사이드로딩에 대해 이야기할 때 우리가 이야기하는 것 | F-Droid

 (f-droid.org)
1P by GN⁺ 4일전 | ★ favorite | 댓글 1개
  • Google의 새로운 개발자 등록 정책이 안드로이드 사용자의 기기 자유와 소프트웨어 선택권을 제한한다는 비판 제기
  • Google은 “사이드로딩은 사라지지 않는다”고 주장하지만, 실제로는 모든 앱 배포가 Google의 승인 절차를 거쳐야 하는 구조로 변경
  • 이 정책은 사용자가 직접 앱을 설치하거나, F-Droid 같은 오픈소스 저장소를 이용하는 자유를 사실상 박탈
  • Google은 보안 강화를 명분으로 내세우지만, Play Store 내 악성 앱 사례가 반복되며 신뢰성 논란 지속
  • 전 세계 안드로이드 생태계의 개방성과 디지털 주권을 지키기 위한 사회적·정책적 대응 필요성 강조

Google의 “사이드로딩은 사라지지 않는다”는 주장에 대한 반박

  • Google은 Android Developers Roundtable 영상과 블로그를 통해 “사이드로딩은 안드로이드의 핵심이며 사라지지 않는다”고 명시했으나, 이는 사실과 다르다고 F-Droid 측은 주장
    • 새로운 개발자 검증 명령(developer verification decree) 이 개인이 원하는 소프트웨어를 자유롭게 설치할 권리를 실질적으로 종료시킴
  • “사이드로딩(sideloading)”이라는 용어 자체가 인위적으로 만들어진 것으로, 본래는 단순히 ‘설치(installing)’ 행위에 불과하다고 설명
    • Google Play Store나 Apple App Store 같은 중개 마켓플레이스를 거치지 않고 직접 설치하는 행위가 왜곡되어 부정적으로 인식되었다는 지적
  • Wikipedia 정의에 따르면 사이드로딩은 “공급업체가 승인하지 않은 웹 소스에서 앱을 전송하는 행위”로, Google이 모든 소스 승인을 요구한다면 이는 더 이상 사이드로딩이 아님
    • 개발자는 Google에 등록비를 내고, 신원 증명과 서명키 정보를 제출하며, Google의 승인을 기다려야 함

사용자, 개발자, 국가의 권리에 미치는 영향

  • 사용자는 안드로이드 기기를 구매할 때 ‘열린 플랫폼’ 이라는 약속을 믿었으나, 향후 업데이트로 인해 비가역적 제한이 강제될 예정
    • Google의 판단에 따라 어떤 소프트웨어를 신뢰할 수 있는지 결정되는 구조로 전환
  • 개발자는 더 이상 자유롭게 앱을 만들어 직접 배포할 수 없으며, Google의 사전 승인을 받아야 함
    • 안드로이드의 개방성이라는 핵심 가치가 아이폰과의 차별점이었으나, 이제 그 원칙이 폐기되는 상황
  • 국가 차원에서도 시민의 디지털 주권이 기업에 종속될 위험 존재
    • Google은 과거 권위주의 정부의 요청에 따라 합법적 앱을 삭제한 전례가 있어, 공공 소프트웨어 운영에도 불안 요인
  • 이 정책은 Google Play Store뿐 아니라 모든 Android Certified 기기에 적용되어, F-Droid나 Epic Games Store 같은 대안 스토어 사용자도 동일한 제약을 받게 됨

Google이 주장하는 “더 안전한 환경”의 허구성

  • Google은 “인터넷 사이드로딩 소스에서 발견된 악성코드가 Play Store보다 50배 많다”는 자체 분석 결과를 인용하며 정책을 정당화
    • 그러나 F-Droid는 해당 분석 자료를 본 적이 없으며, 근거 없는 수치라고 비판
  • 최근 224개의 악성 앱이 광고 사기 캠페인으로 인해 Play Store에서 삭제된 사례를 언급하며, Google이 외부 커뮤니티를 비난하기보다 자체 보안 체계 개선에 집중해야 한다고 지적
  • 또 다른 보도에 따르면 Play Store에서 1,900만 회 이상 다운로드된 악성 앱이 발견되어, 단일 기업의 판단만으로 악성코드를 식별하는 것은 신뢰하기 어렵다고 주장
    • Google의 상업적 이해관계가 사용자 보호보다 우선될 수 있다는 우려 제기

