애플리케이션 변경으로 인한 회원 마이그레이션 문의

안녕하세요.

회사 내부 사정으로 기존의 카카오 애플리케이션에 있는 일부 회원을 다른 애플리케이션으로 변경(이동)하려고 합니다.
문제는 기존의 회원을 옮겨가는 부분인데 동일한 회원 임에도 불구하고 애플리케이션이 다를경우 target_id(회원번호)가 서로 달라 이를 같은 유저로 볼 수 없는 이슈가 있습니다.

예를 들어 로그인시 모두 같은 아이디임을 가정합니다.
A 애플리케이션의 경우 target_id 213912
B 애플리케이션의 경우 target_Id 123582

이렇게 다릅니다. 해당 부분을 어떻게 해결할 수 있을까요?
애플리케이션이 다를 경우 이를 어떻게 안전하게 마이그레이션 할 수 있는지 방법이 궁금합니다.

혹시 애플리케이션이 다를 경우 이를 어떻게 안전하게 마이그레이션 할 수 있는지 방법이 궁금합니다.
감사합니다

+추가 질문입니다.
위의 부분에 대해 이메일을 통해서 해결하려고도 고민해봤습니다.
카카오 이메일의 경우 고유값인가요?
중복이 가능한 경우 이메일로 식별하려고 하니 인증되지 않는 이메일일 경우 다른 사람의 대한 이메일 사용시 해당 메일이 본인의 이메일이 아님에도 불구 하고 다른 사람의 아이디 권한을 갖게 되어 보안상의 이슈가 있을듯 합니다.

해당 부분에 대한 의견이나 다른 방법이 있으시다면 도움 주시면 감사하겠습니다

https://devtalk.kakao.com/t/transfer-kakaotalk-dev-app-to-another-account/129275

외국분이 쓴 글이지만 찾아보니 비슷한 사례가 있네요 혹시 어떻게 해결하셨는지 알 수 있을까요?

안녕하세요.

회사 내부 사정으로 기존의 카카오 애플리케이션에 있는 일부 회원을 다른 애플리케이션으로 변경(이동)하려고 합니다.
문제는 기존의 회원을 옮겨가는 부분인데 동일한 회원 임에도 불구하고 애플리케이션이 다를경우 target_id(회원번호)가 서로 달라 이를 같은 유저로 볼 수 없는 이슈가 있습니다.

디벨로퍼스앱이 다르면, 같은 카카오 계정이더라도 식별번호인 앱유저ID가 다르게 전달됩니다.

이렇게 다릅니다. 해당 부분을 어떻게 해결할 수 있을까요?

확인을 위해 실제 사용하신 앱ID를 기재해주시겠어요?

카카오 이메일의 경우 고유값인가요?

아쉽지만, 카카오 계정의 이메일은 대표메일 변경으로 언제든 변경할 수 있는 값입니다.

외국분이 쓴 글이지만 찾아보니 비슷한 사례가 있네요 혹시 어떻게 해결하셨는지 알 수 있을까요?

이전 문의 케이스는 문의하신분이 앱ID를 알려주시지 않아 답변되지 않은 건입니다.

실제 사용하시는 앱ID 기재해주시면 확인 후 피드백 드리겠습니다.

감사합니다.

@tim.l 우선 빠른 답변 주셔서 너무 감사합니다.

기존에 있던 앱은 ID 387673 이고 변경하려는 앱은 ID 928850 입니다.

그럼 휴대폰 번호는 소유가 확인된 신뢰가능한 고유값일까요?
이를 통해서 마이그레이션 하는 방법을 고민하고 있는데 혹 다른 방법이나 해당 방법이 보안상 위험사항이 있으시면 알려 주시면 감사하겠습니다.

(1) 387673앱에는 9만4천명 가량 연결되어 있고 928850앱에는 연결된 유저가 없는 것으로 보입니다.

기존 디벨로퍼스앱을 B애플리케이션에서도 그대로 사용할 수 없는 상황인가요?
그대로 사용하시는게 가장 좋은 해결책 같은데 방법이 없는지 체크 해보시면 좋을 것 같습니다.

(2) 고객마이그레이션

현재 가지고 있는 고객정보로 마이그레이션 하는 방법 밖에는 없는데요.
온전히 매핑되지 않을 수 있고 추가적으로 본인 확인 절차도 두어야 문제가 없습니다.

예를들어, B애플리케이션에서 카카오 로그인 시

• 이메일이 일치하는 고객 정보가 있으면 해당 메일로 앱유저ID 갱신 링크 발송하여 링크 클릭 시 갱신해주는 방법이 가장 보편적이고 안전한 방법 입니다.

(이용자가 대표 이메일을 변경했다면 신규 가입 처리 해야합니다. )
(메일 발송으로 메일 소유주임을 확인하는 절차가 필수 입니다. 과거 확인없이 매핑하여 개인정보 침해로 신고된 사례가 있습니다.)

