Android 개발자 인증
(android-developers.googleblog.com)- Google이 Android 개발자 인증 제도를 모든 개발자에게 확대 적용해, 플랫폼의 개방성과 보안성을 동시에 강화함
- 사이드로드 앱의 악성코드 발생률이 Google Play보다 90배 높음에 따라, 익명 악성 행위자를 차단하기 위한 추가 인증 절차를 도입함
- 인증은 Play Console 또는 Android Developer Console에서 진행 가능하며, 올해 말 사용자 측면 변경 전에 완료해야 함
- 2026년 9월부터 브라질·인도네시아·싱가포르·태국에서 먼저 적용, 2027년에 전 세계로 확대 예정
- 이번 조치는 악성코드 확산 방지와 사용자 신뢰 확보를 위한 Android 생태계의 핵심 보안 강화 단계임
Android 개발자 인증 프로그램 개요
- Android 플랫폼의 개방성과 안전성을 동시에 강화하기 위해 Google이 Android 개발자 인증(Developer Verification) 제도를 모든 개발자에게 확대 적용함
- Google 분석 결과, 사이드로드된 앱의 악성코드 발생률이 Google Play보다 90배 높음, 이에 따라 익명 악성 행위자를 차단하기 위한 추가 보안층으로 인증 절차를 도입함
- 수개월간 커뮤니티와 협력해 설계를 개선했으며, 다양한 Android 사용 방식을 고려해 개방성과 보안의 균형을 유지하도록 조정함
인증 절차 시작
- 모든 개발자는 Android Developer Console 또는 Play Console을 통해 인증을 시작할 수 있음
- Google Play 외부에서 앱을 배포하는 경우 Android Developer Console에서 계정 생성 가능
- Google Play를 사용하는 경우 Play Console 계정에서 인증 상태를 확인할 수 있으며, 이미 인증된 경우 추가 조치 불필요
- 올해 말부터 사용자 측면의 변경이 시작되므로, 그 전에 인증과 앱 등록을 완료해야 함
사용자 다운로드 경험 변화
- 인증 도구는 즉시 배포되지만, 사용자 다운로드 경험은 2026년 9월 이후 변경됨
- 사용자 보호 기능은 브라질, 인도네시아, 싱가포르, 태국에서 먼저 적용되고, 2027년에 전 세계로 확대 예정
- 대부분의 사용자는 기존과 동일하게 앱을 설치할 수 있으며, 등록되지 않은 앱 설치 시에만 ADB 또는 고급 설치 흐름(advanced flow) 이 필요함
- 이를 통해 숙련 사용자에게는 유연성을 유지하면서 일반 사용자 보호를 강화함
개발자 피드백 반영 및 개선 사항
- 개발자 경험을 단순화하고 기존 워크플로와 통합해 인증 절차를 효율화함
-
Android Studio 개발자
- 향후 2개월 내에 서명된 App Bundle 또는 APK 생성 시 등록 상태를 Android Studio 내에서 직접 확인 가능
-
Play Console 개발자
- 이미 Play Console에서 인증을 완료한 경우 Play 앱이 자동으로 등록됨
- 자동 등록이 불가능한 경우 수동 앱 등록 절차를 따라야 하며, 세부 안내는 콘솔 및 이메일을 통해 제공 예정
- Play Console에서도 Play 외부 배포 앱 등록이 가능함
-
학생 및 취미 개발자
- 정부 신분증 없이 무료로 사용할 수 있는 제한 배포 계정(limited distribution account) 제공 예정
- 최대 20대 기기까지 앱 공유 가능하며, 이메일 계정만으로 시작 가능
- 2026년 6월부터 얼리 액세스 초대 발송 예정
-
고급 사용자(power users)
- ADB 또는 새로운 advanced flow를 통해 등록되지 않은 앱을 설치할 수 있는 선택권 유지
- 이를 통해 보안과 자유로운 설치 환경을 병행
향후 일정
- Google은 개발자, 사용자, 파트너와 협력하며 점진적으로 제도를 도입 중
- 2026년 4월: Android Developer Verifier 시스템 서비스가 Google 시스템 설정에 표시됨
