보호활동 본문
보호활동
카카오는 이용자의 개인정보를 안전하게 보호하기 위해필요한 개인정보 관리체계를 갖추고 있습니다.
보호활동 메뉴
개인정보 보호 원칙개인정보 보호 원칙
카카오는 이용자의 신뢰를 가장 중요한 가치로 생각합니다.
카카오의 모든 임직원은 아래와 같은 원칙을 바탕으로 이용자의 개인정보를 처리할 것을 약속합니다.
- 1. 이용자 프라이버시를 존중하고 서비스의 모든 단계에서 개인정보를 보호합니다.
개인정보 보호와 관련된 법규의 준수를 넘어 이용자의 프라이버시 보호까지 생각합니다. 프라이버시를 고려한 설계(Privacy by Design) 원칙을 기반으로 카카오 서비스의 전 단계에 프라이버시 보호를 위한 사전예방과 점검, 개인정보 영향평가 등을 도입하여 발전시켜 나갑니다.
- 2. 개인정보 처리는 투명하게 공개합니다.
수집되는 개인정보의 항목과 처리 목적에 대한 정보를 투명하게 공개합니다. 개인정보 처리 과정을 모든 이용자가 이해할 수 있도록 명확하고 쉬운 설명을 제공하여 실질적인 투명성을 높이기 위해 노력합니다.
- 3. 서비스 제공을 위해 필요한 최소한의 개인정보를 수집합니다.
서비스 제공을 위해 반드시 필요한 정보가 무엇인지 확인하여 최소한의 정보만 수집합니다. 모든 개인정보는 관련 법령 등에 따라 적법하게 수집하며, 무분별한 수집이 발생하지 않도록 통제합니다.
- 4. 수집된 정보는 필요한 기간 동안만 보유하며 안전하게 관리합니다.
수집된 정보는 서비스 제공을 위해 필요한 기간 동안만 보관하고, 불필요한 데이터는 지체없이 파기합니다. 저장되는 개인정보는 보안 기술의 적용 및 강화를 통해 안전하게 관리하도록 노력합니다.
- 5. 이용자의 자기결정권을 보장합니다.
개인정보에 대한 권리는 그 정보의 주인인 정보주체에게 있습니다. 이용자가 정보주체로서 가지는 권리를 보장하고, 이를 행사할 수 있는 기능과 프로세스를 마련합니다.
- 6. 사회적 책임을 다하기 위해 노력합니다.
새로운 기술의 발전과 사회 환경 변화에 맞춰 이용자 프라이버시 보호를 위한 활동을 고민하고 사회적 책임을 다하기 위해 노력합니다.
개인정보 보호 조직
개인정보 보호 업무를 총괄하는 개인정보보호 책임자(CPO, Chief Privacy Officer)와 정보보호 업무를 총괄하는 정보보호 최고 책임자(CISO, Chief Information Security Officer)를 분리해 더욱 전문적이고 체계적인 업무가 수행되도록 합니다. CPO는 개인정보 처리에 관한 업무를 총괄할 수 있는 전문성을 갖춘 자가 선임될 수 있도록 개인정보보호법 및 내부 규정에 따라 개인정보 보호 업무를 위해 조직된 부서의 장(임원)으로 지정하고 있습니다. 더불어 CISO는 정보통신망법에 따라 정보보호 및 정보기술 분야의 전문성을 보유한 임원으로 선임하고 있습니다.
1. 조직 체계
2. 프라이버시 자문위원회
카카오는 이용자 개인정보 보호 정책에 다양한 관점이 반영될 수 있도록 국내 최고 프라이버시 관련 전문가들로 구성된 프라이버시 자문위원회를 운영하고 있습니다. 2014년 출범한 위원회는 개인정보보호, 보안과 관련된 법조계, 학계의 다양한 전문가로 구성되어 있으며, 정기 회의를 통해 국내외 프라이버시 이슈와 관련 법규 동향을 파악하고 이를 토대로 카카오의 프라이버시 정책 방향에 대해 자문합니다.
