구글의 안드로이드 개발자 인증 정책, F-Droid와 사이드로딩을 흔들다

구글이 바꾸려는 것

• 논란의 핵심은 구글이 2026년 9월부터 안드로이드 앱 설치에 개발자 중앙 등록을 요구하려 한다는 점임.

  • 플레이스토어 앱만 대상이 아니라, 친구에게 받은 앱, F-Droid 앱, 취미로 만든 개인 앱, 사내 테스트 앱까지 포함된다는 게 글의 주장이다.
  • 개발자가 등록하지 않으면 해당 앱은 전 세계 안드로이드 기기에서 조용히 차단될 수 있다고 설명함.

• 등록 조건도 가볍지 않음. 단순히 이메일 인증하고 끝나는 수준이 아니다.

  • 구글에 수수료를 내고, 약관에 동의하고, 정부 발급 신분증을 제출해야 한다고 정리돼 있음.
  • 개인 서명 키에 대한 증빙과 현재·미래 앱 식별자 목록까지 요구된다는 점도 문제로 지적됨.

누가 타격을 받나

• 일반 사용자는 “내가 산 폰에 내가 원하는 앱을 설치한다”는 전제가 흔들림.

  • 안드로이드는 아이폰과 달리 열려 있다는 약속으로 선택된 플랫폼인데, 글은 구글이 그 약속을 사후에 바꾸고 있다고 본다.
  • 이미 구매한 기기에도 업데이트로 정책이 적용될 수 있다는 점이 특히 반발을 부름.

• 독립 개발자와 오픈소스 프로젝트에는 진입 장벽이 생김.

  • 학생의 첫 앱, 자원봉사자가 만든 프라이버시 도구, 회사 내부 베타 앱도 구글 등록 없이는 설치가 어려워질 수 있음.
  • F-Droid는 이 흐름을 “존립 위협”으로 보고 있고, 여러 오픈소스·디지털 권리 단체도 같은 우려를 냄.

• 시민사회와 정부 입장에서도 민감한 문제임.

  • 구글이 특정 국가나 정부 요청에 따라 앱 제거에 협조한 전례가 있다는 점이 언급됨.
  • 개발자 실명 데이터베이스가 생기면 언론인, 활동가, 내부고발자, 검열 회피 도구 개발자가 특히 위험해질 수 있다는 논리다.

“고급 사용자 예외”가 왜 논란인가

• 구글은 고급 사용자가 여전히 미인증 앱을 설치할 수 있다고 말하지만, 글은 이걸 사실상 억제 장치로 봄.

  • 개발자 옵션을 찾아 들어가고, 빌드 번호를 7번 탭하고, 경고 화면을 넘기고, PIN을 입력하고, 재시작한 뒤 24시간을 기다리는 흐름으로 설명돼 있음.
  • 이후 다시 경고를 확인하고, 7일 임시 허용 또는 무기한 허용을 고른 뒤 또 확인해야 한다. 총 9단계에 24시간 대기다.

• 더 큰 문제는 이 흐름이 안드로이드 운영체제 자체가 아니라 Google Play Services를 통해 돈다는 점임.

  • 구글은 운영체제 업데이트 없이도 절차를 바꾸거나, 더 빡세게 만들거나, 아예 없앨 수 있다.
  • 글 작성 시점 기준으로 이 예외 흐름은 베타·프리뷰·카나리 빌드에 실제로 들어간 기능이 아니라 블로그와 목업 수준이라고 지적함.

보안인가, 통제인가

• 글은 구글의 보안 논리를 정면으로 반박함. 개발자 신원 확인이 코드 안전성을 보장하지 않는다는 이유다.

  • Play Protect는 이미 개발자 신원과 별개로 악성코드를 검사할 수 있음.
  • 악성 행위자는 등록 절차를 통과하거나 계정을 사들일 수 있지만, 익명 오픈소스 개발자나 정치적으로 민감한 개발자는 참여를 포기할 가능성이 큼.

