F-Droid와 Google의 개발자 등록 명령

 (f-droid.org)
7P by GN⁺ 2일전 | ★ favorite | 댓글 1개
  • F-Droid는 15년간 안드로이드 무료 오픈소스 앱 안전 설치를 지원해 온 앱 저장소임
  • Google이 일방적으로 모든 안드로이드 개발자에 중앙 등록과 신원 인증을 요구함에 따라 F-Droid 같은 대안 저장소의 존폐 위기 발생
  • 이러한 정책 시행 시 F-Droid 프로젝트와 오픈소스 앱 생태계가 심각한 타격을 받게 됨
  • Google의 정책은 보안 강화가 아닌 시장 지배력 강화 목적으로 보이며, 이는 사용자 자유와 다양성을 약화시킴
  • F-Droid는 규제 당국과 사용자들에게 대안 앱 스토어 운영 자유와 개발자 권리 보호를 촉구함

F-Droid와 Google의 개발자 등록 명령 개요

  • F-Droid는 15년 동안 안드로이드 사용자를 위해 안전하고 검증된 무료 오픈소스 앱을 제공해온 저장소임
  • 상업적 앱스토어, 특히 Google Play Store와 달리 F-Droid는 사용자 프라이버시와 투명성을 중시하며, 광고나 추적기 등 사용자를 해치는 anti-feature가 없는 앱만 제공함
  • 앱의 공개 소스코드를 F-Droid 팀이 리뷰 후 빌드하여 배포, 그 과정에서 F-Droid 암호키 또는 개발자 개인키로 패키지 서명 진행
  • 사용자는 F-Droid를 통해 공개 검증된 소스코드 기반 신뢰 가능한 앱을 설치할 수 있음
  • 개인 정보를 브로커에 전송하지 않는 날씨 앱이나 광고 네트워크로 정보 유출 없는 스케줄러 등 프라이버시 중심 솔루션 제공

Google의 개발자 등록 정책 발표 및 영향

지난달 Google이 모든 안드로이드 개발자에 중앙 등록 의무를 일방적으로 선언함

  • 개발자 등록 비용, 신원 증빙 서류(정부 발급 신분증 등) 제출배포할 모든 앱별 고유 식별자(패키지명) 등록 요구
  • F-Droid 프로젝트는 개발자들에게 Google 등록을 강제할 수 없으며, 오픈소스 앱의 식별자를 독점하는 것도 불가함
  • 이 정책이 실제로 시행되면, F-Droid 및 유사 대안 앱스토어 대부분이 사실상 운영 중단 위기에 놓임
  • 사용자들은 신뢰할 수 있는 오픈소스 앱 설치/업데이트 자체가 불가해짐
  • F-Droid는 이용자 추적이나 회원가입 시스템이 없기 때문에 사용자 숫자도 파악하지 않음

보안과 중앙화 프레임의 문제점

Google은 보안 목적을 이유로 중앙 등록, 직접 설치 제한을 정당화하지만, 이는 실상 기만적인 주장임

  • Google Play Store에서도 반복적으로 악성 앱이 발견되어 삭제되어 왔음
  • F-Droid는 소스코드 공개/빌드 과정 완전 공개/재현 가능한 빌드 등 투명성 제고를 통해 보안 신뢰성 확보
    Google은 이미 Play Protect 서비스로 기기 내 악성 앱 탐지 및 무력화를 수행할 수 있음
    실제 위험은 사용자 교육·투명성·기존 보안 조치 강화를 통해 충분히 대응 가능
    중앙 등록제는 생태계 다양성과 오픈소스 확산력을 약화시키고, 소수 대기업에 통제력을 집중시키는 결과 초래