프라이버시 자문위원회 활동 보기새창열림3. 데이터 보호 정책 조직 운영
이용자의 데이터를 안전하게 보호하고 이를 기반으로 더 나은 서비스를 제공할 수 있도록 2018년부터 데이터 보호 정책 조직을 구성하여 운영하고 있습니다. 데이터 보호 정책 조직은 데이터 처리 실무 능력과 개인정보 보호 법규에 대한 높은 이해를 바탕으로 카카오의 데이터 처리 정책을 수립하고 이를 실무조직에 전파하는 역할을 수행합니다.
개인정보 보호 관리체계
개인정보 영향평가, 보호조치 적용을 통해 이용자의 개인정보를 안전하게 보호합니다.
카카오는 이용자의 개인정보가 안전하게 관리될 수 있도록 이용자에게 제공하는 서비스에 대해 개인정보 영향평가를 실시합니다. Privacy by Design 원칙을 기반으로 하는 개인정보 영향평가는 서비스 기획에서부터 변경, 종료에 이르는 전 생애주기에 걸쳐 개인정보보호법 등 관련 법령의 준수 여부를 점검하고 이용자 프라이버시 보호에 미치는 영향도를 면밀히 평가하여 위험을 사전에 위험요소를 제거하는 것이 주요 목표입니다.
- 개인정보 수집 : 이용자의 명시적 동의 확인, 필요 최소한의 수집
- 개인정보 전송/저장 : 개인정보의 안전한 전송, 패스워드/금융정보/위치정보 등 암호화 저장
- 개인정보 이용 : 업무목적 내에서의 최소 이용, 개인정보의 오남용 예방
- 개인정보 전송/저장 : 개인정보의 안전한 전송, 패스워드/금융정보/위치정보 등 암호화 저장
- 개인정보 처리시스템 관리 : 개인정보 처리 내역 파악 및 권한 검토, 불필요한 개인정보 노출 통제, 개인정보 처리 로깅
- 개인정보 제공 : 개인정보 제공의 최소화, 개인정보의 안전한 전송
- 개인정보 파기 : 파기 대상, 파기 시점의 적정성 및 안전한 파기 여부 확인
- 개인정보 처리시스템 종료 : 개인정보 처리시스템 종료 및 자산반납 확인
카카오는 이용자의 개인정보가 안전하게 처리될 수 있도록 다양한 개인정보 보호 시스템을 갖추고 있습니다. 이용자의 프라이버시 보호 활동이 적절하게 이루어지고 있는지 평가하기 위한 사후 점검을 위해 ‘개인정보보호 점검 관리 시스템’을 구축하여 운영하고 있습니다. 서비스 점검을 위한 체크리스트는 개인정보보호법, 위치정보보호법 등 관련 법규는 물론 각종 정보보호 인증 및 이용자 프라이버시 보호를 위해 필요한 사항들을 포함하고 있습니다. 또한 개인정보 처리시스템 현황, 개인정보 취급자 및 개인정보 처리 현황 등을 통합적으로 관리하기 위해 ‘개인정보취급자 관리 시스템’을 운영합니다.
개인정보 처리 업무를 위탁받아 처리하는 자회사, 공급업체 등 제3자(이하 수탁자)가 카카오 수준의 개인정보보호 조치를 수행할 수 있도록 관리합니다. 수탁자와 서면 계약을 통해 개인정보호법 및 카카오 개인정보 정책을 준수하도록 하고 정기적인 수탁자 개인정보 보호 점검을 실시하여 현황을 확인합니다. 수탁자 점검 결과 위반 사항이 확인될 경우 개선할 수 있도록 조치하며, 점검 후에는 개선 조치 이행 전·후의 수탁자 개인정보보호 수준을 비교하는 방법으로 효과성을 평가하여 다음 점검에 반영될 수 있도록 합니다.