- 2026년 6월: 학생·취미 개발자용 제한 배포 계정 얼리 액세스 시작
- 2026년 8월: 제한 배포 계정 및 advanced flow 전 세계 출시
- 2026년 9월 30일: 브라질, 인도네시아, 싱가포르, 태국에서 인증된 개발자만 앱 설치·업데이트 가능, 미등록 앱은 ADB 또는 advanced flow로만 설치 가능
- 2027년 이후: 전 세계로 인증 요구사항 확대
결론
- Google은 “열려 있으면서도 안전한 Android 생태계” 유지를 목표로 함
- 개발자는 developer guides를 통해 인증 절차를 즉시 시작 가능
- 이번 조치는 악성코드 확산 방지와 사용자 신뢰 확보를 위한 Android 보안 강화의 핵심 단계임
Hacker News 의견들
-
Android의 개발자 인증 절차가 완전히 망가진 경험이었음
회사용 개발자 계정을 만들려고 했는데, DUNS 번호로 비즈니스 결제 프로필을 인증하고, 여권과 은행 명세서로 본인 인증을 한 뒤에도 또다시 회사 서류로 신원 확인을 요구받았음
이메일도 여러 번 인증했는데 여전히 “추가 인증 필요” 메시지가 뜸
단계마다 며칠씩 걸리고, 실패하면 처음부터 다시 해야 해서 너무 느리고 고통스러운 과정이었음
이래서 내가 Android를 안 쓰는 이유를 다시 떠올렸음. 아무도 전체 프로세스를 책임지지 않는 느낌임- 10년 전 Android 앱을 출시했을 때도 비슷했음. 개발자 커뮤니티에서는 항상 “실제 Google 계정으로 앱을 올리지 말라”는 경고가 있었음. 이유는 모호한 사유로 계정 전체가 봇에 의해 정지될 수 있기 때문임
Google은 개발자를 싫어하는 듯한 태도를 보임. 특히 지금처럼 젊은 세대가 대부분 iPhone을 쓰는 상황에서는 정말 나쁜 전략임 - Google Play 경험은 정말 끔찍함
최근에는 도박 앱으로 잘못 분류되어 거절된 앱을 다시 제출해야 했고, 수년간 문제없던 앱도 이유 없이 새 버전을 제출하라고 요구받았음
지원팀과 이의제기 절차는 완전히 무의미했음. 매번 사람의 개입이 전혀 없는 느낌임 - Apple Developer로서도 거의 같은 경험을 했음
인증이 끝나기도 전에 결제부터 받고, AI가 내 얼굴과 신분증을 매칭하지 못해 환불도 거부당했음
이런 AI 기반 인증 시스템은 진짜 지옥 같음 - 비즈니스 계정인데 왜 여권을 요구하는지 이해가 안 됨
개인 카드로 결제한 이유가 있는지 궁금함 - 각 단계는 논리적으로 보이지만, 전체적으로 보면 너무 많은 주체가 얽혀 있음. 그래서 시스템이 엉망이 된 것 같음
- 10년 전 Android 앱을 출시했을 때도 비슷했음. 개발자 커뮤니티에서는 항상 “실제 Google 계정으로 앱을 올리지 말라”는 경고가 있었음. 이유는 모호한 사유로 계정 전체가 봇에 의해 정지될 수 있기 때문임
-
Google은 “사이드로딩 앱에서 90배 더 많은 악성코드가 발견됐다”고 주장했지만, 실제로는 노인들의 폰이 Google Play에서 받은 광고 앱으로 가득한 걸 본 적 있음
- 완전 공감함. Google은 “malware”의 정의를 자기 입맛대로 바꾸고 있음
광고와 추적이 덕지덕지 붙은 앱을 정상으로 분류함으로써 주주 가치 보호에만 집중함
Wikipedia, IBM, Cisco, Kaspersky 등에서 정의한 malware 개념과 완전히 다름 - 두 가지가 동시에 사실일 수도 있음. 사이드로딩 앱이 위험할 가능성은 높지만, 실제로 설치된 쓰레기 앱 대부분은 Google Play에서 온 것일 수도 있음
- 더 최악인 건, 이런 앱으로 유도하는 광고가 대부분 YouTube 앱 내부 광고라는 점임
- “90배 많다”는 분석의 출처와 검증이 전혀 없음. “우리가 조사했으니 믿어라” 식의 발표는 신뢰할 수 없음
- 나도 분석해봤는데, Google이 다른 회사보다 90배 더 사기꾼스럽다는 결론이 나왔음 (물론 근거는 없음)
- 완전 공감함. Google은 “malware”의 정의를 자기 입맛대로 바꾸고 있음
-
Android 사용자의 몇 %가 이런 정책을 원할까?
