안녕하세요. ios개발자 입니다.

카카오링크 sdk사용중 보안이슈가 있어 문의 드립니다.
다음 카카오에 문의를 드렸지만,developer관련 문의 메일주소가 없어 포럼에 남기라는 안내를 받아 아래 글을 남김니다.

당사 앱에서 카카오 링크를 사용중이며 [첨부]파일에서보듯이
가이드대로 KAKAO_APP_KEY 를 plist에 등록해서 사용하고 있습니다.

당사 보안취약성 검사 툴에서 지적사항으로 위 값을 사용하지 말라는 권고사항이 내려와
수정을 해야하는 상황입니다.

보안취약성 내용은 아래와 같습니다.

보안취약구간:
KAKAO_APP_KEY
설명:
보호되지 않은 위치에 개인 정보를 저장하면 Privacy Violation이 발생할 수 있습니다.
이 경우에 데이터는 보호되지 않는 ios 속성 목록 파일 info.plist에 저장됩니다.
plist파일을 안전한 저장 위치로 신뢰하고 있지만 개인 정보 침해에 대한 우려가 있는 상황에서 무조건 믿어서는 안됩니다. plist파일은 장치만 확보한다면 누구라도 읽을수 있기 때문입니다.

위의 취약성 내용에 따라 회피할수 있는 가이드 부탁드립니다.
보안 취약인 만큼 반드시 조치하라는 권고가 내려진 상황입니다.

답변 부탁드립니다. 감사합니다

@nakata52 살짝 보안 취약성 검사에 오해가 있는것 같아요.
kakao app key의 경우 secret 정보가 아닙니다. 쉽게 얘기해서 app id, app 식별 정도를 나타내는 것으로서 보안 적용 대상이 되지 않아요.
해당 key는 regen도 가능하며, 외부에 노출될 수 있는 값의 속성이에요.

secret 정보에 해당하는 것은 client secret 및 admin app key로서 이것은 해당 부분에 저장을 하지 않습니다.

결론은 KAKAO_APP_KEY의 경우는 보안 취약성 검사 대상이 아니에요.