무엇을 할 수 있는가

  • Google의 과도한 정책 통제에 대한 비판은 오래전부터 있었으며, 최근 들어 더욱 가속화
    • 2024년에는 Chrome의 Manifest v3 도입으로 광고 차단 기능을 약화시켰고,
    • 2025년에는 Android Open Source Project(AOSP) 개발을 비공개화하여 이번 검증 인프라를 비밀리에 구축
  • 개발자 검증 제도는 F-Droid 같은 자유 소프트웨어 배포 플랫폼과 Play Store의 상업적 경쟁자들에게 실존적 위협으로 작용
    • 사용자, 개발자, 언론, 시민단체의 반발이 확산되고 있으나, 정책 입안자들의 인식 제고가 여전히 필요
  • 소비자는 keepandroidopen.org를 통해 대표 기관에 의견 전달개방형 안드로이드 생태계 유지를 위한 행동 가능
  • 개발자에게는 현재 시점에서 Google 개발자 등록 프로그램 참여를 권장하지 않음
    • F-Droid는 이 강제적 제도를 명확히 거부한다고 선언
  • 전 세계 인류의 절반 이상이 안드로이드 스마트폰을 사용하며, 기기의 소유권은 Google이 아닌 사용자에게 있음
    • 사용자는 누구를 신뢰하고, 어디서 소프트웨어를 얻을지 스스로 결정할 권리를 가져야 함
GN⁺ 4일전  [-]
Hacker News 의견

  • 글쓴이임. 많은 댓글의 공격적인 어조와 불성실하다는 비난에 꽤 놀랐음
    ‘sideload’라는 용어의 기원을 따지는 건 중요하지 않음. 이 단어를 쓰는 사람들은 보통 뭔가 해커스럽고 비정상적인 행위처럼 느끼게 만들려는 의도가 있음
    Linux, Windows, macOS에서는 ‘sideload’가 아니라 그냥 ‘install’이라고 함
    나는 내 컴퓨터, 혹은 내 주머니 속의 컴퓨터에 어떤 소프트웨어든 설치할 권리가 있다고 믿음. 이건 내가 끝까지 지킬 신념임

    • 이 커뮤니티 안에도 권위주의적 통제를 좋아하는 사람들이 있음. 그들은 Apple이나 Google Play가 우리를 보호한다고 믿고, 그걸 방어해야 한다고 생각함
      이런 태도는 모바일 기기의 폐쇄성 같은 주제에서 자주 드러남. 다만 이런 사람들은 일부 ‘목소리 큰 소수’일 뿐임
    • 프로젝트를 아예 접는 게 낫다고 생각함. 예전에 프라이버시 프로젝트에 기여했는데, YouTube의 ‘크리에이터’를 해친다고 욕먹은 뒤로 깨달음. 사람들은 Google에 당하면서도 즐거워함. 내 정신 건강을 위해 그만두고 나니 시간이 훨씬 많아졌음
    • F-Droid가 실제로 Google Play Store보다 안전하다고 주장할 수도 있지 않겠음? Google은 sideloading을 ‘malware’ 문제로 몰지만, 실제로는 Play Store 쪽이 더 많은 악성 앱을 퍼뜨렸을 수도 있음. 오히려 작은 독립 앱스토어가 더 잘 관리될 가능성도 있음
    • 문제는 더 넓게 퍼지고 있음. 이제는 소프트웨어뿐 아니라 운동기구 같은 하드웨어도 구독 모델로 묶임. 예전엔 손잡이로 조절하던 저항을 이제는 월 30달러짜리 구독 없이는 못 씀. 1920년대 전구 카르텔의 계획적 노후화보다 더 심함. 시장이 이런 걸 계속 지탱한다는 게 우울하지만, 독점 구조가 고착화되면 그런 패턴이 생김
    • 나도 같은 입장임. 당신 혼자가 아님을 알려주고 싶음

  • 논점을 더 높여야 함. ‘sideloading’ 논쟁은 부차적임. 핵심은 기기 소유권과 거래의 경계
    내가 기기를 구매한 순간 거래는 끝나야 하고, 그 이후엔 내가 100% 통제권을 가져야 함. 제조사나 OS 제작사는 0%여야 함

    • 가장 먼저 해야 할 일은 DMCA 개혁임. 지금은 사용자가 자기 기기를 제어할 수 있는 도구나 정보를 제공하는 것조차 연방법 위반임
      EFF의 관련 글 참고
      이런 법은 기업이 정부의 힘을 빌려 사람들을 겁주게 만듦. 반면, 이런 조항을 없애면 소비자가 스스로 락픽(lockpick) 을 개발할 수 있음
    • 하지만 이런 이상은 현실적으로 불가능해 보임. 결국 우리는 거대 기술기업이 허락한 기기를 임대받는 세상으로 가고 있음. 모든 코드 실행은 허가받은 개발자만 가능하고, 모든 데이터는 감시됨. 완전한 중앙집중화가 오면 그다음은 어떻게 될까 두려움
    • 완벽한 소프트웨어가 하드웨어 위에서 돌아가야만 진짜 내 기기가 될 수 있음. 그렇지 않으면 결국 그건 ‘그들의 소프트웨어가 깔린 내 기기’일 뿐임
    • “그럼 업데이트는 어떻게 할 거냐”는 질문이 나올 수 있음. 하지만 핵심은 사용자가 원할 때만 업데이트를 허용하는 자율성

