풍선·confidence·KB 인용·의도 태그). 채널·언어·상태 필터. '온이 자동응대 중…' 라이브 표시.

3) 호스트 승인 큐(신규): 에스컬레이션 카드 리스트 — 사유 뱃지(저신뢰/금액/컴플레인/반려동물/미해결통화)·온이 제안답변·[승인][수정 후 발송][반려]. 수정 발송분은 학습 라벨로 표시.

4) 통화 모니터(신규): 진행중 통화 라이브(언어·경과시간·실시간 전사 스트림) + 종료 통화 타임라인(녹취 재생·요약·감정·해결여부·에스컬레이션 여부).

5) 숙소 상세 → 온이 패널(이미 존재): 채널별 게스트 대화 실시간 + ⚙ '온이 설정' 진입.

[컴포넌트]

- OniConfigModal(이미 존재, 확장): 페르소나 토글(4종)·우선언어 멀티토글·인사말·전용규칙/FAQ 텍스트에어리어 + 신규: 금지어 칩, 근무시간 피커, 자동화 레벨(전자동/검토우선/끔), 채널별 토글 6종, 정책변수 슬라이더, 음성 on/off·음성 페르소나, confidence 임계 슬라이더, 버전 히스토리.

- ChatThread: 다국어 말풍선(온이=좌상단 '온이', 게스트='이름·언어'), confidence 미터·KB 인용 칩·의도 태그.

- EscalationCard, VoiceCallCard, LangLearningTable, KbCard, LiveTranscriptStream.

- OniToast(이미 존재): 숙소 리스트에서 신규 게스트 메시지 알림 팝업→클릭 시 해당 숙소 상세.

서버 · 보안

- 음성·메시지 처리 전부 서버측 Worker에서 자율 동작(브라우저 의존 0). 070 콜과 6채널 웹훅이 들어오면 콘솔이 꺼져 있어도 온이가 응대.

- realtime-bridge는 Durable Object(또는 상주 WS Worker)로 통화별 세션 상태·턴 컨텍스트 유지. 통화 최대시간·통화당 비용 상한 가드로 폭주 차단.

[인증·키]

- OpenAI Realtime/STT, Twilio, 채널매니저 토큰은 전부 Worker Secrets(평문 코드·배포 금지). 대표(무해) 계정 충전키는 환경변수로만 주입.

- 모든 인바운드 웹훅(Twilio·Hostaway·온다) 서명/HMAC 검증 필수. Twilio는 X-Twilio-Signature, 채널매니저는 공유시크릿. 미검증 요청 403.

- 발신(게스트 회신·SMS)은 idempotency-key로 중복발송 차단, 재시도는 지수 백오프.

[RLS·권한 (Supabase)]

- 멀티테넌트 RLS: 호스트는 본인 listing_id에 연결된 conversations/messages/voice_calls/oni_profiles/escalations만 조회. MOSO 운영자(무해)는 전체. 정책은 listing→host 소유 매핑 기준.

- oni_profiles 저장은 소유 호스트 또는 운영자만, 변경은 oni_profile_versions에 append(롤백·감사).

- voice_transcripts·recording은 민감정보 → 서명 URL(만료)로만 접근, R2 비공개 버킷.

[안전 가드레일·법적]

- 자동 발송 금지군: 금액 확약·환불 실행·법적 단정·개인정보(타 게스트 정보·정확 주소 사전노출 등). 해당 의도 감지 시 무조건 escalations로(자동 발송 차단).

- banned_words·금지의도 필터를 생성 후단에 한 번 더 적용(프롬프트 우회 방지).

- 통신판매중개 면책 고지를 정책성 답변에 자동 삽입.

- PII 마스킹: 전사·로그에서 전화번호·예약자명 마스킹 저장 옵션. 데이터 보존기간·삭제(소유권 이전 대비) 정책.

- 동시성: 같은 스레드 중복응답 방지 락(대화 단위), Realtime 낙관적 갱신.

- 관측성: 통화·메시지·에스컬레이션·비용 메트릭 로깅, 실패 알림.

동작 프로세스

1) 외국인/내국인 게스트가 숙소 안내문의 070 번호로 전화 → 2) Twilio가 /voice/incoming 웹훅 호출 → 3) Worker가 TwiML로 Media Stream 개시, WSS /voice/stream 연결 → 4) realtime-bridge가 Twilio 오디오(μ-law)↔OpenAI Realtime(PCM) 양방향 릴레이, 첫 발화에서 언어 자동감지 → 5) 해당 to_did(070)로 숙소·예약·oni_profile·KB 컨텍스트 주입(페르소나·말투·규칙) → 6) 온이가 게스트 언어로 음성 응대(바지인·턴테이킹 처리), 필요 시 function-call로 예약조회/캘린더 빈자리/대체숙소 → 7) 통화 종료 → /voice/status로 녹취 R2 저장→STT 전사→다국어 요약·감정·해결여부 라벨 → 8) 미해결/금액·컴플레인이면 호스트에 SMS·푸시 에스컬레이션, 콘솔 통화 타임라인에 카드 표시.

[텍스트 메시지 흐름]

1) 게스트가 에어비앤비 등 6채널에서 메시지 전송 → 2) 채널매니저(Hostaway/온다) 웹훅이 /webhooks/*로 전달 → 3) 서명검증→inbox-normalizer가 messages로 정규화(스레드 매핑·중복제거) → 4) reply-orchestrator: 언어감지→의도분류→RAG(숙소별·지역별·글로벌 KB 검색·근거인용)→호스트 페르소나/말투로 응답 생성→confidence 채점 → 5) 분기: confidence≥임계 & 금지의도 아님 → /channels/:platform/send로 자동 회신(idempotency·재시도); 임계 미만 또는 금지의도(금액/환불/컴플레인/반려동물 등) → escalations 대기열 + 호스트 알림 → 6) 호스트가 승인/수정/반려 → 수정분은 learning-ingestor가 KB·few-shot에 누적 → 7) Realtime으로 콘솔 인박스·브레인 KPI 실시간 갱신.

[설정 반영 흐름]

호스트가 ⚙ 온이 설정에서 페르소나·말투·규칙·금지어·자동화레벨·채널토글·정책변수·음성 on/off 변경·저장 → oni_profiles 버전 증가 + oni_profile_versions 기록 → 다음 통화·메시지부터 음성/텍스트 양 채널에 즉시 반영.

[더블부킹 연동 흐름]

모듈③ 동기화 엔진이 멀티-OTA 겹침 탐지 이벤트 발행 → 온이가 선예약 보호 통지·나중 예약 환불 안내·다국어 사과·인근 동급 대체숙소 2곳 제안 메시지를 해당 채널로 자동 발송(단, 환불 실행 자체는 호스트/운영 승인).

[학습 누적 흐름]

모든 대화·통화가 학습데이터로 저장→confidence·해결여부 라벨→호스트 수정이 다음 라벨→숙소별/지역별 KB 자동 보강→언어별 자동응대율 상승(콘솔 브레인에 누적 표시). 모델 가중치 재학습이 아닌 RAG·few-shot·프롬프트 정책의 지속 개선임을 명시.

백엔드 구조

· listings_pricing — 매물별 프라이싱 메타. PK id. cols: name, dong, region, base_price, guest_fav(bool), superhost(bool), pricing_mode(enum: auto/semi/manual), default_min_nights, cost_cleaning, cost_variable, commission_rate, beds24_room_id, onda_room_id, active(bool), updated_at. (1,116행+증가)

· occupancy_snapshots — 보정점유 시계열. cols: listing_id(fk), snapshot_ts, occ_corr(보정점유%), occ_n(bookable일수), occ_raw, dong_bench, source(headless/beds24/manual), calendar_jsonb(refineSnapshotCalendar 라벨링 결과). 인덱스 (listing_id, snapshot_ts desc).

