2P by GN⁺ 1일전 | ★ favorite | 댓글 3개
  • 구글이 최근 안드로이드 앱 사이드로딩 제한 정책을 시행하며, 사용자의 디지털 자율성모바일 생태계의 개방성에 대한 논쟁이 확산됨
  • 싱가포르의 시범사업에서 웹·메신저·파일매니저로 받은 앱민감 권한(SMS, 접근성 등) 요청 앱의 설치를 차단하는 등 규제 강화
  • Play Integrity API 도입으로 개발자가 사이드로딩 앱의 기능 제한 가능, 구글 플레이스토어 중심의 폐쇄적 분배 구조를 강화
  • 이런 조치가 보안 강화에는 기여할 수 있으나, 혁신과 경쟁을 약화시키고, 안드로이드의 개방성 약화를 초래한다는 비판 대두
  • Purism은 PureOS와 Librem 5오픈소스·프라이버시 중심 모바일을 대안으로 제시, 사용자의 데이터 주권자유로운 앱 설치 환경을 보장함

구글의 안드로이드 사이드로딩 제한 도입

  • 구글은 최근 보안 문제를 이유로 안드로이드에서 사이드로딩 앱에 대한 새로운 제한을 적용하기 시작함
  • 싱가포르에서의 시범 정책은 사이버 보안 기관과 협력하여 도입되었으며, 특히 SMS 접근 권한이나 접근성 서비스 등 민감 권한을 요청하는 앱 설치를 웹 브라우저, 메시징 앱, 파일 매니저를 통해 제한하는 방식임
  • 이 조치는 사기 및 악성코드를 통한 범죄를 방지하는 데 목적이 있음

Play Integrity API와 앱 스토어 종속성

  • 구글은 Play Integrity API를 도입함으로써, 앱 개발자가 앱이 사이드로딩 되어 있을 경우 일부 기능 제한을 둘 수 있도록 함
  • 이러한 정책은 사용자들이 구글 플레이 스토어를 통한 공식 경로로만 앱을 설치하도록 압박함
  • 표면적으로는 보안 강화 목적을 내세우지만, 실제로는 안드로이드 생태계에 대한 구글의 통제 강화로 이어짐
  • 이에 따라 디지털 자율권, 혁신, 사용자 권리에 대한 우려가 다시 제기되고 있음

비판 및 영향

  • 비평가들은 해당 정책이 악성 앱 차단 효과는 있지만, 동시에 경쟁 제한사용자 선택권 축소 문제를 지적함
  • 안드로이드 특유의 플랫폼 개방성과 사이드로딩 자유가 약화되며, 결국 Apple iOS의 폐쇄적 생태계와 유사한 방향으로 변화함
  • 이러한 흐름이 혁신 저해앱 유통 독점으로 이어질 가능성이 있음

Purism의 대안: PureOS와 Librem Phone

  • Purism은 점점 심화되는 감시 및 기업 지배에 대응해 프라이버시 중심의 해법을 제시함
  • PureOS는 Debian 기반 리눅스 운영체제로, Librem 5Liberty Phones에 탑재되어 완전한 사용자 자율성과 데이터 주권을 보장함
  • 이 환경에서는 타깃 광고, 데이터 마이닝, 중독성 알고리듬, 행태 조작을 사용하지 않는 오픈소스 보안 앱만 지원함
  • 사용자는 기업 앱스토어나 침해적인 API에 의존하지 않아 더욱 투명하고 안전한 컴퓨팅 경험을 누릴 수 있음

결론: 오픈 대안의 중요성

  • 구글이 안드로이드 생태계를 더욱 폐쇄적으로 전환하는 가운데, Purism은 윤리적, 안전, 개방적인 모바일 컴퓨팅 환경을 지향함
  • 사용자 주권과 프라이버시에 초점을 맞춘 대안이 기술 업계 및 개발자에게 중요한 선택지로 부상함

사실 사이드 로딩은 "신뢰할 수 있는 서명자 체계"만 넣고 이걸 디지서트 같은 서드파티 인증자한테 개방하면 최소한 믿을 수 있는 APK인지 확인이 가능합니다. 문제는 구글이 이걸 플레이 스토어에 일임하는 식으로 만들어 놨죠. 근데 구글 플레이 스토어가 악성 앱을 잘 잡냐 하면 글쎄고, 구글 플레이 방침에 어긋나는 앱은.......

