안드로이드 앱 설치시, 사이드로딩을 포함해서 모두 개발자 인증 요구 예정

 (9to5google.com)
6P by GN⁺ 3일전 | ★ favorite | 댓글 4개
  • Google이 2026년부터 개발자 인증을 받은 앱만 인증된 Android 기기에 설치 가능하도록 변경 예정임
  • 이 정책은 모든 설치 방식에 적용되며, Play Store 외에 타사 앱스토어나 APK 파일 직접 설치도 포함함
  • Google은 가짜 앱 및 악성 앱 배포 방지와 반복적인 악의적 행위자 차단을 강화하기 위해 해당 조치 도입을 설명함
  • 비상업적 개발자(학생, 취미 개발자)와 상업적 개발자에 대해 별도의 인증 절차가 마련됨
  • 2026년 9월부터 브라질, 인도네시아, 싱가포르, 태국에서 우선 시행되고 2027년 전 세계로 확대 적용 예정임

Google의 새로운 안드로이드 앱 개발자 인증 정책 개요

  • Google은 악성코드 및 금융 사기 방지를 위해 2026년부터 인증된 개발자가 만든 앱만 인증된 Android 기기에 설치할 수 있도록 할 계획임
  • 이 정책은 Play Protect 지원 기기와 Google 앱이 사전 설치된 기기에 적용되며, Play Store 뿐만 아니라 써드파티 앱스토어 및 APK 직접 사이드로딩까지 모든 설치 경로에 해당함

정책 세부 내용

  • 2023년 Play Store에는 이미 유사한 개발자 인증 요구가 도입되었으나, 앞으로는 모든 설치/배포 경로에 동일하게 적용됨
  • 구글은 “공항의 신원 확인(ID check)”과 비슷하다며, 앱 내용이나 유래와 무관하게 개발자의 신원 확인만 한다고 설명함
  • 악성 앱 유포자들이 앱이 삭제된 후 바로 새로운 유해 앱을 배포하는 것을 차단하고, 설득력 있는 가짜 앱 피해를 줄이는 것이 목표임
  • Google의 조사에 따르면 인터넷을 통한 사이드로딩 앱의 악성코드 발생률이 Play Store 대비 50배 이상 높게 나타남

사용자 및 개발자에 대한 영향

  • 앱 배포의 자유는 계속 보장되며, 개발자는 원하는 방법으로 사용자에게 앱을 제공할 수 있음
  • Google Play 외부에서만 배포하는 개발자를 위한 별도 Android Developer Console이 신설되며, 학생·취미 개발자는 상업적 개발자와 다른 인증 흐름이 제공됨
  • Google Play를 통해 배포하는 개발자는 Play Console에서 이미 관련 요건을 충족했을 가능성이 높음(기관의 경우 D-U-N-S 번호 필요)
  • 2024년 10월부터 일부 개발자는 인증 절차를 시작할 수 있고, 2026년 3월 전면 개방 예정임

도입 일정과 적용 국가

  • 2026년 9월, 브라질·인도네시아·싱가포르·태국이 첫 적용 대상임
    이유는 이 국가들이 관련 사기 앱의 피해가 특히 많았기 때문임
  • 2027년부터는 글로벌 전면 시행 예정임
  • 특정 지역 내 인증된 Android 기기에는 반드시 인증 개발자가 등록한 앱만 설치가 가능함

주요 기관 및 정부의 반응

  • 인도네시아 정보통신부는 “안드로이드의 개방성 유지와 사용자 보호를 균형있게 달성했다” 고 평가함
  • 태국 디지털경제사회부는 “긍정적이고 선제적인 안전 조치” 라며 국가 디지털 안전 정책과 부합함을 언급함
  • 브라질 은행연합(FEBRABAN)은 이를 “사용자 보호 및 책임성 확보의 의미 있는 진전” 으로 언급함
unsure4000 3일전  [-]

사이드로딩이 사실상 막히는게 맞다면 저로선 ios보다 메리트가 떨어진다고 보입니다. 저는 둘 다 거의 비슷한 기능을 제공하고 있고, ux는 ios가 조금 더 우위인데, 사이드로딩이 android의 큰 이점이라고 생각하기 때문입니다. google pixel에 graphene os 올려서 쓰는게 로망이었는데, pixel 소스 비공개부터 사이드로딩의 사실상 차단까지 나오면 저로선 안드로이드를 쓸 이유가 없네요. 이대로 출시되면 27년에 ios로 돌아갈듯 합니다.

