페이지 이동경로
  • 약관>
  • 보안

보안

보안

카카오 플랫폼 서비스 보안에 관해

카카오 플랫폼 서비스는 기업과 개인이 응용프로그램을 개발하고, 이를 카카오의 다양한 서비스와 연계하여 글로벌 시장에서 운영할 수 있도록 지원하는 플랫폼입니다. 카카오는 인프라 관리와 확장성, 그리고 보안에 중점을 두어, 기업과 개인이 응용프로그램 개발과 비즈니스 로직에 집중할 수 있도록 돕고 있습니다. 카카오는 최고 수준의 보안 기준을 적용하여 플랫폼의 보안을 철저히 관리하며, 회원이 더욱 안전한 환경에서 비즈니스를 운영할 수 있도록 지원하고 있습니다. 또한, 물리적 인프라에서부터 응용프로그램 계층까지 모든 단계에서 보안 통제를 적용하여 다양한 위협으로부터 회원의 서비스를 보호하고 있습니다. 카카오 플랫폼 서비스팀과 보안팀은 신속한 보안 취약점 대응과 보안 업데이트를 수행하여, 회원이 별도의 조치를 취하거나 서비스 운영을 중단하지 않고도 안전하게 응용프로그램을 운영할 수 있도록 최선을 다하고 있습니다.

카카오의 약속과 책임

신뢰는 카카오의 핵심 가치이며, 카카오는 사용자의 개인정보 보호와 신뢰를 최우선으로 고려하고 있습니다. 이를 위해 신중하고 세심한 결정을 내리며, 모든 임직원이 공동 책임을 갖고 이를 실현하기 위해 노력하고 있습니다.

보안 평가 및 규정 준수

데이터센터

카카오는 자체 데이터센터와 외부 데이터센터에서 인프라를 안전하게 운영하며, 모든 데이터센터는 대한민국에 위치하고 있습니다.

정보보호 인증

카카오는 정보보호 관리체계를 구축하고 지속적으로 강화해 나가고 있습니다. 정보보호 관리체계 국제 표준인 ISO/IEC 27001(정보보안 관리체계) 인증을 획득한 데 이어, 개인정보보호 관리체계에 대한 국제 인증인 ISO/IEC 27701을 취득하였습니다. 또한, 카카오톡, 카카오디벨로퍼스를 비롯한 전사 서비스를 대상으로 국내 최고 수준의 정보보호 인증인 ISMS-P를 추가로 획득하며, 글로벌 스탠더드에 부합하는 철저한 보안 환경을 마련하고 있습니다.

물리적 보안

카카오는 대용량 서비스 운영과 물리적 인프라 관리 경험을 바탕으로 모든 인프라 운영을 철저하게 수행하고 있다. 서버룸 출입은 담당자의 승인 후에만 가능하며, CCTV와 출입 통제 시스템을 활용하여 철저하게 관리된다. 방문자는 사전 출입 신청을 거쳐 담당자의 승인을 받아야만 출입할 수 있도록 엄격하게 운영되고 있습니다.

환경 안전 조치

화재 감지 및 진압

자동 화재 감지 및 진압 장치는 위험을 최소화하기 위해 설치되어 있습니다. 화재 감지 시스템은 모든 데이터센터의 환경, 기계 및 전자/전기 인프라 공간, 냉각실 및 발전기 장비실에 있는 화재감지 센서를 사용합니다. 또한 해당 지역은 습식 파이프, 스프링클러 시스템 등에 의해 보호됩니다.

전원(Power)

데이터센터의 전기 전원 시스템은 매일 24시간, 주 7일간 운영에 영향을 주지 않고 완벽하게 이중화 및 유지 관리될 수 있도록 설계되어 있습니다. 무정전 전원 공급 장치 (UPS) 장치는 어떤 전기적 문제가 발생할 시, 해당 설비의 중요하고 기본적인 동작을 보장하기 위해 백업 전원을 제공합니다. 데이터센터는 전체 설비에 대한 백업 전원을 제공하는 생성기를 사용합니다.

기후 및 온도 제어

온도 조절은 서버의 과열을 방지하고 서비스 중단의 가능성을 줄여 다른 하드웨어에 대한 일정한 작동 온도를 유지하기 위해 필요합니다. 데이터센터는 최적의 수준으로 대기 상태를 유지하도록 조정됩니다. 모니터링 시스템 및 데이터센터 담당자는 온도와 습도가 적정 수준에 있는지 확인합니다.