글 자체는 의도가 의심이 되는 글이지만 실제 사용 시에 점점 귀찮아지고 있는 것은 사실이죠.
이미 갤럭시 기기에서 악성 의심 앱 차단이니 하는 기능을 끌 수도 없게 만들어 뒀더라구요. 우회법은 있지만 점점 이런 규제를 추가하고 있습니다.
라이트 사용자들은 사이드로딩을 거의 사용하지 않고 악성 코드 실행을 막을 수 있으니 좋은 기능일 수 있지만 적어도 끌 수는 있게 해야 하는 것 아닌가요?

픽셀이 정발되기를 원하고 있었는데 구글도 비슷한 일을 한다면...

Hacker News 의견
  • 이런 시점에 블로그 포스트를 올린 게 참 이상한 타이밍이라는 감정 표현, 혹시 몇 달 전에 준비한 글을 이제야 공개한 건 아닌지 의문 제기, 이 파일럿 프로그램은 1년 4개월 전에 싱가포르에서 발표된 내용이라는 사실 공유, 대상은 싱가포르 한정 및 특정 권한(예: RECEIVE_SMS, READ_SMS, BIND_NOTIFICATIONS, 접근성 권한)이 필요한 앱, 앱스토어 외부에서 직접 다운로드한 앱만 해당, F-Droid나 adb로 설치는 괜찮은 방향이라는 정보 제공, Play Protect 기능을 끄면 우회를 시도할 수 있지만 실제로 싱가포르에서 적용 가능한지는 본인도 모름, 참신하게도 Google은 통화 중에는 Play Protect를 끌 수 없게 막았고 이런 조치는 현명한 판단이라는 칭찬, 싱가포르 경찰 발표에 따르면 이런 접근 방식이 실질적인 효과를 잘 내지 못했다고 밝히는 내용 인용, 피해자들이 APK 파일 설치 전 Google Play Protect를 끄도록 안내받고, VPN 앱까지 설치함으로써 사기범들이 은행 방지 기술을 우회한다는 사례 설명 링크 제공(https://police.gov.sg/media-room/news/…)

    • 싱가포르 사람들이 사기에 특히 취약하다는 데이터 언급, 지난해 수만 명이 피해를 입고 총 11억 싱가포르 달러를 잃었고 이는 전년 대비 70% 증가 수치라는 점, Global Anti-Scam Alliance 통계에 따르면 실제 신고된 피해보다 더 많을 것이라는 경험 공유, 왜 싱가포르가 표적이 되는지 그 배경에 부유함, 디지털화, 규정 준수 문화가 있다고 설명(https://archive.is/fCmW1)

    • Purism 블로그 글이 왜 지금 나왔는지 불명확하다는 의견, 단순히 마케팅 목적의 FUD(공포, 불확실성, 의심)일 뿐이라고 생각한다는 점, PureOS기반 Librem 5와 Liberty Phones를 직접적으로 언급하며 그들이 APK를 실행할 수 있는지 의문, Sailfish만이 이런 기능 제공하지만 라이선스 이슈로 예외적이라는 의견 추가, Purism이 Phosh 등 터치 기반 리눅스 개발에 많은 투자를 하는 것은 인정하나 리눅스 터치 환경 자체가 아직 매우 열악하다는 점 강조, 이 글이 직접적인 영향을 받는 상황이 아닌데도 메인스트림 대안을 나쁘게 묘사해서 자사 제품 마케팅에 활용하려는 의도라고 생각

