Graphene OS: 보안이 강화된 Android 빌드

 (lwn.net)
1P by GN⁺ 2일전 | ★ favorite | 댓글 2개
  • GrapheneOS는 안드로이드의 보안프라이버시를 대폭 강화하기 위해 개발된 오픈소스 운영체제
  • 구글 Pixel 6~9 기기 등 일부 한정된 하드웨어만 지원하며, 하드닝사용자 권한 제어 등 다양한 보호 기능을 제공
  • Google Play 앱샌드박스 형태로 활용 가능하고, 불필요한 앱과 기능이 기본적으로 제거되어 있음
  • 설치 및 초기 설정 과정이 직관적이지 않거나 시간이 소요될 수 있음, 하지만 보안 중심 사용자에게 유용한 선택지
  • 단, 필수적인 상용 앱과 기능은 일부 불편이 있을 수 있으며, 커뮤니티 거버넌스의 투명성에 대한 우려도 있음

개요 및 프로젝트 배경

  • GrapheneOS는 스마트폰의 개인정보보안 위협 문제에 대응하기 위해 등장한 오픈소스 Android 리빌드 프로젝트
  • 기존 Android 배포판이 소유자의 이익을 충분히 대변하지 못한다는 한계에서 출발했으며, CopperheadOS에서 분리되어 Daniel Micay에 의해 독립적으로 진화함
  • 2023년에 설립된 캐나다 기반 재단이 개발을 지원하지만, 조직 운영 방식이나 투명성에 대한 공개 정보는 거의 없음

주요 특징 및 하드닝 전략

  • Android Open Source Project(AOSP)를 바탕으로 상당량의 코드 제거다수의 보안 강화 패치가 적용됨
  • 예를 들어, hardened malloc() 라이브러리컨트롤 플로우 무결성(Control-Flow Integrity)메모리 보호와 내구성을 높이는 주요 변경이 이루어짐
  • 보안 기능의 대부분은 사용자에게 거의 드러나지 않게 설계되어, 시스템 사용의 불편함을 최소화함

설치 및 지원 기기

  • 지원 기기는 Google Pixel 6~9 시리즈로 한정되며, Pixel 4/5는 일부 예외적으로 지원함
    • 최신 Pixel 기기는 7년의 보안 업데이트 보장ARMv9 기반 하드웨어 메모리 태그(Security Feature) 지원 등으로 권장됨
    • 메모리 태그 기능이 기본 활성화되어 OS와 호환되는 앱의 익스플로잇 방지에 기여함
  • 설치 방법은 웹 설치커맨드라인 설치 두 가지가 있으나, 공식적으로는 웹 설치가 더 안정적

초기 사용 경험

  • GrapheneOS는 기본 앱과 데이터 마이그레이션 기능이 제한적이라, 사용자가 직접 초기 설정을 모두 새로 해야 함
  • 기본 앱: 웹 브라우저(Vanadium), 카메라 앱, PDF 뷰어, 자체 앱스토어 등만 제공
    • Google Play 스토어 및 그 산하 앱이 기본 미포함 (단, 이후 샌드박스 형태로 설치 가능)
    • 앱스토어에는 총 13개 앱만 포함되어 있음
  • Vanadium 브라우저는 Chrome을 포크한 버전으로, 모바일용 사이트 격리 및 코드 안전성 강화
    • 문서는 Firefox 사용을 지양할 것을 권장(보안상 취약점 우려)
  • 카메라 앱은 Exif 메타데이터를 기본적으로 제거하며, 위치 정보 기능은 명시적 활성화 필요

앱 설치 및 생태계 활용

  • Accrescent 등 대안 앱 스토어에서 일부 오픈소스 앱 설치 가능 (예: Organic Maps, Molly, IronFox 등)
  • F-Droid 사용 가능하나, GrapheneOS 커뮤니티는 F-Droid의 보안 이슈에 대해 비판적인 입장
  • 대부분의 사용자는 Google Play 스토어를 필요로 하기에, GrapheneOS는 샌드박스 Google Play를 제공
    • 이 버전은 시스템 권한이 줄어들어 일반 앱처럼 제한적으로 실행됨
    • Integrity API로 앱 신뢰성을 확인하는 경우, 일부 앱은 공식 이미지가 아니면 동작하지 않을 수 있음
    • 실제 사용에서는 대부분 정상 작동했으나, 앱 호환성은 필히 사전 테스트 필요

