본문으로 건너뛰기
J
피드

구글, 비인증 앱 사이드로딩에 24시간 대기 시간 도입한다

security 약 5분
tags
#security
vote
0
댓글
북마크
원문 보기

구글이 2026년부터 Android 앱 사이드로딩에 개발자 인증 제도를 도입하는데, 인증 우회하려면 개발자 옵션에서 복잡한 절차 + 24시간 대기해야 함. 사기 피해 줄이려는 목적이라는데, 파워유저들한테는 좀 불편해질 듯ㄷㄷ

  • 1

    비인증 앱 사이드로딩에 24시간 강제 대기 시간 도입 (소셜 엔지니어링 사기 방지 목적)

  • 2

    개발자 인증은 신분증+서명키+$25 수수료 필요, 인증 안 하면 기본 설치 불가

  • 3

    2026년 9월 브라질·싱가포르·인도네시아·태국 우선 적용, 2027년 전 세계 확대

  • 2026년 9월부터 브라질, 싱가포르, 인도네시아, 태국에서 먼저 시행, 이후 전 세계 확대
  • 비인증 앱 설치하려면 개발자 옵션 깊숙이 숨겨진 메뉴 + 24시간 대기 필수
  • 24시간 딜레이는 "당장 앱 설치 안 하면 큰일 난다"는 소셜 엔지니어링(social engineering) 사기 차단 목적
  • 개발자 인증은 신분증 제출 + 서명 키 업로드 + $25 수수료 필요
  • "무기한 허용" 한 번 설정해두면 이후엔 대기 없이 설치 가능

🔐 도대체 어떻게 바뀌는 건데?

구글이 Android 앱 사이드로딩(sideloading) 규제를 대폭 강화한다. 핵심은 인증된 개발자가 배포한 앱만 기본적으로 설치 가능하게 막는 것.

Google Play 밖에서 앱을 배포하려는 개발자는:

  • 신분증 제출
  • 서명 키(signing key) 사본 업로드
  • $25 수수료 납부

이 조건을 충족해야 "인증 개발자" 자격을 받는다.

⏱️ 24시간 대기, 그 이유가 뭐냐면

비인증 앱을 설치하고 싶으면 advanced flow(고급 우회 절차)를 직접 활성화해야 하는데, 단계가 꽤 됨:

  1. 설정 > 휴대폰 정보에서 소프트웨어 빌드 번호 7번 탭 → 개발자 옵션 활성화
  2. 설정 > 시스템 > 개발자 옵션 진입
  3. "Allow Unverified Packages" 토글 ON
  4. "강요받고 있지 않음" 확인 탭
  5. 기기 잠금 PIN/비밀번호 입력
  6. 기기 재시작
  7. 24시간 대기 ← 여기가 핵심
  8. 다시 메뉴 진입 후 추가 경고 화면 통과
  9. "임시 허용 (7일)" 또는 "무기한 허용" 선택
  10. 위험 인지 체크박스 확인

Android Ecosystem 총괄 Sameer Samat은 이렇게 설명함:

"24시간 동안 공격자가 공격을 지속하기 훨씬 어려워집니다. 그 시간 동안 가족이 진짜 구치소에 있는 건지, 내 계좌가 진짜 해킹당한 건지 확인할 수 있거든요."

ㄹㅇ 최근 "당장 이 앱 설치 안 하면 계좌 털린다"는 식의 보이스피싱 피해가 심각한데, 이걸 차단하려는 거라고.

😤 파워유저들은?

"무기한 허용" 한 번만 설정해두면 그 이후엔 매번 기다릴 필요 없음. 개발자 옵션 다시 꺼도 설정은 유지됨. 근데 이 메뉴가 의도적으로 깊숙이 숨겨져 있어서 일반 유저한테는 사실상 접근 불가 수준.

