카카오톡 챗봇 구현 중 보안 관련 질문이 있습니다

문의 사항에 따라 필요한 정보를 먼저 입력하시면 더 빠르게 대응해 드릴 수 있습니다.

• 개발 과정에서 문제가 있을 경우
  • 앱 아이디(app ID): 873350
  • 호스팅 사:
  • 서비스 URL :
  • 오류 내용 :

카카오톡 챗봇 구현 중 보안 관련된 질문이 있어 글을 쓰고 있습니다.
현재 카카오싱크를 통한 로그인을 통해 구할 수 있는 카카오 계정에 해당하는 고유값 Id를 통하여 서버 DB에 해당 id에 해당하는 값을 포함한 유저 레코드를 생성하여 회원가입과정을 마쳤습니다.
이후 사용자는 챗봇의 버튼을 눌러 스킬서버를 통해 전송된 appUserId 가 서버 DB에 존재할 경우 서비스를 제공합니다.

이때, 다른 사람의 appUserId를 안다면 다른 사람의 appUserId를 요청에 바꿔 넣어 다른 사람의 명의로 서비스를 이용할 수 있게 되는 결과가 예상되는 상황입니다.

질문은 다음과 같습니다.

1. 다른 계정의 appUserId는 쉽게 탈취당하지 않으니 걱정하지 않아도 되는걸까요?
2. 1번 질문에서 고민이 해결되지 않는다면, 제가 서버에서 스킬서버를 통한 유저 요청에 대한 별다른 보안조치를 적용할 수 있을까요?

항상 감사드립니다.

안녕하세요.

정확한 안내를 위해 몇가지 질문드립니다.

카카오싱크를 통한 로그인을 통해 구할 수 있는 카카오 계정에 해당하는 고유값 Id를 통하여 서버 DB에 해당 id에 해당하는 값을 포함한 유저 레코드를 생성하여 회원가입과정을 마쳤습니다.

• 회원가입은 챗봇내 싱크 플러그인으로 구현하셨나요? 아니면 웹 또는 앱으로 구현하셨나요?
• 기재해주신 873350 디벨로퍼스앱은 카카오 싱크 설정된 앱이 아닌데, 다른 앱으로 구현하셨나요?

이후 사용자는 챗봇의 버튼을 눌러 스킬서버를 통해 전송된 appUserId 가 서버 DB에 존재할 경우 서비스를 제공합니다.

챗봇내 appUserId는 어떤 방법으로 취득하시나요?

1. 다른 계정의 appUserId는 쉽게 탈취당하지 않으니 걱정하지 않아도 되는걸까요?
2. 1번 질문에서 고민이 해결되지 않는다면, 제가 서버에서 스킬서버를 통한 유저 요청에 대한 별다른 보안조치를 적용할 수 있을까요?

누구나 appUserId 변경으로만 정보 취득한다면 문제가 있어 보이구요.
인증블럭으로 챗봇내 카카오 싱크 플러그인 사용하셔서 Redirect URI에서 발급 받은 액세스 토큰을 이용하여 유저 식별후 DB조회하시면 안전할 것같습니다.

다만, 구현하시는 환경에 대해 제가 알지 못하고
데브톡에서 디벨로퍼스 관련 설정과 API, SDK를 안내하는터라 챗봇내 환경 특수성에 대해 정확히는 알고 있지 못하므로
일반적으로 어떻게 처리하는지 챗봇 관리자센터에도 문의해보시면 좋을 것같습니다.

자세한 안내 감사드립니다.

우선 카카오싱크 플러그인은 적용을 위한 검수중에 있으며 현재는 웹으로 구현된 상태입니다.

챗봇에서 스킬서버를 통한 요청에 유저정보(appUserId)가 포함되어 있어 취득합니다.

[[인증블럭으로 챗봇내 카카오 싱크 플러그인 사용하셔서 Redirect URI에서 발급 받은 액세스 토큰을 이용하여 유저 식별후 DB조회하시면 안전할 것같습니다.]]
에 대하여 질문이 있는데, 그럼 유저가 서비스를 이용하고자 할때마다 매번 로그인 인증블록 과정을 거쳐야하는걸까요?

자세히 안내해주셔서 감사합니다. 일반적으로 어떻게 처리하는지 챗봇 관리자센터에도 문의해보겠습니다!

일반적으로 웹에서는 한번 인증 후
세션에 토큰을 저장하고 토큰 만료 전까지 추가 인증 없이 액세스토큰으로 api호출하고 자체 jwt토큰 발급 등 으로 유저 유효성을 검증하는데요.

챗봇에서는 어떤방식으로 인증한 유저 정보를 유지하는지
챗봇관리자 센터에 한번 문의 해보시면 좋을 것 같습니다.
(챗봇 기능을 잘 몰라서 도움이 안 된것 같네요…)