· price_decisions — decideV2 결정 1건마다 영속. cols: id, listing_id(fk), decided_at, dday, dow, nights(los), price, min_nights, channels(jsonb array), phase, signal, pressure(P), pace_target, occ_pct, target_pct, floor, undercut_flag, floored_hit, clearing_price, book_prob, reason(텍스트), trace_jsonb(신호별 가격기여 attribution). 인덱스 (listing_id, decided_at desc).

· price_events — 가격변동 이벤트(diff). cols: id, listing_id(fk), date_target, range_label, price_from, price_to, pct_change, source(engine/competitor/manual), event_type(raise/cut/hold), created_at. 동적가 학습연료·변동로그.

· sold_events — 실예약/거래 sold-event(학습연료). cols: id, listing_id(fk nullable), region, dong, date_target, dday(lead-time), per_night, nights, channel, success(bool), real(bool), synthetic(bool), source(beds24/hostaway/headless_diff), booked_at, ingested_at. UNIQUE(source, external_id)로 멱등.

· learning_cells — 4D버킷 504셀 EWMA 영속(Map→DB). PK bucket_key(region|Dband|LOS|priceBand). cols: clear_price, seen, beta_a(기본2), beta_b(기본2), version(낙관적락), updated_at. upsert + version 충돌 머지.

· band_state — 동(洞)별 시장밴드 EWMA 누적. PK dong. cols: p25, p50, p75, p50_prev, momentum, alpha, updated_at.

· pace_anchors / dong_bench / dow_index — 캘리브레이션 상수 테이블(코드 하드코딩→DB화로 재학습시 핫스왑). 버전·effective_from.

· rate_push_log — 채널매니저 송출 트랜잭션. cols: id, listing_id(fk), pushed_at, channel_manager(onda/beds24), payload_jsonb(ARI), status(queued/sent/confirmed/failed), idempotency_key(unique), retry_count, pickup_checked_at, pickup_result(jsonb), error. 멱등·재시도·pickup검증.

· approval_queue — semi/manual 승인 대기. cols: id, listing_id, decision_id(fk), proposed_price, current_price, pct_change, reason, revenue_impact_est, status(pending/approved/rejected/expired), approved_by, decided_at. RLS: 운영자·대표만.

· guardrail_config / circuit_breaker_state — 가드 임계(매물·동·전역 ±%·일일 최대변동·송출 throttle)와 발동상태(동결 플래그·트리거 사유·해제자).

· pricing_experiments — A/B·백테스트. cols: experiment_id, variant(A/B 엔진버전), listing_ids(jsonb), metric(revpar/occ/adr), result_jsonb, started_at, ended_at.

[API 엔드포인트 — Worker + Supabase Edge Functions]

· GET /recommendations — 서버엔진 산출 매물별 권장가 SSOT(현존). {ts, count, learned, listings:[{id,name,dong,occ,base,rec,signal,minNights,channels,reason}]}

· GET /occupancy — realocc 실점유(panelOcc·dongOcc·매물별). (현존)

· GET /ledger — 시장 거래원장(total·gmv·recent 60·byDong). (현존)

· GET /learn — 학습모델(buckets EWMA·accuracy·MAE·real/synthetic·source). (현존)

· POST /ingest — 헤드리스 점유·sold-event 푸시 수신(INGEST_TOKEN 가드). (현존)

· POST /decide — 단건 즉시 결정(매물·context)→decideV2 출력. (신규)

· POST /push — 채널매니저 실송출 오케스트레이션(매물·날짜대 큐·드라이런 플래그). (신규)

· POST /push/verify — N시간 후 pickup 재조회→sold-event 환류. (신규)

· POST /learn/ingest — Beds24/Hostaway/온다 실예약→sold_events→learnFromEvents. (신규)

· GET /predict — predictClearing(region·dday·los)→{clearPrice,bookProb,seen,conf}. (신규)

· POST /approve, /reject — 승인 큐 액션. (신규)

· POST /circuit/halt, /circuit/resume — kill-switch. (신규)

· GET /backtest, POST /experiment — 백테스트·A/B 트리거. (신규)

[서비스 모듈 — engine_core.mjs 무의존 코어 재사용]

· decideV2(listing, context) — 통합 결정(price·minNights·channels·reason·phase·signal·pressure·paceTarget·occPct·band·targetPct·floor·undercutFlag·flooredHit·clearing·los). 기존 함수 그대로 코어, DB I/O는 어댑터 래핑.

· learnFromEvents(soldEvents) / predictClearing(region,dday,los) — 폐루프(DB영속 래핑).

· refineSnapshotCalendar / occCorr / sellSignal / weekendTightness / paceTarget / dowFactor / interpBand / targetPercentile / priceFloor / phaseFor / regionFromDong — 보조 순수함수.

· ChannelManagerAdapter(onda|beds24) — 인증·ARI빌더·송출·재시도·멱등.

· GuardrailService — 클램프·throttle·서킷브레이커.

· LearningStore — Supabase 셀 upsert/조회 + KV 캐시 write-behind.

프론트엔드 구조

· /admin/pricing — 가격 엔진 메인(현존 'v-pricing'). 상단 60일 D-day 곡선차트(권장가 실선·플로어 점선·P1~P4 단계 배경밴드·신호점 빨강/초록), 하단 D-day 결정테이블(D-60/45/30/21/14/7/3/1행 × 단계·시그널·최소박·채널수·권장가·플로어).

· /admin/pricing/terminal/:id — 매물별 트레이딩 터미널. KPI 헤더(엔진 권장가·시장가 대비%·점유·신호), 채널별 다이내믹 가격·매출 패널(6채널 호가·▲상향/▼하향/―유지·매출=가격×점유×비중), 캘린더 히트맵(날짜별 권장가·예약상태·고아갭), 가격변동 로그피드, decideV2 reason 문자열 전개(점유·페이스·요일·압력·밴드분위·완판신호·LOS·언더컷·학습블렌드 한 줄씩).

· /admin/pricing/ratepush — 가격 송출 콘솔(현존 'ratepush'). ARI 경로 시각화(MOSO엔진→채널매니저→6채널 cascade), 채널별 송출상태 칩(대기→송출중→✓반영됨), 실 ARI 페이로드 프리뷰(Beds24 calendar/온다 ARI JSON), '지금 송출(시뮬/라이브)' 버튼·드라이런 토글.

· /admin/pricing/approvals — 승인 큐. 카드 리스트(매물·현재가→권장가·변동률·근거·예상매출영향·신호배지), 1클릭 승인/반려·일괄선택, 모드 필터(semi/manual), audit 타임라인.

· /admin/pricing/learning — 학습·실험 대시. buckets EWMA 바차트(D-band별 클리어링가·n수), accuracy/MAE 추이라인, 504셀 히트맵(seen·conf), A/B 실험 결과·드리프트 알람.

· /admin/pricing/guardrails — 가드 설정. 매물/동/전역 ±% 슬라이더·일일 최대변동·송출 throttle·서킷브레이커 상태등(정상/동결)·kill-switch 토글.

[컴포넌트]

· <DDayCurveChart> — SVG 60일 곡선(xs: D60→D0, 단계배경·플로어/권장가 라인·신호점). 기존 priceChart() 승격.

· <DecisionTable> — D-day 결정 테이블(pill: 단계/시그널 색상). 기존 priceTable() 승격.

· <ChannelQuoteBoard> — 6채널 호가·방향·매출 카드. 기존 채널패널 승격.