사용자 권리와 소프트웨어 자유

컴퓨터(스마트폰 포함) 소유자는 자신이 원하는 모든 소프트웨어를 실행할 권리를 가짐

  • 앱 배포를 위해 저작자에게 강제적인 중앙 등록과 신원 인증을 요구하는 것은 표현의 자유·창작의 자유와 배치
  • Google이 앱 식별자와 개인 신원 인증/등록비를 묶음으로써 실제로 대안 생태계 진입 장벽을 높이고 있음
    건강한 경쟁 및 사용자의 자유 선택권 보장을 위해 Google은 적절한 해결책을 마련해야 함

F-Droid의 제안 및 요청

규제 당국과 경쟁 정책기관에 Google이 보안 명분으로 독점적 통제권을 강화하는지 면밀히 살필 것을 촉구

  • 대안 앱스토어 및 오픈소스 프로젝트가 자유롭게 운영될 수 있도록 정책적 보호 필요
  • 강제적·배제적 등록 체계에 동의하지 못하는 개발자 보호 중요

개발자 및 사용자는 자신의 목소리를 국회의원/유럽위원회 등 규제기관에 전달하거나 서명 참여 등으로 디지털 자유 보호에 힘쓸 수 있음

  • 이를 통해 단순히 F-Droid의 존속뿐만 아니라, 소프트웨어가 공공재로 남아 사용자 모두의 선택권이 유지되는 환경 조성에 기여 가능
GN⁺ 2일전  [-]
Hacker News 의견

  • F-Droid는 앱 유통 과정에서 사용자의 이익에 초점을 맞춰 검증된 앱만을 제공함으로써 다른 앱 마켓들과 다르다는 점을 느낌. 한 번은 Simple™ 앱을 F-Droid에서 찾을 수 없어 자연스럽게 SimpleMobileTools가 회사에 인수되어 소스가 비공개 되었음을 알게 되었고, Fossify라는 무료 포크가 있다는 것도 알게 되었음(SimpleMobileTools 인수 관련 이슈, Fossify 깃허브). 만약 Google Play에서 설치했다면 이런 변화를 무시한 채로 신규 소유자의 업데이트를 그대로 받았을 것임. 각각의 앱스토어 정책엔 장단점이 있지만, 다양한 마켓플레이스의 존재가 중요함을 절감함

    • 이번 주말 PNG 파일을 이메일로 보내야 해서 Play Store에서 이미지 압축 앱을 찾았는데, 수백만 다운로드 앱 5개를 다운로드해보니 전부 데이터 수집, 광고 도배임. 광고 제거를 위해 결제하려 했더니 “무료 체험 후 5달러/월 구독” 또는 19달러 평생 구매 같은 함정뿐이었음. 사실상 기존 라이브러리 감싼 앱일 뿐인데 리뷰도 명백히 조작됐음. 1년 만에 Play Store 앱 다시 받아봤는데 너무 별로라 브라우저에서 직접 해결하는 게 더 빨랐음

    • SimpleMobileTools 혼란과 F-Droid의 대처는 사이드로딩 금지와 개발자 등록 요구의 '보안' 명분이 얼마나 허울뿐이고 오히려 해롭다는 완벽한 사례임

    • 예전에 Simple 앱을 사용하다가 소식이 끊겼는데, 오늘 그 이유를 알게 되어 고마움을 느낌. 진정한 생태계 다양성이 필요함

    • Fossify가 SimpleMobileTools에서 포크된 것인지 몰랐음. 지금 알게 되었고, 두 곳의 앱이 폰에 섞여 있었는데 Fossify로 갈아타기로 결정함. 그동안 일정 앱이 제대로 작동하지 않던 것도 결국 업데이트가 중단되어서였음

    • 똑같이 직접 조사해서 F-Droid 없었다면 이런 결정을 내리기 어려웠을 것이라는 점에 공감함

  • 유럽연합 DMA팀에 Google의 개발자 검증 정책 관련 의견을 보냈고, 답변을 받음. EU는 Google 같은 Gatekeeper도 타사 앱스토어나 웹을 통해 앱 설치가 가능해야 하고, 동시에 필수적이고 비례적인 보안 조치를 불가피하게 허용한다고 안내함. 그러나 실제로 DMA는 오히려 Google-Apple의 독점적 지위를 강화하고 있음