관리

데이터센터 직원은 전자/전기적, 기계적 수명 지원 시스템 및 장비를 모니터링하여 문제 발생시 즉시 확인 가능합니다. 예방을 위한 유지보수는 장비의 지속적인 운용성을 유지하기 위해 수행됩니다.

네트워크 보안

방화벽

방화벽은 내부 시스템과 외부 네트워크 간의 접근을 제한하여 보안을 강화하는 역할을 합니다. 기본적으로 모든 접근은 차단되며, 사업적 필요에 따라 명시적으로 허용된 포트와 프로토콜만 사용할 수 있습니다. 각 시스템은 기능에 따라 방화벽 보안 그룹에 할당되며, 보안 그룹은 불필요한 접근을 차단하고, 시스템 운영에 필수적인 포트와 프로토콜만 허용하여 보안 위험을 최소화합니다.

침입탐지 시스템

침입탐지 시스템(Intrusion Detection System, IDS)은 내부 및 외부 네트워크 트래픽을 실시간으로 모니터링하고, 비정상적인 접근을 탐지하는 역할을 합니다. 패턴 매칭과 기타 탐지 기술을 활용하여 위협을 탐지하고 분석하며, 실시간 로그 모니터링 및 자동화된 분석 시스템을 통해 신속하게 대응할 수 있도록 운영됩니다.

DDoS 공격 방어

카카오는 TCP·UDP 기반 공격 및 연결 요청 폭주 공격을 포함한 다양한 DDoS 공격에 대응할 수 있도록 보안 시스템을 운영하고 있습니다. 공격 패턴을 지속적으로 분석하고, 이에 따른 방어 로직을 수립 및 적용하여 서비스 운영에 미치는 영향을 최소화하고 있습니다.

데이터 보안

카카오 플랫폼 서비스를 사용하는 응용프로그램의 사용자(End User)의 범위는 논리적으로 해당 응용프로그램 내의 범위로만 국한됩니다. 따라서 데이터는 그 응용프로그램 안에서만 유효하며 응용프로그램별로 분리되어 저장되므로, 다른 응용프로그램으로부터 격리되어 응용프로그램 사이에 인증되지 않은 접근의 위험을 방지합니다.

시스템 보안

시스템 구성

카카오는 최신의 안정화된 표준을 기반으로 시스템 구성을 일관되게 유지하며, 이를 지속적으로 관리하고 있습니다. 보안 업데이트는 신속하게 대응하되, 충분한 안정성 검증을 거쳐 반영하고 있으며, 이 과정에서 기존 시스템은 필요에 따라 폐기되거나 최신 버전의 시스템으로 대체될 수 있습니다.

시스템 인증

카카오는 운영체제 및 시스템에 대한 엄격한 접근 통제 정책을 적용하여, 권한이 부여된 직원만이 접근할 수 있도록 제한하고 있습니다. 모든 접근은 보안 인증 절차를 거치며, 무단 접근을 방지하기 위한 강력한 보안 조치가 시행되고 있습니다. 또한, 외부 네트워크를 통한 직접적인 접근은 원칙적으로 허용되지 않으며, 모든 접근 기록을 철저히 추적 및 모니터링하여 보안 위협을 사전에 예방하고 있습니다.

취약점 관리

카카오는 보안 위협으로부터 플랫폼 서비스를 보호하기 위해 체계적인 취약점 관리 프로세스를 운영하고 있습니다. 보안 취약점은 사전 예방, 탐지, 대응의 전 과정에서 지속적으로 식별 및 관리되며, 이를 위해 전담 보안팀이 상시 모니터링하고 있습니다. 또한, 보다 효과적인 취약점 탐지와 대응을 위해 자체 버그바운티 프로그램을 운영하며, 외부 보안 연구원들과 긴밀하게 협력하고 있습니다. 식별된 취약점은 위험 수준과 서비스 영향도를 고려하여 우선순위를 지정한 후, 적절한 조치를 취하고 있습니다.

모의침투 테스트 및 취약점 진단

카카오 플랫폼 서비스는 카카오 보안팀이 정기적으로 모의침투 테스트와 취약점 진단을 수행하며, 제3자 보안진단의 경우 별도의 계약 또는 협의를 통해 독립적이고 신뢰할 수 있는 보안 컨설팅 회사에서 수행합니다.

백업

응용프로그램의 데이터베이스 및 구성

모든 응용프로그램과 관련된 데이터는 일단위로 백업되며 이중화 구성으로 백업됩니다. 데이터베이스 장애시, 실시간으로 백업된 시스템으로 서비스 가능하며 데이터 유실시에는 마지막 스냅샷을 통해 복구를 할 수도 있습니다.