· <ReasonTrace> — decideV2 reason 파서→신호별 기여 칩(점유 X%·페이스 ±Ypp·요일×Z·압력→signal·밴드 N분위·완판 RAISE·LOS −15%·언더컷·학습 N건).

· <AriPayloadViewer> — 송출 페이로드 신택스 하이라이트(채널매니저별 포맷 토글).

· <ChannelCascade> — 송출상태 애니메이션(엔진→매니저→채널 순차 ✓).

· <ApprovalCard> / <ApprovalQueue> — 승인 카드·일괄액션.

· <BucketHeatmap> — 504셀 학습 히트맵(seen 농도·conf 테두리).

· <GuardrailPanel> — 임계 슬라이더·서킷 상태등.

· <PriceEventFeed> — 실시간 가격변동 로그(Supabase Realtime 구독).

· <BacktestRunner> / <ABResultChart> — 백테스트·실험 결과.

서버 · 보안

· 2-tier: ①Cloudflare Worker(scheduled cron */5~매시 + fetch 엔드포인트) = 항상 켜진 자율 엔진·SSOT 서빙. ②Supabase(Postgres+Realtime+Auth+RLS+Edge Functions) = 영속·동시성·구독·무거운 학습연산. Worker는 핫패스(decideV2 계산·KV 캐시), Supabase는 콜드패스(영속·집계·백테스트).

· 데이터 흐름: 노트북 헤드리스 추적기(playwright 병렬 P=4)→POST /ingest(점유·sold-event diff)→KV realocc/ledger→cron engineTick: realocc→decideV2(매물별)→±40% 가드→recommendations KV(SSOT)→송출 오케스트레이터→온다/Beds24 ARI→6채널→N시간 후 pickup 재조회→sold_events 환류→learnFromEvents→learning_cells 영속→다음 사이클 정밀화.

[인증·권한 — RLS]

· Supabase Auth: 역할 4종 — owner(대표 송현우/명훈, 전권+가드설정+kill-switch), operator(운영자, 승인/오버라이드/송출), viewer(읽기), service(Worker 서비스롤, cron 쓰기).

· RLS 정책: listings_pricing·price_decisions·sold_events는 service_role 풀액세스, operator/viewer는 SELECT만. approval_queue 승인은 operator+owner만 UPDATE. guardrail_config·circuit_breaker_state는 owner만 UPDATE(가격발작 방지 — 운영자도 가드는 못 푼다). rate_push_log는 service INSERT, 나머지 SELECT.

· 멀티테넌시 대비: org_id 컬럼 + RLS로 무해 외 다른 클라 확장시 격리(소유권 이전 후 클라가 자기 데이터만).

[보안 처리]

· 키 관리: BEDS24_REFRESH_TOKEN·ONDA_API_KEY·HOSTAWAY_API_KEY·INGEST_TOKEN 전부 Worker Secrets/Supabase Vault만(코드·배포 평문 절대 금지, beds24.js 주석에 명시된 원칙 준수). 토큰은 서버측에서만 access token 교환, 프론트 노출 0.

· /ingest는 INGEST_TOKEN 가드(403), 송출/승인/서킷 엔드포인트는 Supabase JWT 검증. CORS는 관리자 도메인 화이트리스트(현재 '*'는 읽기전용 SSOT만, 쓰기는 토큰필수).

· 멱등성: rate_push_log.idempotency_key UNIQUE로 중복송출 차단(네트워크 재시도시 이중가격 방지). sold_events UNIQUE(source,external_id)로 학습 이중집계 방지.

· 가격 무결성 불변식(코드강제): ①Price Floor — 어떤 경로로도 (청소비/최소박+가변비)/(1-수수료) 미만 송출 불가. ②단일사이클 ±40% 클램프. ③일일 누적변동 상한. ④서킷브레이커 — 가격발작(다수 매물 동시 급변·송출실패율 급등) 감지시 전체 동결, owner만 해제.

· 감사성: 모든 결정(price_decisions.trace)·송출(rate_push_log)·승인(approval audit)·가드변경 로깅. 비결정성 0(decideV2 순수함수·결정론) → 사후 재현·분쟁대응 가능.

· 법적: 통신판매중개 면책 고지(가격은 자동산출 권장가, 최종 판매는 호스트/플랫폼 책임), 가격 산정 로직 영업비밀 보호.

동작 프로세스

수집(Ingest): 노트북 헤드리스 추적기가 1,116매물 × 5날짜대(D14·D30·D45·D60·D90)를 병렬 P=4로 StaysPdpSections 견적 가로채 가격커브·캘린더 수집(매물당 ~10초, 1대 15분당 ~90매물). 직전 스냅샷과 diff → 가격변동 이벤트 + 가용→마감 뒤집힌 날짜 = sold-event 프록시. POST /ingest로 KV realocc/ledger 누적.

[2] 점유 해석(Occupancy): refineSnapshotCalendar가 unavailable 연속런으로 CLOSED(≥21박 캘린더닫힘)·AMBIG(8~20 오너블록)·STAY(1~7 실예약)·OPEN 라벨링 → 캘린더닫힘/블록 분모제외 보정점유 occ_corr = STAY/(STAY+OPEN). 단일캘린더 노이즈는 동벤치 prior로 shrinkage(K=14): occPct=(n·occ_corr+14·bench)/(n+14).

[3] 신호 융합(Signal): paceTarget(D)=실측앵커 선형보간(D0:58%~D90:13%, 데드존 D18). 압력 P = 0.50·occZ + 0.35·paceZ + 0.15·dowZ (+demandSurge 0.30), clamp[-1,+1]. P≤-0.33=risk·≥+0.33=good. 주말(금·토)이면 sellSignal(weekendTightness≥0.80→RAISE) 강제오버라이드.

[4] 가격 산출(Decide): phaseFor(D)로 단계·기본 최소박·채널(P1 5박 에어비앤비만 → P4 1박 6채널). risk면 다음단계 박수/채널 조기개방, good+P1이면 5박고정, orphanGap이면 1박강제+booking개방. targetPercentile(점유압·guestFav+12·superhost-8·momentum·페이스갭)→interpBand(동밴드 p25~p75)→ ×seasonFactor×dowFactor×(1+0.18·P) → LOS −15%·라스트미닛 −25% 레이어 → 경쟁밴드 클램프(ratio>1.15만 p75상단) → 언더컷 매칭(순이익 하한 사수).

[5] 학습 블렌드(Learn-blend): predictClearing(region·dday·los)이 504셀 EWMA를 부모 prior로 shrink(est=(n·cell+8·prior)/(n+8))한 클리어링가·bookProb 반환. seen>0이면 price=(1-conf)·price+conf·clearPrice (conf=min(1,seen/20)).

[6] 가드(Guard): Price Floor 적용(미만이면 올림) → 천원 라운딩 → 단일사이클 ±40% 클램프(자사기준가) → 일일 누적변동 체크 → 서킷브레이커 정상확인. reason 문자열·trace attribution 생성. price_decisions 영속.

[7] 송출(Push): pricing_mode 분기 — full-auto면 바로 큐, semi-auto면 임계초과만 approval_queue, manual이면 전건 대기. 승인된 결정 → 송출 오케스트레이터가 매물×날짜대 평탄화·동시성 풀로 온다/Beds24 ARI 빌드 → setPrices(roomId, calendar[{from,to,price1,minStay,numAvail}]) 1건 푸시로 6채널 동시반영 → rate_push_log(멱등키·status). 부분실패 격리·지수백오프 재시도.