    • 글쓴이 본인임. EU 규제 워크샵과 집행 과정에도 참여했는데 “철저히 필요하고 비례적인 조치”란 논리가 계속 반복적으로 등장함. 개발자 입장에선 이 조항이 샌드박스, 시그니처 체크 등 단말 보안 체계를 제3자 앱스토어가 무력화해선 안된다는 의미로 해석되지만, 실상은 Gatekeeper들이 자기 입맛에 맞게 해석해 규제를 피해감. Apple도 모든 소프트웨어를 notarization, 실상 ‘검수’라는 시스템을 통해 다시 싸인하고 암호화해서 타사 앱스토어에 배포하는데, Google도 Android 기기 전체에 동일한 정책을 도입 중임. 전 세계 수십억 대 모바일이 두 미국 기업에 의해 실질적으로 게이트키핑될 상황. 아직도 경각심이 부족함. Android 사용자는 F-Droid 설치하고 자유 소프트웨어 권리 포기를 거부해야 함

    • EU 집행부서가 한 시민의 신고만 보고 수억 단위의 결론이나 조치를 내리길 기대하는 것은 무리라고 생각함. 법적/기술적 분석이 필요한 문제임. 또, 불충분한 답변이나 미온적 대응만으로는 DMA가 Android-iOS 독과점 강화를 의도하고 있거나 허용하고 있다고 보긴 어려움

    • 답신은 기대한 대로 기계적이고 소극적이었음. 국회의원(MEP)에 연락하면 좀 더 강한 입장을 들을 수도 있겠지만, DMA팀은 한 통의 이메일만으로 판단을 내릴 리 없음. F-Droid 공지에서 Google도 결국 Apple과 똑같이 비판받고 처벌될 것으로 기대함. 다만 시간 끌기가 Google's 진짜 의도일 수도 있다고 생각함

    • 법률 전문가는 아니지만 "철저히 필요한 조치"라는 wording이 지나치게 광범위하게 해석되고 있음. 로비스트들이 보안 명목으로 접속 권한, 인증 강화 등 상식 밖의 조항을 넣고 ‘합리적’ 예외처럼 포장하여 실상은 앱 유통을 통제하는데 악용하고 있음. 수십년간 아무 문제없이 사용된 문제를 갑자기 “필수적”이라 주장하기도 힘듦

    • F-Droid에서 Signal 같은 안전한 오픈소스 메시징 앱을 설치해 감청 회피를 막으려는 시도임. EU가 계속 이렇다면 오히려 영국의 브렉시트 결정이 나은 선택일 수도 있다는 생각이 듦. 미국이 우리에게 관세를 부과하는데도 EU는 오히려 미국 빅테크에 유리한 정책만 내놓고 있음

  • F-droid는 지난 15년 넘게 대체 앱스토어 환경을 멋지게 이끌어 왔고, 이 사안에서 F-droid의 의견에 귀 기울여야 한다고 봄. Google 내부 직원들이라면 이번엔 내부적으로 F-droid의 주장을 지지해주길 부탁함. 익명 소프트웨어(그러나 선의인)까지 차단하는 것은 오픈 생태계에 위험한 선을 넘는 것임. 오늘은 Play Store, 내일은 곧 웹까지 닫힐 수 있는 심각한 사안이라 생각함

    • 솔직히 지금 Google 내부에 회사 혜택이나 생존에만 신경 쓰는 사람이 대부분일 것 같음. 다음 구조조정에서 살아남는 것만이 관심사일 뿐임

    • 글쓴이 본인임. 구글은 몇 년 전에도 비슷한 인증제 도입을 검토했으나, F-Droid의 혼란 예상 의견을 듣고 물러섰었음. 이번엔 아무런 연락도 없었음. 대화 원하는 사람이 있으면 언제든 연락 바람 (F-Droid 이메일, Signal 프로필 참고)

