카카오 싱크로 회원가입 진행 시, 중간에 앱 자체 본인인증 로직을 추가할 수 있을지 문의 드립니다

카카오싱크(Kakao Sync)
1

현재 앱에서는 본인인증을 통한 회원가입을 진행하고 있으며, 카카오 싱크를 도입하려고 합니다.

문의 사항은 아래와 같습니다.

  1. 카카오 싱크 도입하여 회원가입 진행 시, CI 값 저장이 필요하여 본인인증 절차가 추가되어야 하여,
    카카오 싱크 회원가입 진행 과정에서 앱 자체 본인인증 프로세스를 추가할 수 있을지 문의 드립니다.

[카카오로 시작하기] - 카카오톡 로그인 - 약관 동의 - (앱) 본인인증 - 회원가입 완료

  1. 카카오에서 제공하는 CI 값과 본인인증을 통한 CI 값이 일치하는지 체크가 필요하다면, 카카오에 저장된 CI 값이 없는 사용자일 경우 카카오 본인인증 - 앱 본인인증을 진행해야 하는게 맞을지 문의 드립니다.

  2. 회원가입 완료 여부는 앱에서 판단하는지, 카카오에서 전달되는 값인지 확인 부탁 드립니다.

  3. 카카오 싱크는 인 앱 웹뷰 형태로 호출되는게 맞을까요? 맞다면, 인 앱 웹뷰로 진행하다가 본인인증 화면만 앱 화면으로 이동해도 문제 없을지 검토 부탁 드립니다.

2

안녕하세요.

앱Id와 개발환경 설명해주시겠어요?

3

ID : 1117155
플루터로 개발하는 네이티브 앱입니다.

4
  1. 카카오 로그인 전후에 본인 인증 기능 선택적으로 추가 가능하며 구상하신대로 진행하셔도됩니다.
    ㄴ 서비스 약관 동의는 간편가입 설정으로 카카오동의창에서 한번에 받을 수 있으니 참고 부탁드려요.
  1. 번 문의에 앞서 두가지 카카오 로그인 특성을 안내드리겠습니다.

첫째, 카카오 계정에는 CI 가 없을 수 있습니다.
ㄴ CI 동의항목을 [필수]로 설정해도 CI가 없는 이용자는 동의창에 CI 동의 항목이 표시되지 않습니다.
카카오계정으로 수집 후 제공 설정을 하시면 동의창 뜨기전에 카카오측 본인인증이 진행됩니다.

둘째, 카카오 로그인에서 이용자 동의 받아 전달하는 CI는 운영하시는 서비스 중복 가입 체크용으로만 활용할 수 있고, 카카오의 CI 전달 여부와 무관하게 서비스내 CI 수집/보관은 별도 본인확인기관에의한 본인 인증으로 처리 하셔야합니다.

즉, 수집후 제공 설정을 하신다면 2번 문의는 맞습니다.

  1. 최종적으로 서비스측 DB에 저장되어야 가입 완료이므로, 서비스측의 회원가입 완료 여부는 카카오에서 알 수 없습니다.
    ㄴ카카오측에서는 카카오동의창의 동의 완료 여부만 알고 있습니다.
  1. 카카오 싱크는 카카오 로그인 기능의 확장된 옵션을 사용하는 것으로 카카오 로그인과 동일한 기능입니다.
    ㄴ 웹뷰 형태 호출 여부는 운영하시는 서비스 시스템에서 결정하게 되는 것이고, 웹/웹뷰/네이티브앱 모두 호출 사용가능하며
    ㄴ 여타 소셜로그인과 같이 REST-API 방식을 사용하시는 경우 브라우저의 HTTP리다이렉트 기능을 사용하므로 웹뷰든, 기본 브라우저든 브라우저에서 동작해야합니다.
    ㄴ 이용자 편의를 위해 카카오톡앱이 설치된 경우 카카오톡앱으로 간편하게 인증할 수 있는 SDK도 제공하고 있습니다.
    ㄴ 다만, 웹뷰와 앱간 동선은 운영하시는 서비스 종속적이므로 카카오가 개입하거나 정상작동을 보장할 수 없습니다. 서비스 상황에 맞게 구현하시면됩니다.

구체적인 동선 시안 제공해주시면 일반적인 형태인지 검토해드리도록 하겠습니다.

참고 정보

CI와 앱유저ID로 기존 회원 중복 체크

보안 권장 사항 3.4. 카카오 로그인으로 기존 회원 매핑 시 주의 사항

ex) 홍길동이 a 카카오 계정으로 카카오 로그인 후, 본인 인증으로 회원가입 완료한 A계정이 있을때.

  • 홍길동이 a 카카오 계정으로 로그인 하면 가입 시, 저장된 카카오 로그인 회원번호(앱유저ID, v2/user/me에서 전달하는 id)로 비교 하여 로그인 처리

  • 홍길동의 b 카카오 계정으로 카카오 로그인 시, 앱유저ID로 조회되는 회원정보는 없지만, 이미 저장된 CI와 중복된다면
    ㄴ 기존 a 카카오 계정으로 로그인 하도록 안내하거나
    ㄴ b 카카오 계정으로 A계정 매핑 변경할지 확인하여 처리

카카오 로그인에서 CI (연계정보) 사용 상 주의사항

  1. CI(연계정보)는 운영하시는 서비스에 본인확인 기관에의한 본인 인증 기능이 확인된 경우만 설정 기능 제공되고, 중복회원 체크 등 기존회원 여부 판별 용으로 제공하며 이외의 목적으로 사용/활용해서는 안됩니다.
  2. 중복회원 체크 목적이 달성된 경우나 해당 서비스에서 탈퇴 하는등 목적을 다한 경우 파기해야합니다.
  3. 서비스내 CI 수집이 필요한 경우 본인 확인 기관에의한 본인 인증기능을 별도로 수행하셔서 수집하셔야합니다.
  • 본인확인 Flow를 카카오 로그인으로 대체하는 경우, 정보통신망법 제76조에 따라 유사본인확인업무로 과태료 대상이 됩니다.
  • "제23조의6(연계정보의 안전조치 의무 등) "조항이 포함된 정보통신망법 개정안 [2024. 7. 24. 시행] 국가법령정보센터에 따라 클라이언트로 내려가는 SDK 응답에 CI는 제외되고 백엔드에서 서버to서버 전송구간 HTTPS 적용하여 REST API 사용자 정보조회 API로 CI를 조회하시면됩니다.