카카오는 법이 요구하는 수준 이상의 보안 수준을 유지할 수 있도록 취약성 점검, 보안코딩 및 코드리뷰 등 다양한 방식으로 사전 예방 점검 활동을 실시합니다. 카카오의 모든 서비스는 서비스 출시 이전인 사전 기획단계부터 서비스 종료 시점까지 주기적으로 취약성 점검을 거치게 됩니다. 뿐만 아니라, 개발단계에서는 기술적 취약점을 해소하기 위한 코드리뷰 절차와 안전한 보안코딩을 진행합니다. 카카오는 새로운 동향 및 기술을 반영하여 보안을 강화하고 선제적으로 대응함으로써 보다 안전한 서비스를 제공하기 위해 끊임없이 노력하겠습니다.
카카오의 개인정보 처리시스템 및 회원정보 데이터베이스는 철저한 접근 통제하에 관리됩니다. 사전에 권한을 부여받은 최소한의 사용자만이 엄격한 절차를 거쳐 접근할 수 있습니다. 각 책임자가 업무 범위에 따른 필요 여부를 명확하게 판단하여 접근 권한을 부여하고, 권한을 부여받은 담당자에 대한 상시 모니터링과 더불어 인가받지 않은 모든 접근 시도를 차단하기 위한 침입 차단 시스템 모니터링을 실시합니다. 카카오는 중요한 정보를 보호하기 위한 침입 차단 시스템을 설치, 관리, 운영하고 있습니다.
카카오는 개인정보 접근 및 취급에 대한 로그 분석과 모니터링을 진행하는 동시에 권한 신청, 변경, 삭제 이력을 기록하고 보관합니다. 주기적 권한 검토를 통해 불필요한 권한은 즉각 삭제합니다. 카카오는 데이터 선도기업으로서 전 임직원을 대상으로 정보보호 서약 절차를 갖추고 있습니다. 임직원의 프라이버시 보호 의식 강화를 위해 매년 2회 이상 개인정보 보호 교육을 실시하고 있으며, 모든 임직원 PC에 악성코드를 탐지하고 대응하는 프로그램을 적용하고 있습니다.
카카오 보안관제 센터는 카카오 자체 보안 인력과 외부 보안 전문가가 24시간 모니터링을 병행하는 듀얼 보안관제 시스템 체계로 운영됩니다. 카카오는 시스템과 네트워크에서 발생하는 보안 이벤트와 공격 정황을 면밀히 분석하여 잠재적인 위협을 탐지하고 대응합니다. 이를 통해 카카오의 다양한 서비스와 고객 데이터를 안전하게 보호하고 보안 사고를 방지하고 있습니다.
철저한 사전·사후 통제 활동에도 불구하고 이용자의 정보가 유출될 경우를 대비하여 개인정보 유출 대응 매뉴얼을 마련하고 있으며, 관련 법에 따라 해당 사실을 이용자에게 알리고 당국에 신고하는 개인정보 유출 대응 절차를 갖추고 있습니다. 개인정보 유출 대응 절차에는 이용자에게 사고 발생 및 신고 사실을 고지하는 것과 더불어 회사의 대응 조치 상황, 상담을 위한 연락처 제공, 이용자 피해를 최소화하기 위한 피해 구제 절차 등에 대한 안내가 포함되어 있어 만일의 사태 발생 시 효과적으로 대응할 수 있도록 합니다.
정보보호 인증
정보보호 인증은 기업이 주요 정보자산을 보호하기 위해 구축·운영하는 정보보호 관리체계가 인증기준에 적합한지 심사하여 인증을 부여하는 제도입니다. 카카오는 정보보호 관리체계 인증을 통해 이용자의 정보자산을 보호하고 있습니다.