추가 보안 및 프라이버시 기능

  • 앱별 네트워크 접근 권한 차단: Android는 기본적으로 미지원하지만, GrapheneOS에서는 앱별로 네트워크 차단 제어 가능
  • 센서 권한 세분화: 가속도계, 방향 센서, 온도계 등 기타 센서도 별도 권한으로 관리
  • Storage/Contact Scope: 앱이 기기 저장소 및 연락처 전체에 접근하지 못하고, 허용한 파일/연락처만 가상으로 공개
  • 지문 해제 실패 시 30분 잠금, Duress PIN(압박용 비상 PIN) 입력 시 즉시 데이터 삭제 등, 고급 보안 옵션 제공
  • 기기 무결성 감사 앱을 통해 하드웨어와 연계된 무결성 검증 기능 지원
  • 정기적이고 빠른 업데이트 제공: Android 16 공식 릴리즈 후 한 달 안에 반영됨
  • 18시간 비활성 시 자동 재부팅으로 데이터 암호화와 최신 소프트웨어 유지

프로젝트 운영 및 커뮤니티

  • 운영 투명성 부족: 공식 재단은 존재하지만 의사결정 방식, 재원 사용 방식 등은 대외적으로 거의 알려지지 않음
  • 개발 커뮤니티 구조가 불분명하며, 대부분의 참여는 사용자의 질문·답변 중심임
  • 주요 개발자 Daniel Micay의 영향력이 여전히 절대적으로 보이며, 향후 인력 변화에 따른 지속성 우려가 일부 존재

총평 및 실사용 소감

  • 기기 세팅 및 환경 복원에 많은 시간이 소요되지만, 불필요한 기능 없이 필수 기능 중심의 활용 가능
  • 보안과 프라이버시 제어의 폭이 넓어지고 불필요한 AI/Google 기능이 배제되어, 목적에 부합
  • 다만 키보드 '스와이프' 입력 미지원, Google Play 로그인 불가피, 프로프라이어터리 필수 앱 사용 시 일부 기능 제한 또는 불편 발생
  • GrapheneOS는 사용자 중심 권한 제어강화된 보안을 찾는 사용자에게 합당한 선택지가 됨
  • 단, 현대 생활에 필수적인 상용 앱의 구동이 중요하다면 부분적으로 한계가 남으며, 커뮤니티 거버넌스 문제 역시 주의 요함
GN⁺ 2일전  [-]
Hacker News 의견

  • 나는 새 Pixel에 GrapheneOS를 설치해 이틀 정도 사용 중임, 1999년에 처음 리눅스를 설치했을 때와 같은 "내 뒷마당에서 보물찾은 느낌"을 다시 받음, 이렇게 훌륭한 소프트웨어가 정말 모든 의미에서 무료라는 사실이 믿기지 않음, 엄청난 작업량인데 정말 많은 부분을 잘 구현했음, 보안과 사용성 설정에서 원하는 대로 세밀하게 제어할 수 있음, 내가 모바일 추천할 만한 사람은 아니지만 지금까지는 상당히 잘 동작함, 내 경우 거의 서드파티 앱을 쓰지 않고, 플레이스토어 전용 앱도 없음, 단점은 하드웨어인데 그 부분은 Graphene 팀의 통제 밖임

    • 은행 계좌 접근 등 모바일 뱅킹이 필요한 경우에도 잘 동작하는지 궁금함

    • 앱은 어디에서 받아서 설치하는지 궁금함, 구글의 App Store인지 묻고 싶음

    • 전에 LineageOS와 같은 걸 사용해본 적 있는지 궁금함

    • Pixel에서 GrapheneOS 쓴다고? 혹시 그런 종류의 범죄자 아님? /s

  • 나는 예전 폰에서 몇 년간 LineageOS를 썼고, 작년에는 Pixel 4를 구입해 GrapheneOS를 쓰고 있음, 두 시스템 모두 잘 동작해서 정말 기쁨, 특히 GrapheneOS는 설치 과정이 아주 쉬워 추가 점수를 줄만함, 다만 아쉽게도 Graphene에서 이미 Pixel 4 지원을 종료하는 중이라 조만간 다시 Lineage로 돌아가야 할 듯함, 이 ROM들 사용 중 딱 한 가지 기술적 제약은 GPS임, 위치가 자주 사라지고 다시 잡기까지 몇 분이 걸리기도 함(운이 없으면 영원히 못 잡기도 함), 구글 위치 서비스 안 쓰는 게 원인 같음, WiFi/블루투스 위치 정확도 향상 설정도 켜봤고, 인터넷의 여러 팁도 시도했지만 해결을 못함, Graphene에서는 Maps 앱을 닫을 때마다 위치가 사라져 오히려 더 심함, 아마 폰이나 OS 둘 중 하나의 문제일 거라 생각함