[8] 검증·환류(Verify-loop): N시간 후 POST /push/verify가 잔여 재조회 → 실제 pickup(예약 들어왔나) 확인 → success/fail을 sold_events로 환류 → learnFromEvents가 셀 clearPrice EWMA·bookProb 베타-베르누이 갱신 → learning_cells 영속(version 낙관적락) → KV 캐시 무효화 → 다음 cron 사이클이 더 정밀한 클리어링가로 결정. = 완전 폐루프.

[9] 자율·감시(Autonomy): Worker cron */5가 사람·브라우저 없이 [2]~[7] 전 사이클 무한반복, recommendations SSOT 갱신. 트레이딩 터미널·승인큐·학습대시는 Supabase Realtime 구독으로 실시간 반영. 드리프트(정확도 하락)·서킷브레이커 발동시 슬랙/이메일 알림 → owner 개입. 주간 RevPAR·점유·완판률 리포트 자동집계.

백엔드 구조

• device_registry — 장치 마스터. id, property_id(FK 숙소), kind('cctv'|'doorlock'|'kiosk'), vendor('solity'|'onvif'|...), model, serial, edge_id(FK), capabilities(jsonb: ptz/audio/temp_key 등), status('online'|'offline'|'degraded'), last_seen_at, firmware, install_meta(jsonb)

• edge_node — 현장 엣지 박스. id, property_id, tunnel_id, public_key(WireGuard), agent_version, health(jsonb: cpu/mem/disk/uplink), last_beacon_at, ota_channel

• camera_stream — 카메라 스트림 구성. device_id, rtsp_url(암호화), webrtc_session, hls_path, resolution, fps, ptz_supported, record_policy('24x7'|'motion'), retention_days

• recording_clip — 녹화 인덱스. id, device_id, r2_key, started_at, ended_at, duration, trigger('schedule'|'motion'|'ai'), thumbnail_key, expires_at

• motion_event — 모션/AI 이벤트. id, device_id, ts, zone, kind('motion'|'person'|'abnormal_entry'|'post_checkout_occupancy'), confidence, clip_id(FK), acknowledged_by

• doorlock_credential — 도어락 임시키. id, device_id, reservation_id(FK), pin(암호화), valid_from, valid_until, state('pending'|'active'|'revoked'|'expired'), issued_by, fallback_pin

• doorlock_event — 개폐 로그. id, device_id, ts, action('unlock'|'lock'|'denied'|'tamper'), credential_id(FK), source('pin'|'card'|'remote'|'manual')

• kiosk_session — 키오스크 세션. id, kiosk_device_id, reservation_id, step('lookup'|'verify'|'agree'|'assign'|'pay'|'issue'|'done'), guest_verify_method, locale, started_at, completed_at

• payment_txn — 결제 트랜잭션. id, kiosk_session_id, reservation_id, pg('kicc'|'nice'|'kis'|'portone'), method('card_ic'|'card_msr'|'easy'), amount, kind('balance'|'deposit'|'onsite'), pg_tid, status('approved'|'captured'|'cancelled'|'partial_cancel'), idempotency_key, receipt_url, cash_receipt_no

• device_command — 명령 큐. id, device_id, type('ptz'|'snapshot'|'issue_pin'|'revoke_pin'|'reboot'|'payment_approve'|'payment_cancel'), payload(jsonb), status('queued'|'sent'|'acked'|'failed'), issued_by, acked_at

• device_audit_log — 전 장치 감사로그(불변). actor, device_id, action, before/after(jsonb), ip, ts

[Cloudflare Worker — 서버측 컨트롤 플레인]

• /hw/ingest — 엣지 비콘·이벤트·로그 수신(WSS), 멱등 처리, Supabase Realtime 브로드캐스트

• /hw/command — 콘솔/온이 명령 → device_command 큐잉 → 엣지로 푸시(WSS), ack 대기·타임아웃 재시도

• /hw/stream/signal — WebRTC 시그널링(SDP/ICE), STUN/TURN 발급, 단기 토큰서명

• /doorlock/issue · /doorlock/revoke — 예약 라이프사이클 훅(체크인 전 발급·체크아웃 폐기), 온이 메시지 디스패치 트리거

• /kiosk/lookup · /kiosk/verify · /kiosk/issue — 키오스크 단계별 검증

• /pay/approve · /pay/capture · /pay/cancel · /pay/webhook — PG 승인/매입/취소·웹훅 대사(서명검증), 멱등키 보장

• /ai/vision-hook — 모션·AI 이벤트 → 온이 의사결정 엔진(decideV2 계열)으로 라우팅 → 호스트 푸시

[서비스 레이어]

• HAL Driver 인터페이스(IDeviceDriver) — SolityDriver / OnvifCameraDriver / KioskPayDriver 구현체(확장형)

• ReservationLifecycle 오케스트레이터 — 예약상태(confirmed→checkin→checkout)와 도어락·키오스크·결제 동기화

• MediaGateway — go2rtc 제어, HLS 세그먼트 R2 라우팅, TURN 관리

• PaymentService — PG 추상화, 멱등·대사·정산

• OniHardwareAgent — 온이가 장치 이벤트를 읽고 행동(비번발송·이상알림·심야문의 응대) 하는 어댑터

프론트엔드 구조

• 페이지: HardwareOverview(전 숙소 장치 상태 히트맵 — 온라인/오프라인/저하), CCTVWall, DoorlockBoard, KioskMonitor, DeviceLogs

• 컴포넌트:

– CameraGrid (1/4/9/16 분할 토글), LiveTile(WebRTC 우선·HLS 폴백, 지연표시 배지), PtzPad(상하좌우·줌·프리셋), SnapshotButton, CameraHealthChip

– EventTimeline(모션·출입·결제 통합 타임라인, 필터·재생점프), ClipPlayer(HLS 녹화 스크러버)

– DoorlockCard(숙소별 현재 비번·유효시간·개폐로그), PinLifecycleStepper(생성→발급→발송→폐기 시각화), ForceRevokeButton

– KioskStatusCard(단말 온라인·현재 세션 단계·오늘 셀프체크인 수), PaymentLedgerTable(승인·취소·정산)

– EdgeNodePanel(엣지 박스 헬스: CPU/디스크/업링크, OTA 버튼)

[호스트앱 — 모바일(네이티브 맥앱/PWA) 하드웨어 탭]

• 페이지: 내 숙소 CCTV(스와이프 카메라 전환·풀스크린 핀치줌), 도어락(현재 비번·'재발송'·'임시 1회용 비번' 버튼), 출입로그, 키오스크 알림

• 컴포넌트: MobileCameraViewer, DoorlockQuickCard, PushAlertSheet(이상출입·카메라다운·결제실패), OneTapResend

[무인 키오스크 — 풀스크린 PWA (키오스크 모드, 별도 테마: 대형 터치·고대비)]

• 화면 플로우 컴포넌트: KioskAttract(대기 슬라이드), ReservationLookup, GuestVerify(QR스캐너·텍스트패드), AgreementScreen(약관·통신판매중개 면책), RoomAssign, PaymentScreen(카드 삽입 안내·진행링), PinIssueScreen(대형 비번+QR), ReceiptScreen(인쇄·이메일·완료)

• 공통: LocaleSwitcher(6개국어), IdleTimeout(세션 자동복귀), AccessibilityControls(글자크기·음성안내), AttendantCallButton(직원호출)

서버 · 보안

현장 인바운드 포트 개방 0. 엣지는 WireGuard 또는 Cloudflare Tunnel로 아웃바운드만 수립 → 클라우드가 역방향으로 명령 푸시. RTSP 자격증명·도어락 시드는 평문 미저장(Supabase Vault/KMS 암호화, at-rest AES-256).