답변달기
bus710 2일전  [-]

저는 audio share라는 앱을 fdroid에서 apk만 받아서 사용 중인데, 이게 앞으로 어찌 될지 궁금하네요. 유일한 사이드로딩 앱인데 말이죠...

답변달기
tribela 3일전  [-]

혼자서 앱 개발해서 쓰는 사람도 개발자 인증을 받아야 하는 건지 걱정이네요..

답변달기
GN⁺ 3일전  [-]
Hacker News 의견

  • 구글이 안드로이드 기기 전체에서 앱 배포 개발자 신원을 확인하겠다는 결정은 완전히 받아들이기 힘든 일임, 마치 단순히 윈도우에서 프로그램을 실행하려면 마이크로소프트에 내 개인정보를 제출해야 하는 것과 같음, 이런 정책이 원하는 방향으로 흘러가지 않을 것임

    • 앞으로는 구글이 정책을 바꾸기 전에 오히려 마이크로소프트가 윈도우에서도 같은 길을 갈 것으로 예측함, 이는 악성코드 문제와 플랫폼 통제, 그리고 정부 규제의 영향이 결합된 미래임
    • 한 번도 "폰" 프로그래밍에 크게 발을 들인 적은 없지만, 시장 상황이 안정되길 기다렸음에도 오히려 더 나빠지고 있음, 전 세계적으로도 폰이 유일한 컴퓨팅 기기인 사람도 많은 상황임
    • 구글은 전체 생태계를 꽉 쥐고 있다는 느낌을 받음, 최근 스마트폰 제조사들이 기기 언락이나 개조를 점점 더 어렵게 만들고 있고, 구글 및 앱 개발자들이 하드웨어 TPM에 해당하는 기술로 기기가 구글에서 승인된 시스템인지 검증하는 추세임, 대체 플랫폼은 아직도 앱 생태계에서 수십 년 뒤쳐져 있어 구글이 이런 정책을 그냥 밀고 갈 수도 있다고 생각함
    • 마이크로소프트 윈도우도 같은 방향으로 가고 있음, Smart App Control 기능이 일부 지역에 적용되기 시작했고, 코드를 서명한 인증서 없이는 .exe가 실행되지 않음 Smart App Control 자세히 보기
    • 많은 사람들이 이런 정책에 반대할 수 있지만, 현실적으로 선택지가 부족함, iOS로 옮긴다고 자유가 오는 것도 아니고, 리눅스폰도 아직 실사용이 불가능한 수준이라 결국은 플립폰 같이 앱 설치 자체가 어려운 구형 기기로 돌아가야 하는 건지 의문임

  • 최근 들어 스마트폰 OS가 둘 뿐인데 이런 일이 벌어진 것은 매우 심각한 문제임, 암호화 자체를 금지할 방법이 없으니, 정부들은 이런 식의 아이덴티티 검증 등으로 보안과 프라이버시를 조금씩 갉아먹는 중임, 구글 공식 정책 페이지에도 ‘공식 신분증 업로드 필요’가 있음 정책 안내, 이런 정책이 결국 사람들의 분노로 인해 구글이나 정부가 정책을 되돌리는 일이 나올 거라 생각함, 최대한 대체 모바일 OS로 넘어가기를 권장함

    • 이런 정책이 대중의 분노로 번질 거라 생각하지만 실제로는 관심 갖는 사람 자체가 매우 적을 것이고, 이슈화도 되기 힘들 것으로 봄, 심지어 현재의 앱 사이드로딩 소송조차 에픽 같은 대기업의 이익과 직접 연결됐기에 가능했던 일임
    • 스마트폰 시장에 메이저 OS가 두 개 뿐이라고 해서 특별한 일은 아님, 데스크톱 OS 시장도 비슷한 구조였고, 결국 사용자 기대치 문제임
    • Play Protect 인증이 없는 대체 OS를 올리는 게 뭐가 문제인지 궁금함
    • 현재의 전체주의 경향이 쉽게 끝날 거라고는 기대하지 않음
    • 대중의 분노로 정책이 철회된다는 것은 비현실적임, 결국 투표로나 다른 방식으로 영향력을 행사할 수 있다고 해도 후보 대부분이 구글 등에 영향을 받으므로 구조적 한계는 명확함

  • 지난 10년간 안드로이드와 iOS에 점점 불만이 커지고 있음, 플랫폼은 더 사용자에게 적대적이고, 앱스토어는 프라이버시 침해, 트래킹, 광고, 중독 요소만 가득한 질 나쁜 앱으로 넘쳐남, 초창기 모바일 앱의 혁신이 그립고 Palm Pilot 시절이 그리움, 누군가 진짜 이 문제를 해결하는지 궁금함, 우리는 분명히 더 나은 디지털 환경을 만들 수 있음