    • Google이 App Store 관련 소송에서 불리한 판정을 받기 전후의 시기 구분이 중요하다는 의견 제시, 이용자가 스스로 보호받으면서도 자유를 누릴 수 있는 균형이 어렵다는 점 강조, 사용자들이 보안 경고에 익숙해지면 결국 무시하게 된다는 현상을 언급, Play 스토어도 완전히 안전하다고 보기 힘들며, 공개된 안드로이드 사용자 GPS 데이터조차도 공식 앱의 악의적 행위를 보여준다는 주장, 결국 취약계층 이용자를 위해 똑똑하고 신뢰할 수 있는 제3자가 기기 관리자 권한을 갖는 것이 대안이라고 생각

  • 글이 푸짐한 내용 없이 Purism 광고에 가까운 느낌이라는 의견

    • 광고라는 사실을 깨닫자마자 모든 내용을 무의미하다고 판단했다는 의견, 더 좋은 링크가 필요하다는 요청

    • 업보트 수로 미루어볼 때, 많은 사람들이 Android 방향에 대한 우려와 대안에 대한 관심을 갖고 있다고 생각

  • 이번 이슈가 2024년 것 아니었는지 의문 제기(https://techcrunch.com/2024/02/…)

  • 싱가포르에서 처음 도입된 파일럿 프로그램에 대해, 특정 권한(SMS, 접근성) 요청 앱을 웹브라우저/메신저/파일관리자를 통해 설치할 경우에만 차단 대상이라는 설명, 세부 조건이 많아 고급 사용자는 여전히 원하는 앱을 설치할 수 있을 것이라는 관점, 평균 사용자는 SMS/접근성 권한 앱의 위험한 사이드로딩을 쉽게 못하도록 의도한 조치라는 분석, 싱가포르 사이버 보안청과 협력해 사기 및 맬웨어 방지를 위해 시행 중이라는 점 강조, 싱가포르 한정 적용 이유 설명

    • 이런 제약이 실제로 대중 시장에서 반경쟁적으로 작용할 수 있음을 지적, 기술에 밝은 소수는 설치가 가능해도 대다수는 Google이 통제하는 ‘울타리’ 안에서만 머물며, Google이나 Apple이 제3자 앱에 대해 사용자에게 겁을 주는 언어를 사용하는 등 이러한 심리적 장치까지 써가며 장벽을 만든다는 점 강조, 이런 행위가 규제를 통해 없애야 할 ‘마인드 컨트롤’이라고 주장

    • "싱가포르 한정"이 그렇게 안심을 줄 만한 사유가 아니라고 강조, 브라우저/파일관리자는 평범한 파일 이동 수단이기 때문에 이런 조건도 별로 신뢰가 안 간다는 의견 표시

    • ADB 차단까지 이뤄지지 않는 한 “사이드로딩 차단”이란 표현이 정확하지 않다는 분석, 결국 맬웨어로부터 이용자를 보호하는 것과 원하는 앱 설치 자유를 보장하는 것 사이의 균형잡기가 필수적이라는 입장

    • 싱가포르 클라이언트와 거래할 때 SingPass(국가 디지털 신분인증 시스템) 연동 요구받았던 기억을 공유, 지금은 더 이상 고객이 아니지만 코드베이스 어딘가엔 남아있는 상황

    • 지역 추가는 언제든 가능하므로 싱가포르 한정에 방심하면 안 된다는 입장, 오히려 Google이 앱에게 ‘가짜 권한’ 부여 기술로 나아가는 것이 나을 것이라는 대안 제시, 그렇지 않으면 범죄자들이 다른 방법으로 우회할 것이라는 주장

  • 댓글에서 화제가 된 ‘사이드로딩은 GrapheneOS 설치로 해결’이라는 주장을 언급하며, 대부분의 일반 이용자와 괴리된 답변이라는 점을 지적, HN 유저들은 하드웨어 디버깅까지 가능하지만 보통 사람들은 그런 시스템 수준 설정은 불가능하다는 현실 상기

