본문으로 건너뛰기
피드

F-드로이드가 구글의 안드로이드 개발자 인증을 ‘보호로 위장한 위협’이라고 때린 이유

open-source 약 9분
vote
0
댓글
북마크

F-드로이드는 구글의 안드로이드 개발자 인증 제도(ADV)가 악성코드 방지보다 앱 배포 통제에 가깝다고 강하게 비판했다. 개발자 신원 등록, 서명 키 등록, 구글 약관 동의가 사실상 안드로이드 앱 생태계의 중앙 게이트키핑으로 이어질 수 있다는 주장이다. 특히 2026년 9월 30일부터 브라질, 인도네시아, 싱가포르, 태국에서 먼저 적용될 예정이라 사이드로딩과 오픈소스 앱 배포에 직접적인 영향이 예상된다.

  • 1

    구글의 안드로이드 개발자 인증은 안드로이드 8 이상 기기에 시스템 서비스 형태로 배포되는 구조라고 F-드로이드가 주장함

  • 2

    F-드로이드는 이 제도가 악성코드 예방보다는 미승인 개발자의 앱 실행을 막는 중앙 통제 장치가 될 수 있다고 봄

  • 3

    개발자는 계정 생성, 비용 지불, 개인정보와 정부 발급 신분증 제출, 앱 식별자와 서명 키 등록을 요구받을 수 있음

  • 4

    약관에서 악성코드 정의가 명확하지 않아 광고 차단 앱 같은 구글과 이해관계가 충돌하는 소프트웨어까지 막힐 수 있다는 우려가 제기됨

  • 5

    초기 적용 국가는 브라질, 인도네시아, 싱가포르, 태국이며 글로벌 확대는 2027년 이후로 예고됨

구글의 ‘개발자 인증’, F-드로이드는 왜 이렇게 세게 반발하나

  • F-드로이드는 구글의 안드로이드 개발자 인증(Android Developer Verification, ADV)을 거의 악성코드에 비유하면서 비판함.

    • 표현이 꽤 과격한데, 핵심은 “사용자 보호”라는 이름으로 구글이 안드로이드 앱 실행 권한을 중앙에서 통제하게 된다는 주장임.
    • 대상은 안드로이드 8 이상 기기고, F-드로이드는 최대 40억 대 안드로이드 폰과 태블릿이 이미 이 기능의 영향을 받는 상태라고 봄.
  • ADV의 목표는 구글이 승인하지 않은 개발자의 소프트웨어 실행을 막는 쪽에 가깝다는 게 글의 핵심 주장임.

    • 구글은 악성코드 확산 방지를 명분으로 내세우고 있음.
    • 하지만 F-드로이드는 “악성 행위자가 처음부터 악성 앱을 배포하는 걸 막는 기능은 아니고, 이미 잡힌 사람이 새 계정이나 새 서명 키로 돌아오는 걸 늦추는 정도”라고 깎아내림.

중요

> F-드로이드가 문제 삼는 건 악성코드 대응 그 자체가 아님. 누가 ‘안전한 앱’과 ‘허용되는 개발자’를 정의하느냐를 구글 하나에 맡기는 구조가 문제라는 거임.

  • F-드로이드는 더 덜 과격한 대안이 있었다고 주장함.
    • 예를 들어 Play Protect가 새로 설치된 앱 중 고권한 앱이나 의심스러운 경로로 설치된 앱을 더 빡세게 검사할 수 있음.
    • 또는 2023년에 제안된 DCM(Developers Certification Model for Mobile Ecosystems)처럼 사용자가 신뢰할 검증자를 직접 고르는 연합형 검증 모델도 가능하다고 봄.
    • 그런데 구글은 이런 방향 대신, 안드로이드 생태계 전체를 중앙 등록제로 바꾸는 쪽을 택했다는 게 비판 포인트임.

개발자 입장에서 제일 찝찝한 부분

  • 개발자가 구글의 ‘검증된 개발자’가 되려면 꽤 많은 걸 내줘야 할 수 있음.

    • 계정을 만들고 비용을 내야 함.
    • 상세 개인정보와 정부 발급 신분증을 제출해야 함.
    • 지금 배포하거나 앞으로 배포할 앱의 식별자와 서명 키도 등록해야 함.
  • F-드로이드가 특히 위험하다고 보는 대목은 약관의 “악성코드” 정의가 비어 있다는 점임.