• 애플도 비슷하지 않냐는 반론에 대해서는 “안드로이드는 원래 다르다고 팔았다”는 논리로 맞섬.

  • 애플은 처음부터 닫힌 정원 모델이었고, 안드로이드는 개방성을 차별점으로 내세웠다는 것.
  • 게다가 유럽 디지털시장법(DMA) 압박으로 애플은 일부 개방을 요구받는 중인데, 구글은 반대로 닫는 방향으로 간다는 비판도 붙음.

• 단돈 25달러와 서류 몇 장 아니냐는 반론도 현실을 너무 미국 중심으로 본다는 지적이 나옴.

  • 신용카드와 운전면허증이 있는 미국 개발자에게는 작아 보일 수 있음.
  • 하지만 제재 국가, 권위주의 국가, 미성년자, 익명 기여자, 커뮤니티 의료 앱 개발자에게는 신분 노출 자체가 큰 비용이다.

개발자들이 봐야 할 포인트

• 이 변화는 개인 취미 앱보다 훨씬 넓은 범위에 닿음.

  • 사내 비공개 베타, 현장 장비 제어 앱, 연구용 도구, 보안 테스트 앱, 지역 커뮤니티 앱까지 영향을 받을 수 있다.
  • 한국 개발자 입장에서도 플레이스토어 바깥 배포, MDM 외부 설치, 오픈소스 앱 활용 정책을 다시 봐야 할 수 있음.

• 글은 개발자에게 프로그램에 등록하지 말라고 강하게 요구함.

  • 안드로이드 개발자 콘솔에 가입해 약관에 동의하지 말고, 신원 인증도 하지 말라는 주장이다.
  • 구글의 계획은 개발자들이 순순히 등록할 때만 작동하므로, 집단적 거부가 필요하다는 논리다.

• 이미 반대 움직임은 꽤 커짐.

  • 21개국 69개 단체가 공개서한에 이름을 올렸고, 청원에는 10만 명 이상이 참여했다고 소개됨.
  • EFF, F-Droid, Brave, Nextcloud, KDE, Free Software Foundation 같은 조직들이 검열·경쟁 제한·개발자 안전 문제를 제기하고 있다.

---

기술 맥락

• 여기서 기술적 선택은 “앱 단위 검사”가 아니라 “개발자 단위 인증”이에요. 악성코드 여부를 코드나 행위로 판단하는 대신, 앱을 배포하는 사람이 구글에 등록돼 있는지를 설치 가능 조건으로 삼는 방식이라 논란이 커지는 거예요.

• 왜 이게 아키텍처적으로 큰 변화냐면, 앱 배포의 신뢰 루트가 기기 소유자나 운영체제 설정이 아니라 구글의 중앙 등록 시스템으로 이동하기 때문이에요. 사용자가 APK를 갖고 있어도, 플랫폼이 개발자 상태를 보고 설치를 막을 수 있으면 배포 권한은 사실상 중앙화됩니다.

• F-Droid가 특히 민감하게 반응하는 이유도 여기에 있어요. F-Droid는 플레이스토어 바깥에서 오픈소스 앱을 배포하는 독립 채널인데, 모든 앱 개발자가 구글에 신원 등록해야 한다면 대체 앱스토어의 독립성이 크게 줄어들거든요.

• Google Play Services를 통한 예외 흐름도 중요해요. 운영체제 레벨의 공개 설정이라면 제조사나 커스텀 롬이 다르게 구현할 여지가 있지만, 독점 서비스 계층에 정책이 들어가면 구글이 서버 측 정책이나 서비스 업데이트로 마찰을 계속 조절할 수 있어요.

• 결국 이 이슈는 모바일 보안 정책 하나가 아니라 개인 컴퓨팅의 소유권 문제에 가까워요. 내 기기에서 어떤 코드를 실행할지 결정하는 권한이 사용자에게 남는지, 아니면 플랫폼 사업자의 허가 시스템으로 넘어가는지가 핵심입니다.