---
title: "F-드로이드가 구글의 안드로이드 개발자 인증을 ‘보호로 위장한 위협’이라고 때린 이유"
published: 2026-07-02T03:00:15.000Z
canonical: https://jeff.news/article/4521
---
# F-드로이드가 구글의 안드로이드 개발자 인증을 ‘보호로 위장한 위협’이라고 때린 이유

F-드로이드는 구글의 안드로이드 개발자 인증 제도(ADV)가 악성코드 방지보다 앱 배포 통제에 가깝다고 강하게 비판했다. 개발자 신원 등록, 서명 키 등록, 구글 약관 동의가 사실상 안드로이드 앱 생태계의 중앙 게이트키핑으로 이어질 수 있다는 주장이다. 특히 2026년 9월 30일부터 브라질, 인도네시아, 싱가포르, 태국에서 먼저 적용될 예정이라 사이드로딩과 오픈소스 앱 배포에 직접적인 영향이 예상된다.

## 구글의 ‘개발자 인증’, F-드로이드는 왜 이렇게 세게 반발하나

- F-드로이드는 구글의 안드로이드 개발자 인증(Android Developer Verification, ADV)을 거의 악성코드에 비유하면서 비판함.
  - 표현이 꽤 과격한데, 핵심은 “사용자 보호”라는 이름으로 구글이 안드로이드 앱 실행 권한을 중앙에서 통제하게 된다는 주장임.
  - 대상은 안드로이드 8 이상 기기고, F-드로이드는 최대 40억 대 안드로이드 폰과 태블릿이 이미 이 기능의 영향을 받는 상태라고 봄.

- ADV의 목표는 구글이 승인하지 않은 개발자의 소프트웨어 실행을 막는 쪽에 가깝다는 게 글의 핵심 주장임.
  - 구글은 악성코드 확산 방지를 명분으로 내세우고 있음.
  - 하지만 F-드로이드는 “악성 행위자가 처음부터 악성 앱을 배포하는 걸 막는 기능은 아니고, 이미 잡힌 사람이 새 계정이나 새 서명 키로 돌아오는 걸 늦추는 정도”라고 깎아내림.

> [!IMPORTANT]
> F-드로이드가 문제 삼는 건 악성코드 대응 그 자체가 아님. 누가 ‘안전한 앱’과 ‘허용되는 개발자’를 정의하느냐를 구글 하나에 맡기는 구조가 문제라는 거임.

- F-드로이드는 더 덜 과격한 대안이 있었다고 주장함.
  - 예를 들어 Play Protect가 새로 설치된 앱 중 고권한 앱이나 의심스러운 경로로 설치된 앱을 더 빡세게 검사할 수 있음.
  - 또는 2023년에 제안된 DCM(Developers Certification Model for Mobile Ecosystems)처럼 사용자가 신뢰할 검증자를 직접 고르는 연합형 검증 모델도 가능하다고 봄.
  - 그런데 구글은 이런 방향 대신, 안드로이드 생태계 전체를 중앙 등록제로 바꾸는 쪽을 택했다는 게 비판 포인트임.

## 개발자 입장에서 제일 찝찝한 부분

- 개발자가 구글의 ‘검증된 개발자’가 되려면 꽤 많은 걸 내줘야 할 수 있음.
  - 계정을 만들고 비용을 내야 함.
  - 상세 개인정보와 정부 발급 신분증을 제출해야 함.
  - 지금 배포하거나 앞으로 배포할 앱의 식별자와 서명 키도 등록해야 함.

- F-드로이드가 특히 위험하다고 보는 대목은 약관의 “악성코드” 정의가 비어 있다는 점임.
  - Android Developer Console 약관에는 악성코드나 유해 앱을 배포하면 접근 권한을 종료할 수 있다는 조항이 있음.
  - 그런데 정작 “악성코드가 정확히 뭔가?”에 대한 공식 정의나 기준은 없다고 지적함.
  - 그래서 F-드로이드는 이걸 “악성코드는 우리가 악성코드라고 부르는 것”이라는 구조로 해석함.

- 이게 왜 무섭냐면, 구글의 사업 이해관계와 충돌하는 앱도 언제든 위험 범주에 들어갈 수 있기 때문임.
  - 예시로 든 게 광고 차단 앱임.
  - 광고 차단 앱은 이미 플레이스토어에서 오래전부터 제한돼 왔고, 일부 사례에서는 악성코드로 분류된 적도 있다고 함.
  - 구글이 글로벌 광고 기술 독점 사업자에 가깝다는 점을 생각하면, 광고 차단 앱 전체를 막는 시나리오가 약관상 불가능하지 않다는 게 F-드로이드의 우려임.

> [!WARNING]
> 약관상 ‘악성코드’ 정의가 모호하면, 보안 판단이 기술 기준이 아니라 플랫폼 사업자의 정책 판단으로 바뀔 수 있음. 오픈소스 앱이나 독립 배포 앱 입장에서는 이게 진짜 리스크임.

## 반발은 이미 꽤 큼

- 구글은 플레이 개발자 앱의 99% 이상이 등록됐다고 말하지만, F-드로이드는 이 수치를 인기의 증거로 보지 않음.
  - 기존 플레이스토어 계약에 묶여 있던 개발자들이 자동으로 포함된 것에 가깝다는 주장임.
  - 즉, 자발적 지지율처럼 읽으면 안 된다는 얘기.