    • Pixel 8에서는 Graphene의 새로운 네트워크 위치 기능 덕분에 GPS가 엄청 빠름, 정말 혁신적인 변화라 느낌, 예전엔 와이파이만 지원했지만 최근에 셀룰러 위치도 추가됨, 애플의 위치 서비스를 프록시로 제공함

  • 최근 소식으로 들은 바로는, 구글이 AOSP 관리 정책을 변경하면서 Pixel 기기용 디바이스 트리와 드라이버 이진파일 공개를 중단했다고 들음, 정말로 중단된 건지 아니면 단지 지연된 건지 궁금함, 이런 파일 공개가 Pixel 기기에 대한 사용자 수요를 만들어내는 비즈니스 케이스도 된다고 생각함, 비용이 이익을 상쇄할 만큼 크다는 걸까, 아니면 단순히 유지보수 이슈인지 정말 궁금함, GrapheneOS와 구글 양측이 모두 필수 기능이 잘 동작하는 폰 플랫폼을 만들어준 것에 대해 감사함

    • Android 16에서는 AOSP에 더 이상 Pixel용 디바이스 트리를 제공하지 않는데, 원래 다른 기기에도 제공 안 했음, 소수 OEM이 예전 안드로이드 버전용 기본 트리만 제공할 뿐임, Pixel이 갖고 있던 몇 안 되는 이점 중 하나를 잃은 거지만, GrapheneOS의 하드웨어 요구사항에는 포함된 적 없음, 관련 내용은 여기 문서에 있음, Pixel만이 요구사항을 만족하는 이유는 이것 때문이 아님, 한 메이저 안드로이드 OEM과 협력 중이라 2026년이나 2027년쯤에는 변화가 있을 수도 있음, GrapheneOS의 Android 메이저 버전 이식은 보통 며칠 만에 되고, 안정 버전은 2주 내 배포됨, Android 16도 출시 이후 며칠 만에 이식했고, 그 뒤 안드로이드 16에서 Pixel 디바이스 지원 코드를 새로 구현해야 했음, 6월 30일에 최초 프로덕션 배포 후, 7월 8일에 안정 채널로 도달했음, 이번에는 시간이 오래 걸려서, Android 15 QPR2 브랜치에도 일부 Android 16 패치와 펌웨어를 역이식해 특이하게 운용함, 앞으로는 자동화 워크플로우를 이미 구축했고, Android 16 QPR1~QPR3 혹은 Android 17 포팅은 이전처럼 신속하게 진행할 수 있을 것임

    • 뜬소문으로는 반독점 이슈가 있어서 그런 거란 이야기를 들었는데, 다시 기기 비즈니스를 매각하려는 거라면 드라이버도 AOSP에서 제외될 수 있겠다고 생각함

  • 나는 GrapheneOS의 장기 사용자로 정말 좋은 프로젝트라고 생각함, 구글 앱을 대체해 쓸 수 있는 오픈소스 앱 목록을 공유함

    • Aurora Store: Playstore용 익명 인터페이스
    • F-Droid: 오픈소스 앱 스토어
    • Obtainium: github 등에서 앱받기
    • Organic Maps: 오픈소스 내비게이션(상용앱만큼은 아님)
    • SherpaTTS: 내비게이션용 TTS
    • PDF Doc Scanner: 오픈소스 문서 스캐너
    • Binary Eye: 바코드 리더
    • K9 Mail / FairMail: 메일 클라이언트
    • LocalSend: 파일 전송
    • Syncthing Fork: 파일 동기화
    • VLC Media Player: 미디어 플레이어
    • KOReader: 이북 리더
    • Voice: 로컬 오디오북 플레이어
    • AudioBookShelf: 원격 오디오북 플레이어
    • Immich: 이미지 백업
    • Fossify File Manager: 파일 매니저
    • Substreamer / DSub: 나비드롬용 오디오 스트리머
    • OpenCamera: 오픈소스 카메라 앱
      이 리스트를 예전에 알았다면 정말 좋았을 것 같음, 누군가에게 도움이 되길 바람

  • GrapheneOS에서 가장 재미있는 기능은, 어떤 앱이든 App Info 페이지에서 언제든 로그를 볼 수 있다는 점임

  • GrapheneOS에 꼭 있었으면 하는 핵심 기능은, 위협 상황에서 입력시 완전히 다른 "유저"(프로필)를 여는 비상용 비밀번호임, 설사 비밀번호를 강제 노출해야 할 상황이어도 진짜 계정에 접근당하지 않으니까 최소한의 보호됨, 적어도 숨겨진 프로필 기능만이라도 있으면 기본적인 안전이 확보될 텐데 아쉬움, 참고로 이 기능 대신 기기를 완전히 지우는 기능이 있긴 한데, 위협 상황에서는 해가 될 수도 있음, 관련 논의는 여기에서 볼 수 있음