    • Android Developer Console 약관에는 악성코드나 유해 앱을 배포하면 접근 권한을 종료할 수 있다는 조항이 있음.
    • 그런데 정작 “악성코드가 정확히 뭔가?”에 대한 공식 정의나 기준은 없다고 지적함.
    • 그래서 F-드로이드는 이걸 “악성코드는 우리가 악성코드라고 부르는 것”이라는 구조로 해석함.
  • 이게 왜 무섭냐면, 구글의 사업 이해관계와 충돌하는 앱도 언제든 위험 범주에 들어갈 수 있기 때문임.

    • 예시로 든 게 광고 차단 앱임.
    • 광고 차단 앱은 이미 플레이스토어에서 오래전부터 제한돼 왔고, 일부 사례에서는 악성코드로 분류된 적도 있다고 함.
    • 구글이 글로벌 광고 기술 독점 사업자에 가깝다는 점을 생각하면, 광고 차단 앱 전체를 막는 시나리오가 약관상 불가능하지 않다는 게 F-드로이드의 우려임.

⚠️주의

> 약관상 ‘악성코드’ 정의가 모호하면, 보안 판단이 기술 기준이 아니라 플랫폼 사업자의 정책 판단으로 바뀔 수 있음. 오픈소스 앱이나 독립 배포 앱 입장에서는 이게 진짜 리스크임.

반발은 이미 꽤 큼

  • 구글은 플레이 개발자 앱의 99% 이상이 등록됐다고 말하지만, F-드로이드는 이 수치를 인기의 증거로 보지 않음.

    • 기존 플레이스토어 계약에 묶여 있던 개발자들이 자동으로 포함된 것에 가깝다는 주장임.
    • 즉, 자발적 지지율처럼 읽으면 안 된다는 얘기.
  • 반대 움직임도 숫자가 꽤 큼.

    • 수십만 명이 ADV 반대 청원에 서명했다고 함.
    • keepandroidopen.org의 공개서한에는 전 세계 70개 이상 단체가 이름을 올렸고, 여기에는 전자프런티어재단(EFF), 자유소프트웨어재단(FSF), 유럽 자유소프트웨어재단(FSFE), 미국시민자유연맹(ACLU)도 포함됨.
    • 구글이 이 제도를 설명한 개발자 라운드테이블 영상은 시청자의 90%가 싫어요를 눌렀다고 글은 전함.
  • F-드로이드가 보는 더 큰 충돌은 신뢰 모델의 차이임.

    • F-드로이드는 오픈소스 투명성으로 보안과 신뢰를 만든다는 모델임.
    • 반대로 상업 앱스토어는 “우리만 믿어”에 가까운 폐쇄형 검증 모델이라고 봄.
    • 지난 16년 동안 두 모델이 공존했지만, ADV가 켜지면 구글이 보안과 신뢰의 정의를 독점하는 체제로 바뀔 수 있다는 게 글의 결론임.

9월 30일에 뭐가 바뀔 수 있나

  • 첫 적용 지역은 브라질, 인도네시아, 싱가포르, 태국임.

    • 이 네 나라 인구를 합치면 약 5억 8천만 명 규모라고 글은 설명함.
    • 구글의 공개 일정에 따르면 글로벌 적용은 2027년 이후로 이어질 예정임.
  • 아직 정확한 장애 형태는 F-드로이드도 모른다고 함.

    • F-드로이드 앱 자체를 설치하거나 실행하면 무슨 일이 생기는지 불확실함.
    • 이미 F-드로이드로 설치한 앱들이 비활성화되는지, 삭제되는지, 계속 실행되는지도 모름.
    • 갑자기 앱이 사라지면 그 안의 데이터에 접근할 수 있는지도 중요한 미확인 지점임.
    • 설치와 실행 검증 과정에서 구글로 어떤 텔레메트리 정보가 전송되는지도 아직 명확하지 않음.
  • 그래서 이 이슈는 안드로이드 개발자만의 문제가 아니라, 독립 앱 배포와 사용자 통제권의 문제로 봐야 함.

    • 한국 개발자에게도 영향이 큼. 사내 배포 앱, 연구용 APK, 오픈소스 앱, 커스텀 도구를 안드로이드에 직접 설치하는 문화가 전부 사이드로딩 위에 있기 때문임.
    • 특히 보안 명분의 플랫폼 정책이 한번 중앙화되면, 나중에 특정 앱 카테고리나 개발자 그룹을 막는 데 쓰일 수 있다는 점이 핵심 리스크임.