재해 복구

응용프로그램의 데이터베이스 및 구성

장애 발생시, 카카오 플랫폼 서비스는 이중화된 구성을 통해 기본적으로 회원의 응용프로그램 및 데이터베이스를 자동으로 동적 복구합니다.

카카오 플랫폼 서비스

카카오 플랫폼 서비스는 안정성 및 확장성을 고려하여 설계되었고, 시스템 복구 과정 중 기능의 동작이 중단으로 이어질 수 있는 일반적인 문제를 최소화하도록 설계되었습니다. 카카오 플랫폼 서비스는 싱글 포인트 장애를 방지하기 위해 기본적으로 이중화되어 구성되며, 장애가 발생한 요소를 대체 가능하도록 유지되고, 복원을 위해 다중의 데이터센터를 사용합니다. 카카오는 근본 원인, 서비스의 영향도를 파악하기 위해 플랫폼 이슈를 정밀히 검토하며, 플랫폼과 프로세스를 지속적으로 개선합니다.

개인정보 보호

카카오는 어떤 데이터가 수집되고 해당 데이터가 어떻게 사용되는지에 대해 명확히 규정한 공표된 개인정보 처리방침을 가지고 있습니다. 또한 사용자의 개인정보 보호 및 투명성을 위해 최선을 다하고 있습니다.

카카오는 사용자의 개인정보를 보호하고 플랫폼 안에 저장된 데이터를 보호하기 위해 몇몇 단계별 조치를 취하고 있습니다. 카카오 플랫폼 서비스에 내재된 방어의 일부로 인증, 접근 제어, 데이터 전송 암호화, 회원의 응용프로그램을 위한 HTTPS 지원 및 저장된 데이터의 암호화 등이 포함됩니다. 보다 자세한 내용은 개인정보 처리방침을 참고합니다. 개인정보 보호를 위한 카카오의 활동에 대해서는 카카오 프라이버시를 참고합니다.

사용자 데이터에 대한 접근

카카오의 직원은 일반적인 운영 과정에서 사용자 데이터나 응용프로그램에 접근하거나 상호작용하지 않습니다. 다만, 사용자의 요청이나 법적 요구가 있는 경우에는 예외적으로 접근할 수 있으며, 이와 관련된 모든 활동은 엄격한 보안 인증 절차를 거쳐 관리되고 있습니다.

보안 취약점 신고

서비스 이용 중 보안 취약점이 발견되면 카카오 버그바운티 홈페이지 또는 데브톡으로 신고할 수 있습니다.

보안 모범 사례

송수신 데이터 암호화

응용 프로그램은 송수신하는 모든 민감한 데이터를 안전하게 보호하기 위해 HTTPS와 같은 보안 통신을 사용해야 합니다. 이를 통해 데이터 전송 과정에서 중간에 탈취되거나 변조되지 않도록 암호화된 채널을 확보할 수 있습니다. HTTPS는 데이터의 기밀성, 무결성, 인증을 보장하여 안전한 데이터 통신을 제공합니다.

저장 시 데이터 암호화

응용 프로그램은 파일 형식이나 데이터베이스 내에 저장되는 모든 민감한 데이터를 암호화하여 보호해야 합니다. 이를 통해 저장된 데이터는 무단 접근이나 유출로부터 안전하게 보호되며, 기밀성과 무결성을 유지할 수 있습니다.

인증

허가되지 않은 접근으로부터 계정을 보호하기 위해 계정과 인증서 키에는 강력한 암호를 사용해야 합니다. 인증서 키는 노출을 방지하기 위해 안전하게 저장해야 하며, 만약 키가 유실되거나 노출되었을 경우 즉시 해당 키를 교체해야 합니다. 또한, 개발자 계정을 공유하는 대신 카카오 플랫폼 서비스에서 제공하는 응용 프로그램에 대한 팀 설정의 초대 기능을 사용해야 합니다.

제3자 솔루션 사용

카카오 플랫폼 서비스에서 귀하의 응용 프로그램을 개발하는 과정에서, 아마존 S3, 이메일 서비스 제공자 등 다른 제3자 서비스를 선택하여 사용할 수 있습니다. 이 경우, 카카오와 함께 작업할 때와 마찬가지로 이러한 제3자 서비스 제공자를 통해 공유되는 데이터와 관련된 보안 모범 사례를 항상 염두에 두어야 합니다.