    • 앱 구독이 아닌 일회성 구매 모델로 돌아가야 진짜 변화가 시작될 거라고 봄, 그러나 모든 주체가 욕심이 커서 쉽지 않을 것으로 보임
    • 개인적으로 GrapheneOS와 F-Droid 조합을 사용할 때가 정말 만족스러움, 다른 사람 스마트폰을 쓰면 늘 놀람, GrapheneOS 자체 기기가 출시되면 꼭 구매해서 적극 추천하고 싶음
    • 독일의 Vollo는 커스텀 안드로이드와 Ubuntu Touch를 선택적으로 구동하는 매력적인 기기를 판매하며, 네덜란드에는 Fairphone 같은 선택지도 있음 Vollo Fairphone
    • 예전 안드로이드와 iOS의 ‘추억의 시절’ 그대로를 지금도 충분히 누릴 수 있음, 동시에 LLM 등 새로운 변화의 시대도 잠시 즐겨야 함
    • 스마트폰 플랫폼은 정말 심각한 상황이며, 이미 일부 사용자들은 스마트폰에서 멀어지는 움직임이 조금씩 일어나고 있음, 다만 대중화되지는 않을 것으로 생각함

  • “우리는 개발자에게 사이드로딩이나 어떤 앱스토어든 선택권을 준다, 이것이 오픈 시스템의 정의”라는 구호와 달리 실제로는 폐쇄적으로 바뀌는 상황임, 특히 “Developer’s Alliance” 같은 단체가 이런 정책을 지지하는 점에서도 진정으로 개발자를 위하는지 의문이 생김, 실제로는 정책에 긍정적으로 동조하는 단체들은 대기업이나 정부와 연계된 경우가 많다고 봄

    • Developer’s Alliance의 주소가 워싱턴 DC의 코워킹 스페이스라서 정책 PR을 위한 페이퍼 조직(전문 용어로 astroturfing)의 가능성이 높다고 추정함

  • 기사에는 계정 승인 과정에 대한 내용이 거의 없었지만, 구글이 임의로 앱 배포 승인을 부여하거나 철회할 수 있는 구조가 될 것이란 느낌임, 열린 플랫폼에서 게이트키핑(문단속)이 시작되는 셈임, 나 개인적으로는 서명 없는 앱을 설치할 때 경고창 클릭하거나 설정을 켜는 방식 등으로 충분하다고 봄, 윈도우도 비슷하게 서명 없는 실행파일엔 경고창을 보여주고 서명된 파일은 곧바로 실행시킴

    • 이런 구조는 스팀처럼 NSFW 앱 금지의 첫 단계가 될까봐 조금 걱정임

  • 프라이버시 이슈도 있지만, 이런 정책 변화가 오픈소스 프로젝트의 로컬 빌드를 거의 불가능하게 만드는 게 아닌지 궁금함, 예전에 로컬에서 개발자 본인 키로만 서명해 올리는 구조였는데, 새 정책은 패키지명이 신원과 묶이는 듯해서 타인 키로 서명할 수 없게 될 수도 있음, 혹시 내 기억이 틀리거나 프로세스가 바뀐 건지 의견을 듣고 싶음

    • 저장소 자체는 파일 디렉터리이므로 네임스페이스도 변경 가능하지만 이 과정 자체가 너무 번거로움, 직접 안드로이드 서명 키를 준비하고 추가적으로 신원 제출까지 요구하는 것은 사용 경험 자체가 크게 떨어지는 일임, 결국 '승인된 사람'이 아닌 경우 구글 인증 디바이스에서 직접 빌드한 앱 실행이 쉽지 않아짐

  • 만약 이 정책이 현실화되면 모바일 시장에서 a) 제3자와 계약 없이 앱 설치가 가능한 OS, b) 메인스트림 보안 앱(특히 뱅킹앱 등) 사용이 가능한 OS 중 어느 쪽도 남지 않게 됨

    • 앞으로는 인증된 OS와 브라우저에서만 데스크탑으로 뱅킹 접근이 가능해질 가능성이 큼
    • 나는 그냥 비활성화하고, 웹에서 뱅킹 되는 앱을 선택해 쓸 생각임, 내 앱 중 많은 부분이 사이드로딩이고 Play Store 등록도 많으며 개발자가 직접 본인 정보를 올리는 경우도 충분히 많음

