본문으로 건너뛰기
J
피드

구글, 비인증 앱 사이드로딩에 24시간 대기 시간 도입한다

security 약 5분
tags
#security
vote
0
댓글
북마크

구글이 2026년부터 Android 앱 사이드로딩에 개발자 인증 제도를 도입하는데, 인증 우회하려면 개발자 옵션에서 복잡한 절차 + 24시간 대기해야 함. 사기 피해 줄이려는 목적이라는데, 파워유저들한테는 좀 불편해질 듯ㄷㄷ

  • 1

    비인증 앱 사이드로딩에 24시간 강제 대기 시간 도입 (소셜 엔지니어링 사기 방지 목적)

  • 2

    개발자 인증은 신분증+서명키+$25 수수료 필요, 인증 안 하면 기본 설치 불가

  • 3

    2026년 9월 브라질·싱가포르·인도네시아·태국 우선 적용, 2027년 전 세계 확대

  • 2026년 9월부터 브라질, 싱가포르, 인도네시아, 태국에서 먼저 시행, 이후 전 세계 확대
  • 비인증 앱 설치하려면 개발자 옵션 깊숙이 숨겨진 메뉴 + 24시간 대기 필수
  • 24시간 딜레이는 "당장 앱 설치 안 하면 큰일 난다"는 소셜 엔지니어링(social engineering) 사기 차단 목적
  • 개발자 인증은 신분증 제출 + 서명 키 업로드 + $25 수수료 필요
  • "무기한 허용" 한 번 설정해두면 이후엔 대기 없이 설치 가능

🔐 도대체 어떻게 바뀌는 건데?

구글이 Android 앱 사이드로딩(sideloading) 규제를 대폭 강화한다. 핵심은 인증된 개발자가 배포한 앱만 기본적으로 설치 가능하게 막는 것.

Google Play 밖에서 앱을 배포하려는 개발자는:

  • 신분증 제출
  • 서명 키(signing key) 사본 업로드
  • $25 수수료 납부

이 조건을 충족해야 "인증 개발자" 자격을 받는다.

⏱️ 24시간 대기, 그 이유가 뭐냐면

비인증 앱을 설치하고 싶으면 advanced flow(고급 우회 절차)를 직접 활성화해야 하는데, 단계가 꽤 됨:

  1. 설정 > 휴대폰 정보에서 소프트웨어 빌드 번호 7번 탭 → 개발자 옵션 활성화
  2. 설정 > 시스템 > 개발자 옵션 진입
  3. "Allow Unverified Packages" 토글 ON
  4. "강요받고 있지 않음" 확인 탭
  5. 기기 잠금 PIN/비밀번호 입력
  6. 기기 재시작
  7. 24시간 대기 ← 여기가 핵심
  8. 다시 메뉴 진입 후 추가 경고 화면 통과
  9. "임시 허용 (7일)" 또는 "무기한 허용" 선택
  10. 위험 인지 체크박스 확인

Android Ecosystem 총괄 Sameer Samat은 이렇게 설명함:

"24시간 동안 공격자가 공격을 지속하기 훨씬 어려워집니다. 그 시간 동안 가족이 진짜 구치소에 있는 건지, 내 계좌가 진짜 해킹당한 건지 확인할 수 있거든요."

ㄹㅇ 최근 "당장 이 앱 설치 안 하면 계좌 털린다"는 식의 보이스피싱 피해가 심각한데, 이걸 차단하려는 거라고.

😤 파워유저들은?

"무기한 허용" 한 번만 설정해두면 그 이후엔 매번 기다릴 필요 없음. 개발자 옵션 다시 꺼도 설정은 유지됨. 근데 이 메뉴가 의도적으로 깊숙이 숨겨져 있어서 일반 유저한테는 사실상 접근 불가 수준.