나는 2010년부터 Android를 써왔지만, 점점 폐쇄적인 방향으로 가는 게 싫음
이제는 진짜 Linux 폰으로 옮길 계획을 세우고 있음- 나도 Android로 옮긴 이유가 사이드로딩 자유 때문이었음
- 하지만 현실적으로 파워 유저는 Android 사용자 중 0%에 가까움
- Apple이 APK 설치를 허용한다고 발표하면, 오히려 “Apple이 통제해야 한다”고 주장하는 사람들도 있을 것임
Epic vs Apple 소송이나 Digital Markets Act 논의 때도 그런 사람들 많았음 - Play Store의 악성 앱 문제는 이해하지만, 그건 개발자 인증 문제와는 별개임
- Google이 이런 인증을 강화하는 이유는 AI 봇이 스팸 앱을 올리는 걸 막기 위해서임
신원과 앱을 연결하면 법적 대응이 쉬워짐
-
“Android는 모두를 위한 개방적 플랫폼”이라는 문장을 보는 순간, 그 뒤에 나올 내용이 사용자에게 불리할 것임을 직감했음
사이드로딩 앱을 검증하는 소프트웨어는 반(反)사용자적 발상임- 나는 F-Droid 외의 앱을 설치해야 할 때마다 불안함
Play Store 앱은 백그라운드에서 뭘 하는지 알 수 없음 - “사이드로딩 앱”이라는 표현 자체가 Google과 Apple이 통제하려는 앱을 낙인찍는 용어임
결국 Android가 아닌 다른 배포판을 찾아야 할 듯함 - HR이 “잠깐 이야기 좀 하자”고 할 때처럼, 이미 좋지 않은 일이 일어날 것을 직감하게 됨
- 다음 단계는 아마 생체 샘플 제출일지도 모름
- 나는 F-Droid 외의 앱을 설치해야 할 때마다 불안함
-
“40M명이 크랙된 YouTube Premium을 쓰고 있다면 어떻게 할까?”라는 내부 대화가 있었을 것 같음
- 맞음. 이번 정책이 적용되는 국가는 아마 크랙된 YouTube Premium이 많은 지역일 것임
APK 복제와 앱 해적판은 이미 대중화되어 있음 - 나도 YouTube Premium을 결제하지만, 대체 앱을 씀. 공식 앱은 백그라운드 재생이 자주 멈춤
기술이 오히려 퇴보한 느낌임 - NewPipe은 크랙 앱이 아님. 오픈소스 대안임
- Google은 이미 이런 앱을 malware로 분류할 수 있었음
이번 인증 시스템은 단지 다형성 앱 탐지를 위한 장치일 뿐임
- 맞음. 이번 정책이 적용되는 국가는 아마 크랙된 YouTube Premium이 많은 지역일 것임
-
정부 발급 신분증을 기업에 제출하는 게 너무 이상하게 느껴짐
특히 유럽에서는 “정부 ID를 아무에게도 보내지 말라”는 교육을 받았는데, 이제는 서비스 이용을 위해 당연하게 요구됨
개인이 아닌 회사 계정인데 왜 개인 신분을 요구하는지도 의문임
개발자와 회사의 관계가 끊어지거나 법적 문제가 생길 때 책임 소재가 모호해질 수 있음
프리랜서나 외주 개발의 경우 인증 주체가 누구인지도 불분명함 -
Google이 개발자 인증을 맡는다면, 그만큼 책임도 져야 하지 않나 하는 의문이 듦
만약 사용자가 사기 앱에 당하면 Google을 상대로 소송할 수 있을까?- Google에 반독점 법 적용을 검토해야 할 시점임
- 하지만 현실은 언제나 “책임은 아래로만 흐름”
-
9to5Google 기사에 따르면
4월부터 Android Developer Verifier가 시스템 앱으로 설치되어, 사이드로딩된 앱이 개발자 신분증으로 인증되었는지 Google 서버에 확인한다고 함- 이걸 보고 바로 GrapheneOS로 전환해야겠다고 생각했음
다만 대부분의 사람들은 그렇게 못하니 안타까움
GrapheneOS의 Google Play 샌드박스에서 이 시스템 앱이 어떻게 동작할지 궁금함 - 예전에 “디버거 사용에도 라이선스가 필요하다”는 풍자가 있었는데, 이제 그게 현실 매뉴얼이 되어버린 느낌임
- 이걸 보고 바로 GrapheneOS로 전환해야겠다고 생각했음
-
Google의 폐쇄적 정책 때문에 최근 /e/OS로 갈아탐
처음엔 불편했지만, 이제는 광고가 아닌 사용자를 위한 소프트웨어를 쓰는 느낌이라 만족함
Android에서 점점 끓는 물 속 개구리처럼 변해가던 나에게 신선한 공기 같은 변화였음 -
오픈소스 Android 앱 다섯 개 이상을 Play Store 외부에서 쓰고 있는데, 이런 정책이면 앞으로 곤란함
GrapheneOS가 기본 탑재된 Motorola 폰을 사면 이런 제약을 피할 수 있을까 궁금함- 현재 계획은 Motorola가 GrapheneOS를 직접 탑재하지 않고, 일부 플래그십 모델에서 수동 설치를 지원하는 것임
- GrapheneOS는 여전히 APK 설치를 허용함