  • 공식 발표는 다음 링크에서 참고할 수 있음 구글 공식 블로그 정책 상세 Google Play 지원, Play Store에 악성 앱이 많기 때문에 현재의 확인 절차는 별다른 효과가 없다고 봄, 이번 정책은 Google이 Revanced 같은 앱을 영구적으로 막기 위한, 즉 권력 강화를 위한 수단임, “안전”을 명분으로 내세우지만 진짜 중요한 인터넷 권한 설정 등은 사용자 광고 차단 여부 때문에 감춰져 있음에 실망함, “우리는 개발자가 누구인지 확인할 뿐 앱 내용은 보지 않는다”는 문구는 이해가 안 감, 결국 앱 내용 자체를 어느 정도라도 봐야 진짜 보안이 되는 건 아닌지 궁금함, Play Protect 해제 등 우회도 공식 발표문엔 언급 없어서 불가능할 듯함, 그래서 이제는 리눅스와 윈도우만 진정한 자유 개발 대상 플랫폼이라고 생각하게 됨, 구글 계정 없이 개발하고 싶음

    • 사실상 인터넷 퍼미션 없이도 데이터를 내보낼 수 있음, 공격자가 본인 사이트로 데이터 쿼리를 보내는 intent를 브라우저에 전송하면 충분함
    • Play Protect 비활성화로 제한을 우회할 수 있는지 여부는 실제 정책 적용 전까지 알 수 없음, 가능한 경우라면 Play Protect를 “허가된/notarized” 앱 외엔 모두 차단하는 방식이 될 가능성이 큼, 이 경우 기존 개발자 모두가 검증 절차를 거쳐야 함, 발표문의 의도도 이를 반영하고 있음, 다만 얼마나 많은 사용자가 이 검증을 끌 수 있는지는 미지수임
    • 실제로 보안 문제가 아니라 KYC(고객확인제)나 제재와 같은 정책 문제가 들어있는 건 아닌지 의심도 듦
    • 회사 신원 인증을 요구하면 은행처럼 위장 앱을 막는 효과는 기대할 수 있음, 패키지명별 공개키 등록은 악성코드가 삽입된 변조 버전 설치 방지에 유용함, APKMirror에서도 서명 확인을 하고 있지만, 정말 신뢰할 수 없는 경로로만 앱을 다운받아야 하는 상황이라면 원본 여부를 판별하기 위해 이런 시스템이 조금은 필요함, 패키지 내용 분석 없이도 EV SSL 인증서 등 웹의 보안 체계처럼 운영 가능함
    • 안드로이드에서 숨겨진 인터넷 액세스 컨트롤 설정이 뭔지 설명을 더 듣고 싶음

  • 이 정책이 Play Protect로 강제된다면 아래와 같은 명령어로 쉽게 비활성화할 수 있음

    adb shell settings put global package_verifier_user_consent -1

    루트 권한 없이 Play Protect를 비활성화할 수 있음, 오픈소스 앱 배포를 위해 굳이 구글과 사업적 관계를 맺고 싶지 않음, 이로 인해 Play Protect를 글로벌로 끄는 사용자만 내 앱을 설치할 수 있게 된다면 어쩔 수 없다고 생각함

    • 이런 방법도 곧 구글이 “사기꾼 차단” 같은 명분으로 막지 않을까 예상됨
    • 이 방법이 실제로 무엇을 깨트리게 되는지 궁금함

  • 이런 상황을 어떻게 용인하게 되었냐는 의문이 있음, 사실 수많은 작은 제한에 순응하다 보니 여기까지 온 것임, 과거에는 주변에서 이런 우려를 이야기했을 때 “너무 민감하다, 별 일 아니다”라며 웃는 반응이 많았음, 결국 이런 현실이 와버렸음

    • eternal september라는 표현처럼 영원한 변화의 흐름임
    • 자신과 무관하다는 태도로 GrapheneOS나 Calyx 같은 대체 OS를 쓰는 일부 유저들 이야기도 있지만, 결국은 이런 흐름의 downstream(하위 흐름)에 놓여 있는 것임, 안드로이드의 진정한 가치는 보통 사용자와 해커 모두에게 ‘인터페이스 표준성’이었음
    • 우리는 상황에 영향을 준 적이 전혀 없으며, 진짜 책임은 구글과 그 임직원들에게 있음, 이들은 이익과 커리어를 위해 사용자 자유를 대가로 거래했음, 지금 상황은 늦은 자본주의의 시행착오 중 하나임
답변달기