    • 한때 리눅스 포럼에서 복잡한 CLI를 당연하게 여기는 답변 때문에 당황했던 경험 공유, 간결하고 쉬운 솔루션을 원하는 초보자들에게 전문가 집단의 편향된 시선이 오히려 보급·확산을 방해할 수 있음을 지적

    • 대부분 사람들이 ‘평균적’ 경험을 제대로 알지 못하는 경향이 있다고 진단, 전문가 커뮤니티에선 더욱 이 관점의 왜곡이 커져서 실제 대다수 사용자의 실정과 먼 의견이 나온다고 생각

    • 일반인들은 대체로 사이드로딩을 하지 않으며, 필요한 앱을 한번 설치한 후 계속 반복적으로 동일한 앱만 사용하는 경향이 많다는 분석

    • 일반인이 SMS 또는 접근성 권한을 요구하는 사이드로딩 앱의 진위를 구별하지 못하는 현상을 지적, 결국 이런 기능에 대한 차단이 ‘일반인 오용 방지’가 핵심 목적임을 강조

    • Google이 DRM 기술 및 API를 추가하면서, 앞으로 GrapheneOS 설치마저 현실적 대안이 아니게 될 것이고, 그렇게 되면 Android 생태계 자체에서 이탈해야만 대안 OS 사용이 가능해지는 현실에 대한 우려

  • 본인은 '내 폰 소유자니까 뭐든 자유롭게 하고 싶다'는 주의였지만, DJI 드론 및 Air Units 이용 시 강제로 앱 사이드로딩을 유도한다는 점이 충격적으로 다가왔다고 고백, DJI 측이 플레이스토어에 올리지 못하는 이유는 앱이 자기코드 변조(셀프 모디파이)를 할 수 있어서라는 사실 소개, 정치적 갈등이 생길 경우 국가지배 악성코드가 내 드론을 마음대로 통제할 소지가 있어 위험성을 경고, 수백만 명이 사태를 제대로 인식하지 못한 채 앱을 설치했다는 점 강조

    • 이런 문제의 해법은 Google의 악성코드 검사 시늉이 아니라, DJI 앱이 실제로 할 수 있는 권한/기능에 대한 더 강한 통제 수단 도입이라는 주장, Google의 주된 동기는 사실상 ‘보안’이 아닌 통제력 확대라는 시각

    • 이런 맥락에서 진짜로 "내 마음대로 하고 싶다"는 자유는 소프트웨어도 적용 대상이어야 한다고 믿음, Richard Stallman이 1988년에 주장한 "소스를 받아 직접 바꿀 수 있는 자유"가 오늘날까지 시의성이 있다고 평가, 현실은 오히려 소프트웨어가 사용자를 통제하는 쪽으로 가고 있다고 개탄, 국가정부가 소프트웨어 코드를 지배하면 소비자 권익 침해를 넘어 더 심각한 위험이 발생한다는 주장

    • 실제로 각국 정부는 OEM을 통해 이 기능을 이미 집어넣고 있다고 분석, 사이드로딩 차단은 해커가 이런 내장 악성코드 비활성화 방해만 가능케 할 뿐이라고 평가

    • 앱이 자가변조 한다는 것은 큰 의미 없으며, 사실 V8 엔진을 앱에 내장시키면 얼마든지 코드 변화가 가능하다는 사례 제시, 그럼에도 구글은 이런 방식에 문제를 삼지 않는 아이러니 지적

    • DJI 드론 앱의 위험성에 경계를 나타낸 원 댓글이 비추천 받는 이유를 모르겠다는 의문, 최근 중국산 태양광 패널에서 실제로 킬스위치가 발견된 사례를 예로 들어, 정부와 밀접한 중국 업체들이 자신들의 하드웨어/소프트웨어에 의심스러운 기능을 탑재할 수 있다고 주장(https://reuters.com/sustainability/climate-energy/…, https://rickscott.senate.gov/2025/6/…)