정보보호 및 개인정보보호 관리체계(ISMS-P) 인증은 정보통신망의 안전성, 신뢰성 확보를 위하여 관리적, 기술적, 물리적 보호조치와 개인정보처리자의 개인정보 처리 및 보호와 관련한 일련의 조치를 포함한 종합적 관리체계 인증입니다. 카카오는 전사 서비스를 대상으로 인증을 취득하였으며, 지속적인 관리를 통해 인증을 유지하고 있습니다.
인증범위 : 카카오 서비스 운영
유효기간 : 2023.02.01. ~ 2026.01.31.
ISO/IEC 27001, 27701, 27017 인증은 국제표준화기구(ISO) 및 국제전기기술위원회인(IEC)가 제정하고 관리하는 정보보호 관리체계에 대한 국제규격 인증입니다. 조직의 정보를 안전하게 보존·관리하기 위해 보안목표를 설정하고 이를 달성하기 위한 경영시스템의 요구사항을 규정한 국제 표준입니다. 카카오는 전사 서비스를 대상으로 인증을 취득하였으며, 지속적인 관리를 통해 인증을 유지하고 있습니다.
인증범위 : 카카오 서비스
유효기간 : 2024.07.07. - 2027.07.06.
서비스 개인정보 보호
카카오 서비스는 개인정보 노출을 최소화하고 이용자의 개인정보를 안전하게 보호하기 위한 기능과 기술조치를 갖추고 있습니다.
카카오톡에서 전체 공개가 되어 있는 프로필 외에 최대 3개의 멀티프로필을 생성하여 원하는 사람들에게만 특정 프로필을 공개할 수 있습니다. 전체 공개인 프로필도 원하지 않는 상대방에게 노출이 되지 않도록 설정할 수 있습니다.
카카오톡 유저의 지갑서명 여부를 노출함으로써 신뢰할 수 있는 유저임을 보증하고, 실명노출 여부를 결정할 수 있습니다.
카카오톡은 지인사칭 피싱 범죄로 인한 이용자 피해를 차단하기 위해 '글로브 시그널'과 '톡사이렌 기능'을 제공합니다. 친구로 등록되지 않은 상대방이 대화를 시도할 경우 해당 채팅방 진입 시점에 경고 팝업창을 노출하고, 입장 후 대화창 상단에 금전 요구에 대한 주의사항을 안내합니다.
대화를 건 상대방이 국내(한국) 번호 가입자라면 사칭 가능성에 대한 이용자 인지를 돕는 주황색 경고성 프로필 이미지가 보여지며, 해외(한국 이외) 번호 가입자라면 주황색 지구본 프로필 이미지와 상대방이 가입한 전화번호의 국가 정보가 보여지게 됩니다.
카카오계정 정보를 안전하게 지킬 수 있는 다양한 보안 설정 기능을 제공합니다.
카카오계정이 안전한지 상시 점검할 수 있는 계정 보안 진단 기능을 제공합니다. 계정의 상태에 따라 안전 상태를 진단하고 있고, 진단 결과에 어떤 보안 활동이 필요한지 안내하여 스스로 보안을 강화할 수 있습니다. 만일 진단 결과가 ‘위험' 이라면 계정을 안전하게 지키기 위한 권장 보안 활동을 적극적으로 참여해 주세요.
카카오계정으로 평소와 다른 이용이 탐지되면 본인임을 확인할 수 있는 추가 인증을 요청하거나 계정을 보호조치 하고 있습니다. 이런 탐지 활동을 통해 어딘가에 내 개인정보가 유출되었더라도 카카오계정은 안전하게 이용할 수 있습니다.
소중한 카카오계정을 직접 안전하게 지킬 수 있도록 보안 강화 기능을 제공합니다. 비밀번호가 유출되더라도 추가 인증 후 로그인할 수 있는 2단계 인증 및 허용한 국가에서만 로그인할 수 있는 국가별 로그인 제한 기능을 설정하여, 가장 확실한 방법으로 안전하게 계정을 이용할 수 있습니다.
다른 서비스 이용 시 필수/선택 개인정보 항목을 확인하고 연결된 서비스를 관리할 수 있습니다.