    • GrapheneOS 커뮤니티 매니저임, 이런 종류의 기능은 사실상 기본적인 툴만 써도 노출되어 숨길 수 없다는 게 문제임, Duress PIN/Password 기능도 일부러 숨기려하지 않는 이유임, 오히려 기능 존재만으로도 공격자가 "숨기는 게 있다고 믿게 되기" 때문에 더 위험해질 수 있음, 이미 기능 존재만으로도 강제로 잠금해제를 요구하고 숨겨진 정보까지 내놓으라고 협박받는 위험한 상황이 생길 수 있음, 현실적으로 해결이 어려운 문제라 생각함, 이런 제안만으로 해결하기 힘든 문제임

    • GrapheneOS 디스커션 포럼이 "이 사이트는 자바스크립트가 켜진 최신 브라우저에서 가장 잘 보인다"고 안내하는데, 보안 관점에서는 정말 문제가 있음, 커뮤니티 매니저에게 이 부분 개선해 달라는 이야기와 .onion 사이트도 요청함

    • 이런 기능(비상용 비밀번호)이 여러 모딩 커뮤니티에서 오랫동안 요청받았는데, 단순히 구현이 어려운 문제인지 궁금함

    • 이런 극단적 표현은 과하다고 생각함, 만약 누군가가 가짜 유저로 위장해 사는 게 생존의 문제라면, 운영체제 수준의 기능 부족보다는 더 심각한 근본적 문제가 있다고 봄

  • 내가 Graphene에서 유일하게 불만인 점은 지원하는 기기가 너무 적다는 거임, 보안 요구사항 등 사정은 알지만, 차라리 보안 강화 수위가 낮아져도 됐으니 구글의 기본 안드로이드보다 Graphene을 쓸 수 있었으면 좋겠음

    • GrapheneOS 커뮤니티 매니저임, 현재 그래프인의 지원 요구사항을 만족하는 기기가 구글의 디바이스뿐임(링크), 하지만 다른 OEM과 협력 중이라 2026년이나 2027년에는 그쪽 제품으로도 지원 확대 기대함, 아직 확정된 건 없지만 낙관적으로 보고 있음

    • 지원 기기 수가 적다고 하지만, Pixel만 해도 4~5세대가 있고(A 시리즈, 프로 등 소/대형 버전 포함), 가격대도 다양해서 사실상 누구나 쓸 수 있을 정도라고 생각함

    • 오히려 Graphene이 Pixel에 집중하는 게 좋다고 느낌, Pixel은 Fairphone과 달리 많은 국가에서 구매 가능함, 즉 Graphene은 선진국 또는 서방권에만 한정된 게 아니고, 타사 지원이 없는 이유는 팀 규모, OEM마다 안드로이드가 워낙 다양해서 관리가 힘든 점, 그리고 구글의 업데이트 정책 등 여러 사정 때문이라 생각함

    • 구글이 프로젝트에 비협조적으로 변하는 것 같기도 하니, 정말 많은 이들이 필요로 한다면 새로운 하드웨어 지원을 직접 시도해야 할 듯함

    • CalyxOS는 다른 기기도 지원하고, 진정한 프라이버시에 초점을 맞춘 느낌임

  • Graphene은 Pixel 기기용으로 뛰어난 운영체제임, 단순하고 신뢰성 높으며, 보안·프라이버시 기능도 풍부해서 따뜻한 안정감을 줌, 시스템 업데이트는 자동이고, 통화 등 기본 기능도 완벽함, 단 하나의 아쉬움은 카메라 품질인데 이건 독점 드라이버 부족 때문일 거라 봄, Signal도 구글 서비스 없이도 꽤 잘 돌아가서, 데일리 모바일로 쓰기에 딱 맞음, 개발자들에게 정말 큰 감사를 전함

  • 나는 GrapheneOS에 관심이 많았지만, Pixel처럼 한정된 기기에서만 쓸 수 있다는 점이 아쉬움, Galaxy A55에서도 사용해보고 싶었음

  • 유일하게 보안 요구사항을 충족하는 기기가 모두 구글 제품이라는 사실이 흥미로움, 구글이 내부적으로 더 보안에 집중한 안드로이드 버전을 따로 쓰고 있는지도 궁금함, 핵심 엔지니어들의 개인 기기가 해킹당하는 건 구글 입장에선 큰 보안 리스크이기 때문에, 아마 더 보안 지향적인 내부 버전이 있을 가능성도 있지 않을까 생각함

답변달기