카카오 싱크 보안관련 문의

안녕하세요 카카오 싱크 관련하여 문의 드립니다.

현재 카카오싱크 <-> app 로그인 연동작업을 진행하고 있는데
API 연동관련하여 보안적으로 문의드립니다.
가이드 문서상 Oauth 2.0 방식으로 통신 하고있는데 더 자세하게 보안적으로 확인할수 있는 부분이 있을가요?
관련팀에서 확인 요청이 와서
API 통신시 Oauth 2.0 방식 이외에 카카오 내부 보안 처리 프로세스 등 세부적인 보안 체크 또는 로직을 알고 싶습니다.

확인 부탁드리겠습니다.

안녕하세요.

API 통신시 Oauth 2.0 방식 이외에 카카오 내부 보안 처리 프로세스 등 세부적인 보안 체크 또는 로직을 알고 싶습니다.

구체적으로 어떤 정보를 원하시는지 이해를 못했는데요.

카카오 로그인 시, 보안을 강화할 수 있는 몇가지 방법을 알려드리면 될까요?

안녕하세요.
다시 질문 드립니다.
API통신시에는 Oauth 2.0 으로 인증되어 통신하고있는데 통신전 카카오의 보안 프로세스를 설명 부탁드리겠습니다.

안녕하세요.

Oauth 2.0 으로 인증되어 통신하고있는데 통신전 카카오의 보안 프로세스를 설명 부탁드리겠습니다.

Oauth 2.0 은 여타 소셜 로그인과 동일하게 적용 주체는 서비스측이고
인가 요청 시, 카카오톡으로 또는 카카오계정으로 로그인후, 소유하신 서비스로 돌아가는 절차이기 때문에
Oauth 2.0 으로 인증되어 통신전 보안 부분은 카카오측이 아니라 서비스 측이므로 카카오의 보안 프로세스와는 무관한데요.


일반적인 OAuth2.0 절차상 카카오측 보안적 요소를 설명드리면,

(1) Oauth 2.0 Flow상 호출되는 카카오측 주소들은 모두 SSL보안 통신 프로토콜을 사용하며, SSL버전은 TLSv1~1.3까지 허용합니다. (참고)

  • SSLv2,3은 보안상 지원하지 않습니다.

(2) 디벨로퍼스 설정으로 허용된 IP만 API호출 할 수 있도록 허용 IP등록기능을 제공하며

내 애플리케이션>고급 설정>허용 IP 주소

(3) JS SDK의 경우 등록된 도메인에서 사용만 가능하도록 합니다.

내 애플리케이션>앱 설정>플랫폼

(4) Android, iOS의 경우도 등록된 패키지, 번들 ID에서만 사용하도록 등록기능을 제공합니다.

(5) 인가 요청 시, 인가 코드는 1회만 사용 가능하며, 인젝션을 방지할 수 있도록 인가요청에 세팅한 state파라메터를 리다이렉트 URI에 제공합니다.

(6) 액세스 토큰 발급시, Client Secret 을 추가 검토 하도록 설정을 제공합니다.

내 애플리케이션>제품 설정>카카오 로그인>보안


이상, 대략 기본적인 사항을 설명드렸습니다.