[인증/인가] Supabase Auth(호스트·운영자·직원 역할). RLS로 property_id 기반 행수준 격리 — 호스트는 본인 숙소 장치만, 직원은 배정 숙소만 조회. 키오스크 단말은 디바이스 전용 단기 토큰(만료·회전), 사람 세션과 분리.

[명령 무결성] 모든 device_command는 서명(HMAC)·멱등키·만료. 비번 발급/폐기·결제 승인/취소 등 고위험 명령은 audit_log 불변 기록(actor·ip·before/after) + 이중확인(콘솔 강제폐기 시 확인 모달).

[영상 프라이버시] 스트림은 단기 서명 URL(TURN 토큰 60초), 직접 RTSP 노출 0. 녹화 R2는 비공개 버킷+서명 URL, 보관기간 자동만료. 객실 내부 카메라 금지 정책 명문화(공용부만), 화면에 녹화중 고지.

[결제 보안] 카드 PAN 비저장(PG 토큰화·VAN 단말 처리), PCI 범위 최소화. 결제 승인/취소는 서버 단독 호출+웹훅 서명검증+멱등키로 이중과금 차단. 보증금 예치/해제 별도 추적.

[도어락 안전장치] 도어락 오프라인 시 백업 비번 폴백, 비번 회전 실패 알림, tamper 이벤트 즉시 호스트 푸시. 체크아웃 후 비번 자동폐기 보장(스케줄러 + 재확인).

[법적] 영상정보처리기기 운영·관리방침 및 안내판 고지, 개인영상정보 보관·파기 절차, 통신판매중개자 면책 고지(키오스크 약관화면 포함), 데이터·소스·Supabase 소유권 클라 이전.

[가용성] 엣지 헬스비콘 미수신 시 콘솔 경보, OTA 롤백, 오프라인 명령 큐잉 후 복구 시 재생.

동작 프로세스

카메라(RTSP/ONVIF) → 엣지 go2rtc 수렴 → 24/7 녹화는 로컬SD+R2 업로드(recording_clip 인덱싱), 라이브는 콘솔/호스트앱 요청 시 Worker 시그널링으로 WebRTC P2P(서브초) 연결, 다접속·재생은 HLS. 모션 감지 → motion_event 생성 → 온이 vision-hook 판정(예: 체크아웃 후 인원) → 이상 시 호스트앱 푸시 + 타임라인 기록.

[흐름B · 도어락 비번 자동] 예약 confirmed → ReservationLifecycle가 체크인 전 임시 PIN 생성 → /doorlock/issue → 엣지 → 솔리티 게이트웨이 → 도어락에 시간제한 게스트키 등록(valid_from~until) → 온이가 6개국어로 '비번+사용영상' 고객 발송(실패 시 재시도) → 투숙 중 개폐 이벤트 수집 → 체크아웃 시각 도달 → 자동 폐기/회전(스케줄러). 도어락 오프라인이면 백업 비번 폴백+호스트 알림.

[흐름C · 무인 키오스크 셀프체크인] 게스트가 키오스크(또는 호텔주 모바일)에서 예약조회 → 신원확인(QR/예약번호/전화) → 약관·면책 동의 → 객실 배정 → 결제(잔금·보증금: 카드리더 IC/MSR → PaymentService → PG 승인 → payment_txn approved) → 결제 성공 시 도어락 비번 자동 발급(흐름B 연결) → 비번+QR 화면 표시 → 영수증(인쇄/이메일) → 세션 종료·대기화면 복귀. 무인텔(시간제) 모드는 객실선택·시간단위 결제로 분기.

[흐름D · 온이 자율 운영 루프] 온이가 device_event(영상·출입·결제)를 실시간 구독 → 규칙·LLM 판단 → 행동(비번 재발송·이상출입 호스트 알림·심야 고객문의 응대·결제실패 안내) → 모든 행동 audit_log 기록 → 호스트는 콘솔/앱에서 사후 확인만. 현장 무인·호스트 무개입 자율 운영 완성.

백엔드 구조

· properties(숙소 마스터: id, host_id, name_i18n jsonb, category, brand_tokens jsonb[컬러·로고url·폰트], subdomain, status)

· photo_intakes(사진 인테이크 묶음: id, property_id, files jsonb[], exif jsonb, palette jsonb[추출 색], classify jsonb[대표/객실/주변 라벨], status[uploaded→classified→approved])

· microsites(마이크로사이트: id, property_id, skin_id(1~15), tokens jsonb, copy_i18n jsonb, html_snapshot, published_url, version, published_at)

· skins(스킨 카탈로그: id, name, category, schema jsonb[슬롯 정의], thumbnail, css_vars jsonb)

· content_decks(캐러셀 덱: id, property_id, method_id(104표현법), spine jsonb[7단계 슬라이드], variation_seed, lang)

· slide_renders(렌더 산출: id, deck_id, slide_no, png_url(2160×2700), retina, manifest jsonb)

· media_assets(이미지: id, property_id, kind[generated/cutout/upscaled], src_prompt, seed, lut, url, derived_from)

· blog_posts(블로그/티스토리: id, property_id, channel[naver/tistory], title, body_md, keywords[], cover_url, status[draft→staged→published], cic_run_id)

· publish_queue(발행 큐: id, channel, payload jsonb, scheduled_at, attempts, state[queued→processing→done/failed], error)

· channels(채널 연결: id, property_id, type, handle, token_ref(Vault), status, auto bool)

· content_calendar(캘린더: id, property_id, channel, slot_at, deck_id/post_id, status)

· metrics(성과: id, property_id, channel, post_ref, impressions, reach, saves, ctr, captured_at)

· brand_kits(런치팩: id, property_id, logo_locks jsonb, highlight_covers jsonb[9], bio_i18n, link_in_bio jsonb)

· asset_jobs(잡 큐: id, type[generate/cutout/upscale/render/microsite_build], input jsonb, output jsonb, state, worker, logs)

[API 엔드포인트 — Cloudflare Worker + Supabase Edge Functions]

· POST /intake/upload (presigned R2/Storage 업로드) · POST /intake/{id}/classify(AI 분류) · POST /intake/{id}/palette

· POST /microsite/build(사진→스킨매칭→카피생성) · GET /microsite/{id}/preview · POST /microsite/{id}/publish(서브도메인 발급)

· GET /skins · GET /skins/{id}/schema

· POST /deck/generate(method_id·variation_seed) · POST /deck/{id}/render(Playwright 트리거) · GET /deck/{id}/manifest

· POST /image/generate · POST /image/cutout · POST /image/upscale · POST /image/tonelock

· POST /blog/draft(brand-blog 생성) · POST /blog/{id}/stage(CIC) · GET /blog/{id}/status

· POST /publish(채널·payload·schedule) · GET /publish/queue · POST /publish/{id}/retry · DELETE /publish/{id}

· GET /calendar/{property} · POST /calendar/slot · GET /metrics/{property}?channel= · GET /notify/check(발행임박)

· POST /brandkit/{property}/build · GET/POST /bio/{property}

[서비스/워커 레이어]

· render-worker(Node+Playwright/chromium, 헤드리스 PNG 2160×2700, 폰트 ready 대기, 슬라이드 screenshot, manifest 작성)

· image-worker(Pollinations 생성 → rembg 누끼 → LaMa 로고제거 → upscale → LUT 톤락, 무료 1차/유료 폴백)

· microsite-worker(EXIF·색감 분석 → 15스킨 매칭 점수 → 토큰 자동조정 → i18n 카피 작문 → HTML 스냅샷 빌드 → R2 퍼블리시)