  • GrapheneOS 설치로 사이드로딩 제한을 해결할 수 있지만, 요즘 Google이 Play Integrity API를 통해 앱 기능 자체를 Play Store 설치에만 제한하는 경향 심화, GrapheneOS에서부트로더 잠근 상태로 Play Store를 사용해도 Google이 하드웨어 인증 API 사용을 막아서 은행앱, Google Wallet 등 기능이 차단된다고 지적, 보안 업데이트 지연시키는 불량 벤더는 허용하면서, 뛰어난 보안성을 가진 오픈소스 OS는 되려 배제하는 Google의 행태를 비판, Singapore Cyber Security Agency와의 공동작업이라는 점은 일종의 명분 제공에 불과하다고 봄, Facebook/Instagram 앱 등도 차단 대상에 추가돼야 할 텐데 왜 안 하는지 반문(https://localmess.github.io, https://grapheneos.social/@GrapheneOS/112878070618462132)

    • Google이 타사에게는 허술한 보안 관행을 용인하면서 진짜 목표는 안전이 아니라 통제 그 자체라고 생각

    • GrapheneOS의 가장 큰 문제는 지원 기기가 너무 적다는 점, 특정 하드웨어에 종속되지 않으면서도 어느 정도 보안성을 유지할 수 있는 대안이 필요하다는 주장

    • Android 키인증 API는 GrapheneOS에서도 지원되며, 개발자 통합 가능(https://grapheneos.org/articles/attestation-compatibility-guide)

    • GrapheneOS 설치로 해결된다는 주장에 직접적인 답변은 이미 소개돼 있으니 참고링크 제공(https://news.ycombinator.com/item?id=32496220)

  • 이 조치가 시각장애인 커뮤니티에 심각한 타격 줄 것이라는 우려 제기, Android가 인기이고 iPhone이 비싼 국가에선 Commentary(Jieshuo) 스크린리더가 TalkBack 대비 더 나은 대안인데, 중국산 개별 개발자 앱이라 Play Store엔 없다는 사실, 이런 앱은 전체 화면 읽기 및 시스템 UI 제어를 위해 굉장히 광범위한 권한 요구, 만약 민감 앱 접근이 차단된다면 애초에 스크린리더로서의 목적이 무의미해진다는 현실 강조, Google 직원들은 Webaim 통계로 사용량 낮다는 점만 갖고 문제 아니라고 할텐데 Webaim은 대부분 고소득 영어권 표본이라 글로벌 사용행태를 대변하지 못한다는 비판(https://webaim.org/projects/screenreadersurvey10/)

  • 이런 설계 의도가 오히려 합리적이고 상식적이라고 생각, ADB로 악성코드 설치가 여전히 가능하지만 진입장벽이 높아져서 일반인에겐 속도방지턱 효과, 부당하게 차별받는 대표적 사이드로딩 앱도 못 본다는 입장

    • 대표적인 대체 앱스토어도 존재하지만(예: Epic v. Google), Android의 개방성 및 사용 선택권이 강조됐던 점을 상기, ADB 이용 방식이 오히려 Apple의 sideloading 방안보다 사용자 자유에 더 제약을 주는 것 아니냐는 비판, Apple은 비난을 받았는데 이 역시 비슷한 문제라는 시각
  • 본질적으로 개인정보 권한(SMS, 접근성 등) 요청을 차단하는 것이 왜 중요한지 설명, SMS 권한만 있으면 OTP 등 모든 서비스로그인 정보를 훔치고 접근성 권한도 은행앱 등 치명적 기능 조작 가능, 싱가포르에서 신분 정보 거래가 심각해서 “모르는 사람이 전화번호 등 신분자료를 사겠다고 하면 5년형”이라는 경고문이 있을 정도, 은행계좌·신용카드 등도 마찬가지, 결국 범죄에 악용되는 신분정보는 개인과 연계되어 있기 때문에 협조 시 가중처벌 기반