• 전화번호 일치하는 고객 정보가 있다면 해당 전화번호로 인증번호 발송하여 번호 입력 시, 앱유저ID를 갱신해주는 방법도 있습니다.

그럼 휴대폰 번호는 소유가 확인된 신뢰가능한 고유값일까요?

카카오 로그인에서 전달하는 전화번호는 카카오톡 설치된 기기의 전화번호 입니다.
즉, 카카오톡 연동 안된 카카오 계정은 전화번호가 전달되지 않습니다.

@tim.l

기존 디벨로퍼스앱을 B애플리케이션에서도 그대로 사용할 수 없는 상황인가요?
그대로 사용하시는게 가장 좋은 해결책 같은데 방법이 없는지 체크 해보시면 좋을 것 같습니다.

네 회사 내부 이슈로 그대로 사용할 수 없는 상황입니다.

현재 가지고 있는 고객정보로 마이그레이션 하는 방법 밖에는 없는데요.
온전히 매핑되지 않을 수 있고 추가적으로 본인 확인 절차도 두어야 문제가 없습니다.

메일 또는 번호든 본인 확인절차가 추가되어야 한다는 부분으로 이해 했습니다.
한가지 우려되는 부분은 메일과 휴대 번호만 가지고 판별할시 본인 소유가 아님에도 불구 하고 (A유저의 메일 또는 휴대번호를 B가 사용) 인증될시 보안상 위협이 있지 않을까 하는 고민입니다.
메일 주소와 휴대번호 외에 추가적인 정보도 같이 확인해봐야 할거 같은데 위의 이슈를 해결 하기 위해선 어떻게 해야 할까요?

카카오 로그인에서 전달하는 전화번호는 카카오톡 설치된 기기의 전화번호 입니다.
즉, 카카오톡 연동 안된 카카오 계정은 전화번호가 전달되지 않습니다.

해당 전화 번호와 실제 소유자가 다른 경우가 있나요? 앞서 말씀드린 보안상의 위협이 있지 않을까 해서 여쭈어봅니다.

추가적으로 REST API에서 유저 정보 가져오는 부분에 is_email_verified 값이 넘어오는게 있어서 해당 부분을 활용해 인증되신 분들은 같은 이메일이 있을때 별도 확인절차 없이 앱 유저 ID를 갱신해주는 방법도 고려해보고 있습니다.
위와 같이 처리할때 위험이 될만한 요소가 있을까요? 의견 주시면 감사하겠습니다.

도움주셔서 감사합니다.

한가지 우려되는 부분은 메일과 휴대 번호만 가지고 판별할시 본인 소유가 아님에도 불구 하고 (A유저의 메일 또는 휴대번호를 B가 사용) 인증될시 보안상 위협이 있지 않을까 하는 고민입니다.

해당 전화 번호와 실제 소유자가 다른 경우가 있나요? 앞서 말씀드린 보안상의 위협이 있지 않을까 해서 여쭈어봅니다.

(1) B애플리케이션에서 카카오 계정으로 로그인
(2) 카카오로그인한 계정정보의 이메일 또는 전화번호와 일치하는 기존 가입한 고객정보가 있어야 정보 발송되고
(3) B애플리케이션에서 카카오 계정으로 로그인한 경우만 인증번호 입력 할 수 있도록 처리
(로그인 시도한 카카오 계정에서 발송한 인증번호가 맞는지 체크)

즉, A애플리케이션에서 가입한 사실을 알고 있는 탈취자가 카카오 로그인된 휴대폰 기기를 탈취하여 B애플리케이션을 설치하고 B애플리케이션에서 카카오 로그인 후, 전화번호로 인증번호 발송한 뒤 B애플리케이션 인증번호 입력해야 탈취 가능한 시나리오 같은데요. (이메일로 인증번호 발송한다면 이메일 로그인 계정도 알아야하는 시나리오.)

매우 강력한 수준의 보안이 요구되는 서비스라면 유저매핑은 하지 않고 신규 가입하도록 하는 것을 추천드립니다.

추가적으로 REST API에서 유저 정보 가져오는 부분에 is_email_verified 값이 넘어오는게 있어서 해당 부분을 활용해 인증되신 분들은 같은 이메일이 있을때 별도 확인절차 없이 앱 유저 ID를 갱신해주는 방법도 고려해보고 있습니다.

기존회원과 매핑은 이메일 확인절차를 두는것을 권장합니다.

네 답변 감사합니다.

해당 부분 최종적으로 유저한테 어떤 방식으로든 불편함을 남길 수 밖에 없다는 결론이 내려졌고 이를 운영단에서 잘 설명하는걸로 마무리 지어졌습니다.

내부에선 연동하기 기능을 통해 카카오 로그인을 두번 하는걸로 이야기가 정리되었습니다.

@tim.l 도움주셔서 진심으로 감사드립니다.