· publish-worker(채널별 어댑터: IG Graph API 캐러셀 컨테이너→publish, 스레드/페북/X API, 네이버·티스토리 CIC 어댑터)

· cic-bridge(Claude-in-Chrome: 사람 로그인 세션 위에서 에디터 입력→임시저장, 발행 버튼은 휴먼 게이트)

· scheduler(cron: 캘린더 슬롯→큐 적재, 발행임박 푸시), metrics-collector(IG Insights·네이버 데이터랩 폴링→누적)

프론트엔드 구조

페이지:

· /studio/intake — 사진 인테이크 큐(드래그업로드·진행률·분류결과 칩)

· /studio/microsite/{property} — Auto-Microsite 빌더(좌:사진 그리드/분류, 중앙:스킨 매칭 미리보기 라이브, 우:토큰·카피 6개국어 탭+재생성/승인)

· /studio/skins — 15스킨 갤러리(썸네일 그리드·카테고리 필터·미리보기 모달)

· /studio/decks — 캐러셀 생성기(표현법 104 선택 드롭다운·variation seed·7단계 슬라이드 미리보기·Render 버튼→PNG 결과)

· /studio/images — 이미지 잡 보드(생성/누끼/업스케일/톤락 탭, 무료·유료 토글, 시드·로그)

· /studio/blog — 블로그·티스토리 초안 에디터(좌:초안 md, 우:스킨 미리보기, CIC '임시저장까지' 버튼)

· /studio/queue — 멀티채널 발행 큐 보드(채널별 칼럼 칸반, 예약시각·재시도·실패격리)

· /studio/calendar — 주간 콘텐츠 캘린더(슬롯 드래그 배치, 채널 색상)

· /studio/metrics — 성과 대시보드(노출·도달·저장·CTR 카드+채널별 추이 차트)

· /studio/brandkit/{property} — 런치팩(로고락·하이라이트 9커버·바이오·12피스 시딩 프리뷰)

핵심 컴포넌트:

· <PhotoIntakeGrid> 분류 라벨 오버레이 · <SkinMatchPreview> 라이브 iframe 렌더 · <TokenEditor> 컬러/폰트/간격 변수 · <I18nCopyTabs> 6개국어 탭 · <DeckSpineEditor> 7단계 슬라이드 카드 · <CarouselPreview> 4:5 스와이프 · <RenderStatus> Playwright 진행 · <ChannelKanban> 큐 칸반 · <MetricCard>·<TrendChart> · <CICRunButton> 휴먼게이트 표시

[퍼블릭 — 숙소 마이크로사이트(생성물)]

· 단일 HTML/CSS 반응형(PC/모바일), Hero·갤러리(라이트박스)·객실·주변·리뷰·예약CTA(OTA 딥링크)·언어 스위처(6개)·OG/JSON-LD·푸터 통신판매중개 면책고지. PWA·SEO 최적화.

서버 · 보안

· Auth: Supabase Auth(이메일+OTP, 운영자/호스트 역할 분리). 운영자(어피어즈·무해온)만 /studio/* 접근.

· RLS: 모든 테이블 row-level. 호스트는 자기 property_id 행만 SELECT(자기 숙소 사이트·성과만). 운영자 role은 전체. publish_queue·asset_jobs·channels는 운영자/서비스롤 전용(호스트 차단). microsites.published 스냅샷만 익명 공개 읽기.

· 토큰 보안: 인스타 Graph/페북/X/네이버·티스토리 자격증명은 평문 금지 → Supabase Vault(또는 CF Secrets)에 token_ref만 보관, 워커가 런타임 주입. 키 로테이션·만료 추적.

· CIC 안전: Claude-in-Chrome은 본인(클라) 로그인 세션 위에서만 동작, ToS 회색지대 회피 위해 '임시저장까지'만 자동·최종 발행은 휴먼 게이트. 봇 행동 레이트리밋·휴먼라이크 딜레이.

· 동시성: publish_queue·asset_jobs는 SELECT … FOR UPDATE SKIP LOCKED 패턴으로 워커 중복처리 방지. 멱등키(idempotency key)로 같은 덱 이중발행 차단.

· 스토리지: 원본 사진/PNG/이미지는 R2(또는 Supabase Storage) presigned URL 업·다운로드, 퍼블릭 버킷엔 퍼블리시 산출물만.

· 저작권·면책: 마이크로사이트·블로그 푸터에 '통신판매중개자 면책' 법적고지 자동 삽입. AI 생성 이미지 시드·프롬프트 로그 보존(분쟁 대비). 외부 이미지 무단 사용 차단(누끼·생성은 자체/무료스택 우선).

· 콘텐츠 가드레일: 발행 전 운영자 승인 게이트(캐러셀·블로그·마이크로사이트 모두 approve 상태 필요). 자동발행은 화이트리스트 채널·검수 통과분만.

· 보안 일반: CORS 화이트리스트, 업로드 MIME·용량 검증, 레이트리밋, 감사로그(asset_jobs.logs·cic_run_id).

· 소유권: 본 모듈 소스코드·Supabase 프로젝트·스킨 15종·렌더 파이프라인 전체 IP를 클라(무해)에게 이전(계약상 명시).

동작 프로세스

(A) 사진→웹사이트 자동제작

1) 호스트가 객실 사진 6~10장 + 한국어 한 줄(또는 OTA URL) 업로드 → photo_intakes 생성(uploaded).

2) microsite-worker: EXIF·색감 추출 → AI가 대표/객실/주변 자동 분류 → 색감 기반 15스킨 매칭 점수 산출 → 상위 추천.

3) 매칭 스킨에 브랜드 토큰 자동조정 + 소개문·객실설명·하이라이트를 6개국어로 작문 → HTML 스냅샷 빌드 → microsites(draft).

4) 운영자 콘솔에서 라이브 프리뷰 확인 → 토큰/카피 미세조정·재생성 → 승인 게이트 체크 → POST /microsite/publish → 서브도메인 발급·R2 퍼블리시(published).

(B) 캐러셀 자동생성·발행

1) 운영자가 숙소 선택 → 표현법(104 중 1) + variation seed 지정 → POST /deck/generate → 7단계 골격에 숙소 카피 매핑(중복 방지 룰 적용) → content_decks.

2) [Render] → render-worker(Playwright)가 HTML 덱을 슬라이드별 1080×1350 @2x(2160×2700) PNG로 캡처 + manifest.json → slide_renders.

3) 캡션·해시태그·발행 타이밍 변주 엔진이 채널별 페이로드 생성 → publish_queue 적재(예약 슬롯).

4) publish-worker가 채널 어댑터로 발행: IG는 Graph API 캐러셀 컨테이너 생성→publish, 스레드/페북/X는 API, 네이버/티스토리는 cic-bridge로 임시저장(발행 버튼만 사람). 실패는 격리·재시도.

(C) 이미지 파이프라인(보조)

1) /image/generate(프롬프트) → image-worker: Pollinations 생성(무료 1차, 실패 시 유료 폴백) → rembg 누끼 → LaMa 로고제거 → upscale → 브랜드 LUT 톤락 → media_assets(시드·로그 보존).

(D) 블로그 반자동

1) /blog/draft → brand-blog가 초안(제목·본문·키워드·내부링크·이미지) 생성 → blog_posts(draft).

2) 운영자 검수 → /blog/stage → cic-bridge가 네이버·티스토리 에디터에 입력·임시저장(staged) → 사람이 최종 발행.

(E) 성과 루프(상시)

1) scheduler cron이 캘린더 슬롯→큐 적재 + 발행임박 푸시알림.