기술 맥락

  • 여기서 중요한 선택은 안드로이드 앱 신뢰 모델을 기기와 사용자 중심으로 둘지, 구글의 중앙 개발자 등록으로 옮길지예요. 구글은 악성코드 재범을 줄이겠다는 명분을 들지만, F-드로이드는 이 방식이 앱 배포 권한 자체를 플랫폼 사업자에게 몰아준다고 보는 거예요.

  • 서명 키 등록이 민감한 이유는 안드로이드 앱의 업데이트 신뢰가 서명 키에 걸려 있기 때문이에요. 앱 식별자와 서명 키가 중앙 등록 대상이 되면, 독립 저장소에서 배포되는 앱도 결국 구글의 허용 목록과 정책 판단을 피하기 어려워져요.

  • Play Protect 강화나 연합형 검증자 모델 같은 대안이 언급되는 이유도 여기에 있어요. 악성 앱을 막는 목적이라면 위험 앱 검사나 사용자가 선택한 검증자 조합으로도 접근할 수 있는데, ADV는 생태계 전체를 하나의 중앙 게이트로 통과시키는 방향이라 파급 범위가 훨씬 커요.

  • 개발자 입장에서는 이게 단순 정책 변경이 아니라 배포 아키텍처 변경에 가까워요. 지금까지는 APK, F-드로이드, 자체 저장소, 사내 배포 같은 경로가 공존했는데, 인증이 실행 단계까지 영향을 주면 설치 경로보다 ‘구글이 그 개발자를 인정했는가’가 더 중요해질 수 있거든요.

이건 단순히 ‘구글이 악성코드를 더 잘 잡겠다’는 뉴스로 보기 어렵다. 안드로이드가 18년 동안 유지해온 사이드로딩과 독립 앱 배포의 공간을 누가 정의하고 통제하느냐의 문제라서, 오픈소스 앱을 쓰거나 배포하는 개발자라면 꽤 민감하게 봐야 할 이슈다.

댓글

댓글

댓글을 불러오는 중...

open-source

직접 조립하는 오픈소스 로봇청소기 ‘움우’, 클라우드 없이 집을 돈다

메이커스 펫이 직접 만들고 고칠 수 있는 오픈소스 로봇청소기 프로젝트 ‘움우’를 공개했다. 하드웨어, 펌웨어, 소프트웨어를 모두 열고, 2D 라이다와 ROS 2 기반 자율주행, 홈 어시스턴트 연동, 3D 프린팅 섀시를 목표로 한다. 아직 초기 단계지만 부품표, 3D 출력 파일, ROS 2 패키지, 펌웨어, 문서까지 공개하며 커뮤니티와 병렬로 개발하겠다는 점이 꽤 재밌다.

open-source

먹고 자라고 복제하는 인공세포 ‘스퍼드셀’ 공개

미네소타대 연구진이 섭식, 성장, 유전자 복제, 분열, 경쟁까지 수행하는 인공 세포 시스템 ‘스퍼드셀’을 공개했다. 기존 세포를 줄여 만든 방식이 아니라 36개 효소, 7개 DNA 플라스미드, 9만 염기쌍 게놈, 지질막을 조립한 상향식 구조라는 점이 핵심이다.

open-source

수세, AI 인프라와 엣지를 오픈소스 성장축으로 밀어붙인다

수세가 AI 인프라와 엣지 컴퓨팅을 미래 성장축으로 잡고, 오픈소스 기반 인프라 사업을 확대하겠다고 밝혔다. 특정 클라우드·모델·플랫폼에 묶이지 않는 선택권을 내세워 소버린 AI와 VM웨어 전환 수요를 공략한다.

open-source

구글 Copybara, 비공개 저장소와 공개 저장소 사이에서 코드 옮기는 도구

구글의 Copybara는 여러 저장소 사이에서 코드를 변환하고 이동시키는 도구다. 비공개 저장소와 공개 저장소를 동기화하거나, 외부 기여를 권위 저장소(authoritative repository)로 가져오는 반복 작업에 초점이 맞춰져 있다.

open-source

박스2디 개발자가 3차원 물리 엔진 ‘박스3디’를 오픈소스로 공개

박스2디 개발자가 3차원 게임용 물리 엔진 박스3디를 공개했다. 박스3디는 박스2디의 구조를 유지하면서 삼각형 메시 충돌, 높이 필드 충돌, 베이크된 복합 충돌, 연속 충돌, 대규모 월드 지원, 멀티스레딩 훅 등을 추가한 C17 기반 엔진이다. 실제 게임 ‘더 레전드 오브 캘리포니아’의 서버 권위형 오픈월드 요구사항 때문에 만들어졌고 아직 알파 단계다.