🌍 논란이 없는 건 아님

  • 프라이버시 우려: 개발자 신원 데이터베이스가 법적 압박에 악용될 수 있다는 지적. 구글은 "부당한 사법 명령엔 대응한다"고 하지만 아직 불분명
  • 제재 국가 개발자: 쿠바, 이란 등 제재 대상국 개발자는 수수료 납부 자체가 불가능할 수 있음
  • 앱 내용 검열 아님: 구글은 앱 내용은 확인 안 하고 오직 신원 확인만 한다고 강조. 루팅 앱, 유튜브 광고 차단 앱도 직접 타겟은 아니라고

📅 롤아웃 일정

  • 2025년 말: Android 16.1에 검증 시스템 통합 시작
  • 2026년 9월: 브라질, 싱가포르, 인도네시아, 태국에서 강제 적용 시작
  • 2027년: 전 세계 확대 예정

현재 지원되는 모든 Android 기기에 순차 배포되며, UI는 제조사 관계없이 구글이 통일해서 제공할 예정.

구글 입장에선 규제 압박도 막고 멀웨어도 잡는 일석이조 전략인데, 개발자 인증 데이터베이스가 나중에 어떻게 쓰일지가 진짜 관건임. '오픈' 플랫폼이라는 Android의 정체성이 조금씩 흐릿해지는 느낌ㄷㄷ

prev

이전 기사 (P)

next

다음 기사 (N)

댓글

댓글

댓글을 불러오는 중...

관련 기사

security

공공 보안 규제가 클라우드 보안을 막는다는 국내 업계의 경고

국내 보안업계가 공공 부문의 경직된 규제 때문에 SASE와 SECaaS 같은 클라우드 기반 보안 서비스 도입이 막히고 있다고 비판했다. 금융권과 민간 시장은 SaaS·클라우드 보안을 받아들이는 반면, 공공 시장은 여전히 구축형 장비 중심이라 국내 보안 기업의 경쟁력까지 약화된다는 지적이다.

security

F5 “기업 94%가 하이브리드 멀티클라우드…AI 시대엔 앱 보안 일관성이 경쟁력”

F5코리아가 하이브리드 멀티클라우드와 AI 도입이 동시에 커지는 환경에서 애플리케이션 전송·보안 플랫폼 전략을 공개했다. 기업의 94%가 평균 19개 위치에 인프라를 분산 운영하고, 웹 공격은 77%, 봇 활동은 150% 증가했다는 수치를 근거로 일관된 보안과 AI 기반 방어 체계를 강조했다.

security

F5, 멀티클라우드 보안 플랫폼을 AI 에이전트와 추론 인프라까지 확장

F5가 애플리케이션 전송·보안 플랫폼을 하이브리드 멀티클라우드뿐 아니라 AI 모델, 에이전트, 추론 인프라까지 관리하는 방향으로 확장한다. 핵심은 프런트 도어, 오케스트레이션, 추론 단계마다 보안과 전송 정책을 일관되게 적용하는 것이다.

security

스패로우, AI가 짠 코드 바로 검사하는 MCP 보안 도구 출시

스패로우가 AI 코딩 에이전트가 만든 코드를 개발 단계에서 바로 점검하는 ‘스패로우 MCP’를 출시했다. 클로드 코드, 커서 같은 도구와 연동해 소스코드 취약점, 오픈소스 라이선스, 공급망 리스크, SBOM 생성을 IDE 안에서 처리하는 방향이다. AI 코딩이 빨라질수록 보안 검사를 뒤로 미루기 어렵다는 흐름을 보여준다.

security

스패로우, AI가 짠 코드 바로 취약점 검사하는 ‘스패로우 MCP’ 출시

스패로우가 AI 코딩 에이전트가 생성한 코드를 IDE 안에서 즉시 분석하는 보안 어시스턴트 ‘스패로우 MCP’를 출시했다. 모델 컨텍스트 프로토콜을 기반으로 취약점 검증, 오픈소스 컴포넌트 식별, 라이선스 확인, SBOM 자동 생성을 개발 흐름에 붙이는 제품이다.