    • 익명 소프트웨어 차단이라고 표현하기보단, Google의 구현 방식 때문에 F-Droid 자체가 기술적으로 타격을 받는 구조임. 의도치 않은 피해라 해도 결과적으로 존재 자체가 위협받는 셈임

    • “불완전한 선택 중 최선”이라는 표현에 동의하지 못함. 지금 시스템에 문제가 있다고 생각하지 않음. G1 시절부터 어떤 APK도 자유롭게 설치해왔고, 사용자에겐 완벽함. 오히려 Google엔 광고 수익을 방해하는 앱(ReVanced, PipePipe 등)이 불만일 뿐, 사용자는 전혀 문제 없음. 차라리 Android OS에 30달러 받고 팔라고 권유하고 싶음

  • 몇 년간 직접 만들었던 Android 앱 등 스스로 사용하던 도구도 있었지만, 이런 식으로 나아가면 앞으로 Android 개발을 전면 중단할 계획임. 타 개발자들도 같은 입장 취하길 권함. 이 변화는 플랫폼을 완전히 잠글 뿐, 되돌릴 수 없는 지점임. Android가 매력적인 이유는 내 손 안에 있는 리눅스 덕분인데, 오히려 구글이 해야 할 일은 루트 접근 권한을 쉽게 열어주는 것임. 결국 마지막 남은 자유 플랫폼은 Firefox라고 생각하여 웹기반 툴을 Firefox(모바일·데스크톱)에서 잘 돌아가게 만드는데 집중할 것임

    • Android, iOS 개발이 워낙 힘들고, 브라우저 기반이 때로 네이티브보다 나아서 앞으로 웹 기반에서 최대한 많이 푸시할 생각임

    • Android에서 개발을 그만둔 이유가 바로 Google의 EU 규정 해석 방식 때문임. 개발자 주소가 모두 공개되어야 한다는 점이 싫었음. 현 상황에 전혀 놀라지 않음

    • 구체적으로 어떤 작업방식인지 설명을 듣고 싶음. 본인은 결국 Emacs lisp로 포팅했음

    • Firefox만 바라보지 말고 아예 린(리눅스)이나 BSD 등 타겟 플랫폼을 추천함

    • 안드로이드와 iOS 모두 더이상 가치가 없어졌다고 판단함. 크로스플랫폼 네이티브(Futter 등)까지 준비했지만, 5개 각기 다른 시스템에 맞춰 포장/검수/배포 등 번거로움이 극심함. 웹앱이 점점 대세이고, 네이티브는 이미 끝난 게임이라 생각함

  • 구글이 혼자서만 사악한 게 아니라, 전세계 규제 환경도 선택권 제한, 소비자 자유 제한에 일조하고 있다고 느낌. 17살 아들에게 Thunderbird 메일 설치해주려 했더니 나이 인증 문제 등 온갖 제약 때문에 포기함. 결국 F-droid 덕에 앱 개발 시작 가능. 자유로움이 규제 당국엔 우회, 회피로 비춰지는 듯함. 자발적으로 Apple/Google/Microsoft 앱스토어 대신 Flathub, arch, debian, f-droid만 이용하고, OS 없는 기기만 삼. 산업 규범 개발에 일반인, 오픈소스 개발자가 참여할 기회도 없고, 정부의 요구에 모든 것을 맞춰야 하는 상황. 앞으로 FOSS가 얼마나 더 허용될 수 있을지 우려됨

    • 실제로는 Google 등 대기업이 이런 산업 기준을 로비해서 앱 개발자가 오직 자사 앱스토어에만 앱을 올릴 수 있게 하는 구조임

    • Calvin & Hobbes 만화에서 스팸 메일을 버리면 테러리스트 취급받는 웃긴 에피소드가 떠오름. 내 기기에 내 소프트웨어 설치하는 것도 “해커” 취급받는 분위기임