2) metrics-collector가 IG Insights·네이버 데이터랩 폴링 → metrics 누적 → 대시보드 갱신 → '다음 콘텐츠 추천'(표현법·타이밍) 피드백 → (B)1로 회귀.

[클로징] 우리는 콘텐츠를 만들지 않습니다. 호스트가 사진만 던지면 알아서 굴러가는, 맡기면, 알아서 채워집니다.

백엔드 구조

Supabase(Postgres + Auth + Realtime + RLS) 위에, 발송·해시·cron 등 서버 측 보안 로직은 Cloudflare Pages Functions / Worker로 처리(기존 SION_KV·VAPID 인프라 재사용).

■ DB 테이블 (Supabase Postgres, 모두 RLS 적용)

1. assistant_tasks — 정다운 대표 할 일/일정. (id, owner_id, title, type[task|meeting|followup], due_at, status[todo|doing|done], linked_lead_id, linked_doc_id, notes, voice_memo_url, created_at)

2. assistant_briefings — 매일 06:30 생성되는 아침 브리핑 스냅샷. (id, date, meetings_json, hot_leads_json, expiring_contracts_json, anomalies_json, generated_at)

3. push_subscriptions — 웹푸시 구독. (id, user_id, endpoint, p256dh, auth, device_label, quiet_hours_json, created_at) ※기존 SION_KV subidx 패턴을 테이블화

4. push_events — 발송 이력·룰 로그. (id, rule_code, user_id, title, body, deeplink_url, status[sent|delivered|read|failed], trigger_payload_json, sent_at)

5. notify_rules — 22종 트리거 룰 정의·on/off. (id, code, label, condition_json, channel[push|alimtalk|email], priority, enabled)

6. build_projects — 현장 프로젝트. (id, listing_id, partner_company, title, status[planned|doing|review|done], start_at, end_at, manager_id)

7. build_tasks — 현장 작업 카드. (id, build_project_id, title, column[planned|doing|review|done], assignee_id, checklist_json, position, due_at)

8. build_photos — 현장 사진. (id, build_task_id, storage_path, exif_geo, uploaded_by, caption, created_at)

9. doc_templates — 전자서명 표준 템플릿. (id, name, category[consignment|kyc|disclaimer|construction], body_html, variables_json, version, status[draft|review|approved], approved_by_lawyer_id, updated_at)

10. documents — 발송된 서명 문서 인스턴스. (id, template_id, title, party_data_json, status[draft|sent|partial|completed|expired|voided], content_hash(sha256), expires_at, completed_pdf_path, created_by, created_at)

11. signers — 문서별 서명자(다자/순차). (id, document_id, role[gap|eul|byeong|witness], name, biz_no, addr, ceo, order_index, status[pending|signed|declined], sign_token, verified_via[phone|biz_check|none], created_at)

12. signatures — 실제 서명 데이터. (id, signer_id, sign_img(dataURL/storage), stamp_img, agreed_at, ip, ua, geo, hash_at_sign, created_at)

13. audit_logs — 불변 감사추적. (id, entity_type, entity_id, action, actor, ip, ua, meta_json, created_at) ※append-only, 수정/삭제 트리거 차단

■ API 엔드포인트 (Pages Functions /api/* — 기존 /api/sign·/api/push-send 확장)

· 비서: GET /api/assistant/briefing(오늘 브리핑), GET/POST/PATCH /api/assistant/tasks, POST /api/assistant/voice(음성→텍스트→태스크), GET /api/assistant/pipeline(영업 퍼널 카드)

· 푸시: POST /api/push-subscribe(기존), POST /api/push-send(기존 VAPID 엔진 재사용), POST /api/notify/dispatch(룰 평가 후 발송), GET/PATCH /api/notify/rules

· 현장: GET/POST/PATCH /api/build/projects, /api/build/tasks(보드 이동), POST /api/build/photos(업로드·리사이즈)

· 서명: POST /api/sign(기존 단일서명 — 하위호환 유지), POST /api/docs/create(템플릿+당사자→문서 생성·해시·토큰 발급), GET /api/docs/:id(서명자 토큰별 뷰), POST /api/docs/:id/sign(서명 제출·다음 서명자 활성화), POST /api/docs/:id/remind, POST /api/docs/:id/void, GET /api/docs/:id/pdf(완결본), GET /api/docs(콘솔 목록·검색)

· 템플릿/법무: GET/POST /api/templates, POST /api/templates/:id/review(법무 검토 전이), POST /api/templates/:id/approve

· 발송: POST /api/notify/alimtalk(알림톡), POST /api/notify/email, POST /api/notify/sms — 폴백 체인

■ 서버 서비스 (Worker / Edge Function / Cron)

· briefing-cron: 매일 06:30 KST — 퍼널·계약·정산을 집계해 assistant_briefings 생성 + 대표에게 요약 푸시

· rule-engine: notify_rules 조건을 5분 간격 평가(리드 단계 정체·계약 D-3 등) → push_events 발행 → /api/push-send

· hash-sealer: 서명 완결 시 문서 콘텐츠를 SHA-256 봉인, 이후 모든 조회에서 무결성 검증

· reminder-cron: 미서명 문서 D+2/D+5 자동 리마인드, expires_at 도달 시 status=expired

· dispatch-service: 알림톡→이메일→SMS 폴백 오케스트레이션, 실패 재시도 큐

프론트엔드 구조

모바일 우선 PWA(정다운 대표·현장 작업자용) + 마스터 콘솔 임베드 탭(서명 관리·법무).

■ 페이지

1. /assistant (홈 — 아침 브리핑 대시보드): 오늘 날짜·인사, 4개 요약 카드(오늘 미팅 N·핫 리드 N·만료 임박 계약 N·이상 알림 N), 아래로 '다음 할 일' 타임라인.

2. /assistant/planner (통합 플래너): 상단 주간 캘린더 스트립 + 본문은 탭 전환(일정 | 할 일 | 파이프라인). 파이프라인 탭은 11단계 영업퍼널을 가로 스크롤 칸반으로.

3. /assistant/lead/:id (리드 상세): 호스트 정보·타임라인·메모·"위탁계약 발송" 버튼(→전자서명 시스템 연결).

4. /assistant/quick (빠른 기록): 큰 마이크 버튼(음성)·텍스트 입력, 저장 시 리드 자동 매칭.

5. /build (현장 보드): 프로젝트 선택 → 4열 칸반(예정·진행·검수·완료), 카드 드래그 이동, 카드 탭→사진·체크리스트.

6. /build/task/:id (현장 작업 상세): 사진 그리드(+카메라 업로드 버튼)·체크리스트·담당·기한.

7. /sign/:token (서명자 화면, 공개): 외부 호스트/파트너가 받는 모바일 서명 페이지(로그인 불필요, 토큰 인증).

8. 콘솔 탭 /admin#documents (서명 관리): 문서 테이블·진행률·필터.

9. 콘솔 탭 /admin#templates (법무 템플릿): 템플릿 목록·에디터·검토/승인.

■ 컴포넌트

· BriefingCard(요약 타일, 숫자+추세), TimelineList(시간순 할 일), CalendarStrip(주간 가로), KanbanBoard(드래그&드롭, 비서 파이프라인·현장 보드 공용), LeadCard / BuildCard, QuickCaptureSheet(음성 녹음 비주얼라이저), PhotoUploader(리사이즈·미리보기), ChecklistEditor.

· SignaturePad(기존 캔버스 엔진 — DPR 스케일·crop·도장 업로드 재사용), SignerFieldForm(사업자번호/주소/대표자 입력·인라인 검증), SignProgressBar(갑→을→병 순차 표시), DocViewer(읽기전용 계약 본문·해시 배지), ConsentBanner(전자문서법 동의), CompletionSheet(완결 후 PDF저장·공유 — 기존 done() 흐름).