카카오 로그인은 카카오계정으로 다양한 서비스를 이용할 수 있도록 하는 소셜 로그인 서비스입니다. 다른 서비스 이용에 필요한 필수 개인정보와 이용 목적을 확인하고, 선택 항목에 대해서는 이용자가 제공 여부를 선택할 수 있습니다. 카카오 로그인으로 연결된 서비스의 제공자는 이용자가 직접 동의한 정보에 대해서만 접근할 수 있습니다.
카카오 로그인으로 이용 중인 서비스 목록을 모아 보고, 더는 이용하지 않는 서비스에 대한 이용 동의를 철회할 수 있습니다. 카카오계정으로 이용 중인 서비스와의 연결을 끊으면 해당 서비스는 더 이상 내 개인정보에 접근할 수 없게 됩니다.
카카오톡 비밀 채팅은 종단간 암호화(End to End Encryption) 기술을 적용하여 이용자 정보보호를 강화하였습니다. 종단간 암호화 기술은 메시지를 암호화하여 전송하고, 암호화된 대화 내용을 풀 수 있는 복호화키는 이용자 단말기에만 저장하는 기술입니다. 이용자의 단말기를 직접 분석하지 않는 이상 암호화되어 서버에 저장된 메시지를 확인할 방법은 원천적으로 차단됩니다.
선물하기 서비스에서 작성한 소중한 선물메시지는 암호화 기술을 적용하여 선물받은 친구만 볼 수 있도록 안전하게 관리하고 있습니다.
차단한 친구에게 선물이 왔을 때는 혹시 모를 불쾌한 선물로부터 사용자를 지킬 수 있도록 보낸 사람의 이름과 선물 내용을 모두 자동 잠금처리하고 있습니다. 사용자가 잠금을 해제하면 보낸 사람의 이름과 선물을 확인하고 일반 선물처럼 사용할 수 있고, 기한 내 잠금을 해제하지 않으면 자동 거절 처리됩니다.
타 선물하기 서비스는 선물 제공자가 선물받을 친구의 배송지 정보를 직접 입력하는데 반해, 카카오톡 선물하기 서비스는 선물 제공자가 선물받을 친구의 배송지 정보를 모르더라도 선물을 할 수 있고, 선물받은 친구는 선물 제공자에게 배송지 정보를 공개하지 않고 직접 입력하여 선물을 받을 수 있습니다. 친하지 않더라도 같은 주제로 대화하는 상대방에게 개인정보 공개 없이 선물을 제공하거나 받을 수 있습니다.
코드선물과 오픈채팅선물 기능 이용 시 상대방에게 내 카카오톡 닉네임과 이름이 공개되지 않아, 카카오톡 친구가 아닌 사람들과도 안심하고 선물을 주고받을 수 있습니다.
2단계 인증 등 강화된 보호조치를 적용하여 이용자의 정보를 더욱 안전하게 보호합니다.
판매자 회원 대상 2단계 인증을 필수로 적용하여, 크리덴셜 스터핑 등 계정 도용 위험으로부터 판매자 계정을 더욱 안전하게 보호합니다.
판매자가 배송 처리를 위해 고객의 주문(개인)정보 조회가 필요한 ‘배송 준비’ 단계에서는 개인정보 열람이 가능하지만, 배송이 완료되어 ‘구매 확정’ 처리된 단계에서는 개인정보를 마스킹 처리하여 개인정보를 열람할 수 없도록 처리하고 있습니다.
그 외에도 판매자의 권한을 마스터와 매니저로 분리하여 마스터 권한자가 퇴사한 소속직원(매니저)의 권한 회수 등을 관리할 수 있는 기능을 제공하고 있으며, 개인정보 이슈 발생 시 책임추적성 강화를 위해 접속기록 및 권한변경 기록도 저장하고 있습니다. 또한, 서비스 페이지에서 판매자의 개인정보처리방침을 공개할 수 있는 기능을 제공하고 있습니다.