    • F-Droid 입장에선 이번 사안이 명백히 규제 대응임. DMA, Epic 소송까지 맞물려 돌아감. Google은 AOSP를 유지하면서도 앱 유통 통제를 강화하려는 듯함. 하지만 앞으로 반쯤은 오픈소스에 의존할 수밖에 없으니, Google 역시 완전 폐쇄를 강행하긴 힘들 거라고 봄. 오늘 오픈소스, 특히 AI 분야는 더 활성화되고 뛰어난 결과물도 많아지고 있음. Google/Apple/Microsoft 모두 폐쇄 생태계를 원하긴 하지만, 경쟁사 생태계엔 묶이고 싶어하지도 않음. 규제 환경은 분명 오픈소스엔 위협이지만, 미국에 오히려 자유의 미래가 남겨질 수 있음. 한편, 개발자와 유저들이 너무 Android에 의존하다 보니, 앞으로 “돈 내고서만 개발할 수 있음”이란 압박이 최악의 유인책이라고 느낌

  • 현재 논의에서 GPLv3 컴포넌트 포함 앱의 신규 배포 규칙에 따른 문제점을 충분히 다루지 않은 것이 아쉬움. GPLv3 규정상, 최종 사용자에게 자가 빌드하여 실행할 수단(키 등)까지 모두 제공해야 하는데, 구글의 신규 요건하에선 기술적으로 현실적으로 불가함

    • 이 문제로 인해 결국 구글과 애플 모두 GPL 라이선스와의 호환성 논란이 동일하게 대두될 수 있음. 개인적으론 여전히 양 플랫폼 모두와 GPL은 공존할 수 있다고 봄. Play Store, App Store 모두에 Signal, Element, Wordpress 등 다양한 GPL 소프트웨어가 실제로 올라와 있음. 의무적 개발자 등록 요구가 오히려 라이선스 공존 문제의 재조명을 불러올 수 있을 것임. 관련 블로그

    • 법적 세부사항은 중요하지만, 실제로는 애플 앱스토어 정책과 동일하게 적용될 것이며, FSF는 호환되지 않는다고 보고 있음 관련 FSF 글

    • 내 해석으론 이 조항은 GPLv3 소프트웨어가 내장된 디바이스(폰)를 파는 벤더에게 적용됨. 반면, 개발자가 GPLv3 앱을 유통하는 것은 크게 문제되지 않으며 구글 개발자 등록을 거치면 라이선스 준수가 가능해 보임

  • 이제 휴대폰을 다른 관점에서 바라봐야 한다고 생각함. 점차 개인 앱 실행의 자유가 사라지고, 오직 데이터 수집, 광고, 중독을 위한 도구일 뿐임. 그러면서도 일상적 필수품이라는 이중성이 있음. 나는 지금 폰을 꺼두고 필요할 때(2FA 등)만 켜고, 다시 끔

    • 이 시각에 동의함. 데스크톱/서버/랩탑에서는 여전히 범용 컴퓨팅이 살아있는데, 스마트폰과 태블릿만 제한적 기기로 변모함. 사용자 대다수는 이 정도 제약을 더 원하고, 우리가 자유와 선택을 주장해도 극소수 목소리로 묻힘. 내 스마트폰은 늘 감시가 기본인 서비스만을 위해 사용하고, 중요한 작업은 진지한 컴퓨터에서만 함

    • F-Droid 덕분에 그나마 폰을 쓰고 있음. 구글 앱들은 Rethink VPN으로 네트워크 차단 중임. 만약 이번 변화가 통과된다면 유심을 빼서 일반폰에 넣고, 스마트폰은 순전히 오프라인 네비·미디어용으로만 켜둘 생각임

    • 만약 어린이집 등에서 연락 와야 하면 어떻게 해야 할지 고민임. 진짜 피쳐폰(3310)이라도 써야 할지 생각함

  • 이 정책은 정말 재앙임. 더 이상 완전히 자유로운 폰은 없어짐. APK 설치나 토렌트를 못하게 되면 iPhone으로 갈아타서라도 추적 덜 당하고 보안을 얻는 게 낫겠다고 느낌

