Kakao 프라이버시 정책 본문

기술적 보호노력

프라이버시 모드

프라이버시 보호를 강화하기 위해 카카오는 ‘프라이버시 모드’를 ‘비밀채팅’ 기능으로 선보였습니다. 일반채팅이나 ‘비밀채팅’ 모두 이용자의 메시지는 안전하게 암호화된 상태에서 쌍방향으로 전송됩니다.
비밀 채팅의 경우에는 암호를 풀 수 있는 열쇠가 각 이용자의 스마트폰에만 저장되는 ‘종단간 암호화(end- to end encryption)’ 기술을 적용했습니다. 카카오 서버에서는 암호를 풀 수 없어 대화 당사자 외에는 메시지 내용을 확인할 수 있는 방법은 원천적으로 차단됩니다.
‘비밀 채팅’은 2014년 12월 1대1 대화방에 먼저 도입됐으며 2015년 3월 그룹 대화방에도 적용됐습니다. 일반채팅은 전송단계에서만 암호화하는 반면 비밀채팅은 단말기에서 암호화를 한번 더 하기 때문에 단말기가 없으면 대화내용을 확인할 수 없다고 비교 설명하는 도식 이미지 * 각 단말기의 비밀키는 공개키 암호화 방식을 통하여 교환

개인정보 영향평가
서비스 기획 및 개발 단계부터 개인정보 영향평가를진행하여 관계법령 준수 여부를 파악하고 영향도를분석하여 사전에 위험을 제거하고 있습니다. 개인정보 전문 담당자가 각 단계에서 직접 관여, 서비스 담당자들과 모든 내용을 협의해 개선 방안을 마련함으로써 전사적 개인정보 위험 관리를 합니다.
서비스 기획에서 부터 종료까지 이용자 개인정보가 안전하게 관리될 수 있도록 개인정보에 미치는 영향을 분석합니다.
  1. 서비스 도입 서비스 기획에서 출시까지 개인정보의 라이프사이클 및 개인정보 처리시스템에 대한 적정성을 검토*
  2. 서비스 운영 개인정보 수집, 이용 또는 제공의 추가 시 도입 단계의 검토 사항을 재검토*
  3. 서비스 종료 개인정보 파기 검토 - 파기 시점에 대한 적정성 - 안전한 파기 여부 확인
* 주요 검토 항목
  • 1. 개인정보 수집 - 이용자 동의의 명시성 - 필요 최소한의 수집
  • 2. 개인정보 전송/저장 - 개인정보의 안전한 전송 - 패스워드, 금융정보, 위치정보 등에 대한 암호화 저장
  • 3. 개인정보 이용 - 개인정보의 오 · 남용 예방
  • 4. 개인정보 제공 - 개인정보의 제공의 최소화 - 개인정보의 안전한 전송
  • 5. 개인정보처리시스템 관리 - 개인정보 취급 내역 파악 - 개인정보 취급 권한 검토 - 불필요한 개인정보 노출의 통제 - 개인정보 취급에 대한 로깅
사전 예방 점검 활동

카카오는 안전한 서비스를 개발하고 제공하기 위해 취약성 점검, 보안코딩 및 코드리뷰 등 다양한 사전 예방 점검 활동을 하고 있습니다.
취약성 점검 절차는 카카오가 제공하는 서비스가 법이 요구하는 수준을 넘어 적절한 보안 수준을 적용할 수 있도록 서비스 오픈 전부터 서비스 종료 시점까지 주기적으로 진행됩니다. 수년 간 다양한 서비스에서 축적된 데이터와 노하우를 바탕으로 별도 작성된 체크리스트 및 위험 모델링에 근거해 점검을 실시하고 있습니다. 또한 개발단계에서 기술적 취약점을 해소하기 위해 코드 리뷰 절차를 거치면서 안전한 보안 코딩을 진행합니다. 기술 발전에 따라 보안도 취약한 부분이 계속 변화하기 때문에 이에 대해 새로운 동향 및 기술을 반영하여 선제적으로 대응하는 노력을 하고 있습니다.

철저한 접근통제

카카오의 개인정보 처리 시스템 및 회원정보 데이터베이스는 사전에 권한을 부여 받은 최소한의 사용자만 접근할 수 있도록 접근 통제 절차를 갖추고 있습니다. 권한 부여 절차에서는 각 책임자가 해당권한에 대해 업무와 그 범위를 명확하게 판단하여 부여합니다. 이와 함께 권한을 부여 받은 담당자에 대해서도 로그를 상시적으로 모니터링, 허가 받지 않은 범위로의 접근을 통제합니다. 인가 받지 않은 모든 접근 시도는 침입 차단 시스템에서 모니터링을 통해 차단됩니다. 중요한 정보를 보호하기 위한 서버 방화벽을 설치, 관리, 운영하게 됩니다. 특히 개인정보에 접근할 수 있는 담당자들은 인터넷이 차단된 ‘망 분리’ 환경에서 업무를 처리하도록 하여 악성코드 유입 및 개인정보 노출을 원천적으로 차단하고 있습니다.

임직원 통제

개인정보 접근 및 취급에 대한 로그 분석과 모니터링을 진행하는 동시에 권한 신청, 변경, 삭제 시 이력을기록하고 보관합니다. 주기적 권한 검토를 통해 불필요한 권한 삭제도 이뤄집니다. 임직원들의 프라이버시 보호 의식 강화를 위해 연 2회 이상 개인정보보호 교육 및 정보보호 서약 절차도 갖추고 있습니다. 모든 임직원 PC에 악성코드를 탐지하고 대응하는 프로그램을 적용하고 있습니다. 전사 망에서 개인정보에 접근하는 프로그램을 비롯해 CS 등 주요 관리 프로그램 패턴을 관찰합니다.

24시간 보안관제

카카오는 보안관제센터를 구축하여 365일 24시간 이상 징후나 해킹 위협을 감시하고 있습니다. 특히 이 과정에서 외부 전문가의 모니터링을 지원받아 듀얼 모니터링 시스템을 갖추고 언제 발생할지 모를 위협에 대비하고 있습니다.
특정 국가의 과다한 접속 시도나 특정 IP의 트래픽 과다 등 이상 징후에 대해서는 발견 즉시 그 원인과 영향을 확인하고 있으며, 다양한 서비스 제공 과정에서 발생하는 로그에 대해 다각적 분석을 실시하고 있습니다.

TOP