🌍 논란이 없는 건 아님

  • 프라이버시 우려: 개발자 신원 데이터베이스가 법적 압박에 악용될 수 있다는 지적. 구글은 "부당한 사법 명령엔 대응한다"고 하지만 아직 불분명
  • 제재 국가 개발자: 쿠바, 이란 등 제재 대상국 개발자는 수수료 납부 자체가 불가능할 수 있음
  • 앱 내용 검열 아님: 구글은 앱 내용은 확인 안 하고 오직 신원 확인만 한다고 강조. 루팅 앱, 유튜브 광고 차단 앱도 직접 타겟은 아니라고

📅 롤아웃 일정

  • 2025년 말: Android 16.1에 검증 시스템 통합 시작
  • 2026년 9월: 브라질, 싱가포르, 인도네시아, 태국에서 강제 적용 시작
  • 2027년: 전 세계 확대 예정

현재 지원되는 모든 Android 기기에 순차 배포되며, UI는 제조사 관계없이 구글이 통일해서 제공할 예정.

구글 입장에선 규제 압박도 막고 멀웨어도 잡는 일석이조 전략인데, 개발자 인증 데이터베이스가 나중에 어떻게 쓰일지가 진짜 관건임. '오픈' 플랫폼이라는 Android의 정체성이 조금씩 흐릿해지는 느낌ㄷㄷ

prev

이전 기사 (P)

next

다음 기사 (N)

댓글

댓글

댓글을 불러오는 중...

관련 기사

security

크롬, 온디바이스 AI의 '구글 서버로 데이터 안 보냄' 문구 삭제 논란

크롬 설정 문구에서 온디바이스 AI가 데이터를 구글 서버로 보내지 않는다는 설명이 사라졌다는 레딧 제보가 올라옴. 제보자는 크롬 147 버전에는 해당 문구가 있었고, 148 버전에서는 삭제됐다고 주장함. 공식 해명이나 실제 데이터 전송 방식 변경 여부는 본문만으로 확인되지 않지만, 브라우저 내장 AI 기능의 프라이버시 설명이 얼마나 민감한 이슈인지 보여주는 사례임.

security

클라우드 방화벽도 이제 포스트 양자 암호 검증 대상임

시큐어아이큐랩이 클라우드 네이티브 방화벽(CNFW)을 대상으로 한 포스트 양자 암호(PQC) 독립 검증 방법론을 공개했음. TLS, 쿠버네티스 정책 집행, 생성AI 추론 엔드포인트, MCP 서버 보안까지 같이 본다는 점이 핵심임.

security

구글, 에이전트 웹 시대용 사기 방어 플랫폼 ‘Fraud Defense’ 공개

구글 클라우드가 reCAPTCHA의 다음 단계로 Google Cloud Fraud Defense를 공개했어. 사람, 봇, AI 에이전트를 구분하고 위험도를 기반으로 허용·차단 정책을 걸 수 있게 만든 신뢰 플랫폼이 핵심이야. 기존 reCAPTCHA 고객은 별도 마이그레이션 없이 자동으로 Fraud Defense 고객이 되고, 가격이나 사이트 키도 그대로 유지돼.

security

서비스나우 CTO “미토스급 AI가 오픈소스로 풀리면 해킹 속도 더 빨라진다”

서비스나우 CTO 펫 케이시는 앤스로픽의 AI 모델 ‘미토스’가 중국에서 재현돼 핵심 소스가 공개될 경우 사이버 공격 위험이 크게 커질 수 있다고 경고했다. 취약점이 발견된 뒤 실제 악용까지 이어지는 시간이 짧아지는 만큼, 자동화된 보안 대응 도구 없이는 상황이 빠르게 악화될 수 있다는 주장이다.

security

네이버클라우드, SSL/TLS 인증서 자동 갱신용 ACME 기능 출시

네이버클라우드가 Certificate Manager에 SSL/TLS 인증서 발급·갱신·폐지를 자동화하는 ACME 기능을 추가했다. 인증서 유효기간이 2029년 47일까지 줄어들 전망이라, 수동 갱신 운영은 점점 위험해지는 상황이다. 기존 유료 인증서 고객은 추가 비용 없이 사용할 수 있고, Certbot과 Win-acme 같은 오픈소스 클라이언트도 연동된다.