- 반대 움직임도 숫자가 꽤 큼.
  - 수십만 명이 ADV 반대 청원에 서명했다고 함.
  - keepandroidopen.org의 공개서한에는 전 세계 70개 이상 단체가 이름을 올렸고, 여기에는 전자프런티어재단(EFF), 자유소프트웨어재단(FSF), 유럽 자유소프트웨어재단(FSFE), 미국시민자유연맹(ACLU)도 포함됨.
  - 구글이 이 제도를 설명한 개발자 라운드테이블 영상은 시청자의 90%가 싫어요를 눌렀다고 글은 전함.

- F-드로이드가 보는 더 큰 충돌은 신뢰 모델의 차이임.
  - F-드로이드는 오픈소스 투명성으로 보안과 신뢰를 만든다는 모델임.
  - 반대로 상업 앱스토어는 “우리만 믿어”에 가까운 폐쇄형 검증 모델이라고 봄.
  - 지난 16년 동안 두 모델이 공존했지만, ADV가 켜지면 구글이 보안과 신뢰의 정의를 독점하는 체제로 바뀔 수 있다는 게 글의 결론임.

## 9월 30일에 뭐가 바뀔 수 있나

- 첫 적용 지역은 브라질, 인도네시아, 싱가포르, 태국임.
  - 이 네 나라 인구를 합치면 약 5억 8천만 명 규모라고 글은 설명함.
  - 구글의 공개 일정에 따르면 글로벌 적용은 2027년 이후로 이어질 예정임.

- 아직 정확한 장애 형태는 F-드로이드도 모른다고 함.
  - F-드로이드 앱 자체를 설치하거나 실행하면 무슨 일이 생기는지 불확실함.
  - 이미 F-드로이드로 설치한 앱들이 비활성화되는지, 삭제되는지, 계속 실행되는지도 모름.
  - 갑자기 앱이 사라지면 그 안의 데이터에 접근할 수 있는지도 중요한 미확인 지점임.
  - 설치와 실행 검증 과정에서 구글로 어떤 텔레메트리 정보가 전송되는지도 아직 명확하지 않음.

- 그래서 이 이슈는 안드로이드 개발자만의 문제가 아니라, 독립 앱 배포와 사용자 통제권의 문제로 봐야 함.
  - 한국 개발자에게도 영향이 큼. 사내 배포 앱, 연구용 APK, 오픈소스 앱, 커스텀 도구를 안드로이드에 직접 설치하는 문화가 전부 사이드로딩 위에 있기 때문임.
  - 특히 보안 명분의 플랫폼 정책이 한번 중앙화되면, 나중에 특정 앱 카테고리나 개발자 그룹을 막는 데 쓰일 수 있다는 점이 핵심 리스크임.

---

## 기술 맥락

- 여기서 중요한 선택은 안드로이드 앱 신뢰 모델을 기기와 사용자 중심으로 둘지, 구글의 중앙 개발자 등록으로 옮길지예요. 구글은 악성코드 재범을 줄이겠다는 명분을 들지만, F-드로이드는 이 방식이 앱 배포 권한 자체를 플랫폼 사업자에게 몰아준다고 보는 거예요.

- 서명 키 등록이 민감한 이유는 안드로이드 앱의 업데이트 신뢰가 서명 키에 걸려 있기 때문이에요. 앱 식별자와 서명 키가 중앙 등록 대상이 되면, 독립 저장소에서 배포되는 앱도 결국 구글의 허용 목록과 정책 판단을 피하기 어려워져요.

- Play Protect 강화나 연합형 검증자 모델 같은 대안이 언급되는 이유도 여기에 있어요. 악성 앱을 막는 목적이라면 위험 앱 검사나 사용자가 선택한 검증자 조합으로도 접근할 수 있는데, ADV는 생태계 전체를 하나의 중앙 게이트로 통과시키는 방향이라 파급 범위가 훨씬 커요.

- 개발자 입장에서는 이게 단순 정책 변경이 아니라 배포 아키텍처 변경에 가까워요. 지금까지는 APK, F-드로이드, 자체 저장소, 사내 배포 같은 경로가 공존했는데, 인증이 실행 단계까지 영향을 주면 설치 경로보다 ‘구글이 그 개발자를 인정했는가’가 더 중요해질 수 있거든요.

## 핵심 포인트

- 구글의 안드로이드 개발자 인증은 안드로이드 8 이상 기기에 시스템 서비스 형태로 배포되는 구조라고 F-드로이드가 주장함
- F-드로이드는 이 제도가 악성코드 예방보다는 미승인 개발자의 앱 실행을 막는 중앙 통제 장치가 될 수 있다고 봄
- 개발자는 계정 생성, 비용 지불, 개인정보와 정부 발급 신분증 제출, 앱 식별자와 서명 키 등록을 요구받을 수 있음
- 약관에서 악성코드 정의가 명확하지 않아 광고 차단 앱 같은 구글과 이해관계가 충돌하는 소프트웨어까지 막힐 수 있다는 우려가 제기됨
- 초기 적용 국가는 브라질, 인도네시아, 싱가포르, 태국이며 글로벌 확대는 2027년 이후로 예고됨

## 인사이트

이건 단순히 ‘구글이 악성코드를 더 잘 잡겠다’는 뉴스로 보기 어렵다. 안드로이드가 18년 동안 유지해온 사이드로딩과 독립 앱 배포의 공간을 누가 정의하고 통제하느냐의 문제라서, 오픈소스 앱을 쓰거나 배포하는 개발자라면 꽤 민감하게 봐야 할 이슈다.