    • Ubuntu Touch를 써볼 것을 권장함. 활발한 커뮤니티가 있고, 개발자라면 특히 재미있을 수 있음. 상어(기업 생태계)에서 탈출해도 다른 상어로 가는 게 답은 아님. Ubuntu Touch Store에 앱 릴리스해봤는데, 폼 작성부터 바로 피드백 받아볼 수 있는 등 절차가 매우 간단했음

    • 한편으로 Google Android 폰이 과연 진짜 열린 시스템이었는지는 의문임. 진짜로 완전히 열린 타 OS나 리눅스폰들은 여전히 존재하고, 오히려 더 매력적이거나 인기가 높아질 수도 있다고 생각함

    • 그렇게 되면 애플 생태계의 불편함도 감수해야 하는데, 앱 생태계 조이는 정책, 데이터 빼내기 어려움, 기기마다 저장 공간 부족 문제 등 여러 이슈가 남음

    • 애플에는 앞으로 절대 돈을 쓰지 않을 생각임. 이런 정책 전체의 원조이기도 하고, 애플이 무언가 권리를 빼앗기 시작하면 안드로이드도 계속 따라 갈 뿐임

  • 현재의 컴퓨팅 시대는 기기 잠금 현상이 심각해진 현실임. 반도체 SoC와 폐쇄 드라이버, 사용자 제약이 일상임. 아이러니하게도, 아이폰 ‘탈옥’ 시절 해킹 붐 이후 기업들이 이익이 된다는 사실에 눈떴음. EU가 비-앱스토어 앱 허용을 요구함으로써 어느 정도 변화가 있었지만, 사용자가 기기 위험 감수 여부를 직접 결정할 ‘스위치’만 넣으면 되었을 것을, 복잡한 프로비저닝 방식으로 우회함. 이제 같은 논리를 Google/Android도 따라가고 있고, 실제로 브라질, 인도네시아, 싱가포르, 태국 등 특정 정부의 ‘축복’으로 실행 중임. 이들 지역에선 모든 앱이 등록된 개발자만 설치 가능해짐

    • 싱가포르 거주자로서 실제 체감함. F-droid 쓰는 걸 좋아했지만, 단말 바꿨더니 shizuku 등으로 데이터 폴더 접근마저 불가해지고, 아예 루팅·커스텀롬을 고민해야 할 상황임

    • “인증된 개발자만 앱 유통"이라도 사기꾼들이 몇십 달러 주고 이름만 빌려 등록하는 일은 얼마든지 가능하다고 봄

    • 각종 사기가 만연해 정부가 어떻게든 막으려는 배경임을 이해함. 케이블이나 adb를 경유해 직접 설치는 여전히 가능하고, 피해자 수를 줄일 수 있음. 이제는 사기 디벨로퍼를 속여 등록하게 만드는 것이 훨씬 더 번거롭고 어려워짐

  • fdroid의 입장이나 공지가 나올 때까지 기다렸는데, 역시나 Google의 움직임은 처음 들었을 때 예상했던 것만큼이나 심각함. 안드로이드 개발은 매년 더 나빠지고, 이 추세가 웹까지 번질지 걱정임

    • EU의 웹 나이인증 시스템이 Android/iOS 단말 보안 기능에 의존할 예정임 관련 이슈. 결국 중국 수준의 내/외부 통제를 하려면 사용자 관리 기기 자체를 웹에서 배제해야 가능할 것이기에 향후 정책도 유추 가능함

    • Google이 Web까지 완전히 장악하려는 와중에, 다수 개발자가 불편을 탓하며 Firefox/Safari가 새로운 Web API를 막으면 오히려 Web의 발전을 저지한다고 비난하는 현상이 문제임. Electron 기반 앱의 남발까지 더해 결국 Web도 폐쇄적인 방향이 될 가능성이 있음

답변달기