· DocTable(상태 색칩·진행률), RemindButton, TemplateEditor(변수 하이라이트 {{호스트명}}), ReviewFlow(법무 검토 전이 버튼), AuditLogViewer.

· PushPermissionPrompt(알림 권한 요청·구독 등록), RuleToggleList(22종 룰 on/off·우선순위).

■ UX 원칙: 정다운 대표 화면은 '엄지 한 손'으로 출퇴근 지하철에서 끝나야 함 — 큰 타깃·하단 고정 액션바·스와이프 단계 이동. 서명 화면은 외부인이 설명 없이 1분 내 완료(기존 '여기에 서명해 주세요' 태그·하단 고정 제출바 패턴 유지).

서버 · 보안

내부 사용자(정다운 대표·법무·현장 매니저·작업자)는 Supabase Auth(이메일 매직링크 또는 OTP). 외부 서명자는 로그인 없이 일회용 서명 토큰(sign_token, 문서별·서명자별 고유, 만료 내장)으로만 /sign/:token 접근 — 토큰은 추측 불가 난수(crypto.randomUUID 기반 + 서명자 바인딩).

[권한·RLS] 모든 Supabase 테이블에 Row Level Security. 역할 4종:

· owner(정다운 대표): assistant_*·build_*·documents 전체 R/W, audit 읽기.

· lawyer(법무): doc_templates 검토/승인·documents 읽기·audit 읽기, 비서 개인 데이터(tasks)는 차단.

· field(현장 작업자): 본인 배정 build_tasks·build_photos만 R/W, 영업·서명 데이터 전면 차단.

· signer(외부): 자기 토큰의 단일 문서 뷰 + 자기 서명 제출만. 다른 서명자 PII·다른 문서 접근 불가.

RLS는 DB 레벨에서 강제되므로 클라이언트 우회 불가. push_subscriptions·signatures의 개인 식별 정보는 owner/lawyer 외 노출 금지.

[법적 효력 — 핵심] 전자문서 및 전자거래 기본법 제4조(전자문서의 효력)·전자서명법에 근거:

· 동의 문구를 서명 직전 체크박스로 명시 수집(기록 보존).

· 서명 완결 시 문서 콘텐츠 전체를 SHA-256으로 해시 봉인(content_hash) → 이후 1바이트라도 바뀌면 무결성 검증 실패로 즉시 탐지(위·변조 방지).

· 각 서명에 서버 타임스탬프·서명자 IP·기기·User-Agent·(가능 시)위치를 캡처해 signatures/audit_logs에 기록 → "언제·누가·어떤 기기로 서명했는가" 증명.

· 신원확인 강화 훅: 휴대폰 본인인증(PASS/통신사) 또는 사업자등록번호 진위확인(국세청 API) 연동 지점 마련(verified_via 기록). 1차 릴리스는 입력+동의+감사메타, 본인인증 게이트는 키 연결 시 활성.

· audit_logs는 append-only(수정·삭제 트리거 차단) — 분쟁 시 법적 증적으로 CSV/PDF 내보내기.

[전송·저장 보안] 전 구간 HTTPS/TLS. 서명 이미지·현장 사진은 Supabase Storage(서명형 URL, 만료) 또는 KV에 저장하되 직접 URL 추측 불가. 서명 dataURL 크기 상한(3MB)·이미지 5MB 상한(기존 검증 로직 유지). 발송 API(/api/push-send·/api/notify/*)는 PUSH_SECRET류 서버 시크릿으로 보호(외부 무단 발송 차단). VAPID 개인키·알림톡 키·국세청 키 등은 전부 환경변수(코드 미저장, 기존 패턴).

[법적 고지·면책] 모든 위탁계약 템플릿에 '통신판매중개자 책임 제한' 면책 고지를 표준 삽입(MOSO는 거래당사자가 아니라 중개·운영대행임을 명시) — 공통 기반의 법적고지 정책과 일치.

[데이터 주권] documents·signatures·audit_logs 전체가 클라이언트(무해) 소유 Supabase/계정에 적재 → 모듈 종료 시 소스코드와 함께 100% 이전(외부 서명 SaaS 종속 0).

동작 프로세스

06:30 briefing-cron이 영업퍼널·계약 만료·정산 이상을 집계해 assistant_briefings 생성 → 대표 폰에 "오늘 미팅 3건·만료 임박 계약 2건" 푸시 → 탭하면 /assistant 홈이 열려 요약 카드·타임라인 표시 → 대표가 핫 리드 카드를 눌러 메모를 음성으로 남기면 /api/assistant/voice가 텍스트화해 해당 리드에 첨부.

[흐름 2 — 능동 영업 알림] rule-engine이 5분마다 notify_rules 평가 → '리드가 제안 단계에서 3일 정체' 조건 충족 → push_events 발행 → /api/push-send(VAPID)로 "박○○ 호스트 3일째 무응답 — 팔로업?" 발송(조용시간이면 다음 아침에 묶음) → 대표가 알림 클릭 → 리드 상세 딥링크 → "위탁계약 발송" 버튼.

[흐름 3 — 영업→계약 자동 연결] 대표가 리드 상세에서 '위탁계약 발송' → /api/docs/create가 승인된 위탁운영계약 템플릿에 호스트 데이터({{호스트명}}·{{수수료율}}) 치환·문서 생성·서명 토큰 발급·초기 해시 기록 → dispatch-service가 카카오 알림톡으로 서명 링크 발송(미수신 시 이메일/SMS 폴백) → 리드 카드 자동으로 '계약 발송' 단계로 전진.

[흐름 4 — 다자·순차 서명] 호스트가 /sign/:token 열기 → 계약 본문(읽기전용·해시 잠금 배지) 확인 → 사업자번호·주소·대표자 입력(진위확인 훅) → 손서명 또는 도장 업로드 → 전자문서법 동의 체크 → 제출(/api/docs/:id/sign) → signatures 저장·IP/기기/시각 기록·audit_logs 적재 → 상태 partial → 다음 서명자(보증인 '병')에게 자동으로 다음 토큰 발송 → 마지막 서명자까지 끝나면 status=completed → hash-sealer가 최종 콘텐츠 SHA-256 봉인 → 완결 PDF 생성.

[흐름 5 — 완결 후 폐루프] 완결 시 푸시가 대표에게 "○○ 호스트 위탁계약 체결 완료" 꽂음 + 리드 카드가 '운영 시작' 단계로 자동 전진 + 호스트 온보딩(모듈 ④) 트리거 → 영업·계약·온보딩이 한 줄로 흐름.

[흐름 6 — 미서명 리마인드·만료] reminder-cron이 D+2·D+5에 미서명자에게 알림톡 자동 리마인드 → expires_at 도달 시 status=expired·대표에게 통지 → 대표가 콘솔 문서함에서 '재발송' 또는 '철회(void)'.

[흐름 7 — 법무 검토] 법무가 콘솔에서 새 템플릿 작성 → review 전이(검토중) → 수정요청/승인 → 승인된 버전만 발송 가능 락 → 이후 모든 발송은 승인본 기준, 개정 시 버전 증가·이력 보존.

[흐름 8 — 현장 운영] 현장 매니저가 /build에서 프로젝트·작업 카드 생성 → 작업자가 현장에서 /build/task/:id로 사진 업로드(자동 리사이즈·위치 기록)·체크리스트 체크 → 보드 상태 Realtime으로 대표·호스트 화면에 즉시 반영 → '검수 요청'→'완료' 전이 시 일정이 대표 캘린더에 병합·완료 푸시.