  • 플랫폼의 행태는 증상일 뿐, 근본 문제는 아님

    1. 내 폰은 내 것이고, 어떤 앱이든 설치할 수 있어야 함
    2. 공식 스토어 같은 검증된 채널은 보안상 유용함
      두 가지 모두 맞다면, 공식 스토어 외에서 설치할 때 “자기 책임하에 설치” 경고창만 띄우면 됨. 대부분의 사용자는 어차피 공식 스토어만 쓸 것임
      하지만 Apple과 Google은 앱 내 거래에서 수수료(vig) 를 챙기기 때문에 그렇게 하지 않음. 플랫폼 세금을 없애면 sideload 문제도 사라짐
    • 중요한 건 ‘공식’이 아니라 ‘신뢰할 수 있는 채널’임. F-Droid는 그런 채널이지만 Google Play는 아님. Google은 오히려 이런 신뢰 채널을 없애려 함
    • Android는 이미 “자기 책임하에 설치” 경고창을 띄움. Google은 이제 등록된 개발자만 앱을 배포할 수 있게 하려는 것임
    • 경고창은 이미 존재하지만, 사람들은 어차피 클릭하고 넘어감. 보안 엔지니어링의 현실은 사용자가 경고를 이해하지 못한다는 것임. 단순히 “경고했으니 내 책임 아님” 태도는 피해 복구에 아무 도움도 안 됨
    • Android의 이 기능은 이미 존재했고, 이제 사라질 예정임
    • 나도 Google Play Store를 신뢰하지 않음

  • 우리가 root 권한조차 없는 현실은 미친 일임. sideload 제한은 그 디스토피아의 상징일 뿐임

    • 나는 LineageOS를 올린 Poco F3에서 root를 유지하고 있음. 하지만 하드웨어 인증이 표준이 되면 이 자유도 사라질까 걱정됨. root와 sideload가 막히면 Android는 더 이상 가치 없음
    • 이런 통제의 결과로 Apple과 Google이 어떤 기술과 서비스가 시장에서 성장할지까지 결정하게 됨

  • iOS 사용자로서 Apple의 폐쇄적 정책에 지쳐 Android 기기를 사서 PoC 앱을 만들어왔음. 지금도 여러 기기에서 F-Droid를 통해 앱을 설치함. 이게 막히면 내 기기들은 쓸모없어짐

    • 올해 iOS의 SideStore를 발견했는데, 자동 갱신 기능이 훌륭함. 두 개의 iOS 앱을 직접 만들어 매일 잘 쓰고 있음. Google의 새 정책 덕분에 당분간 Android로 돌아갈 일은 없을 듯함

  • 많은 댓글이 글의 핵심보다는 단어의 의미에 집착함

    • F-Droid가 기사에서 ‘coined’를 ‘popularized’로만 바꾸면 HN이 좋아할 거라는 농담을 하고 싶음
    • HN에서는 자주 이런 일이 있음. 긴 글에서 단어 하나에 매달려 숲을 보지 못함

  • Google이 정말 보안을 이유로 이런 정책을 밀어붙인다면, 차라리 sandbox 사용자 계정을 만들어 그 안에서 비공식 앱을 설치하게 하면 됨. 하지만 이런 걸 원하는 사용자는 극소수라서 Google이 신경 쓰지 않을 것임. 우리 같은 사람은 그냥 중국폰을 직구해서 쓰면 됨

    • 하지만 브라질처럼 수입 규제가 있는 나라에서는 인증되지 않은 폰을 들여올 수 없음
    • 사실 sideload 금지의 목적은 보안이 아니라 NewPipe나 Vanced 같은 앱 차단
    • Termux로 ADB를 직접 돌려 F-Droid 앱을 설치하는 우회 방법이 있을지도 모름. 하지만 Google은 이런 시도를 곧 막을 것임
    • 어차피 사용자 기반이 너무 작으면 개발자들이 앱을 만들 이유가 없음

  • Raymond Carver 얘기가 하나도 안 나와서 아쉬움
    그의 대표작을 보면 지금의 모바일 OS 상황이 그만큼 암울하다는 생각이 듦. 영화 Shortcuts도 추천함

    • 맞음, 약간 주제에서 벗어나긴 했지만 Carver는 훌륭한 작가임

  • ‘sideload’라는 단어는 원래 뭔가 은밀하고 위험한 행위처럼 들리게 하려는 의도로 만들어졌음
    예전에 Rapidshare나 Megaupload 같은 파일 호스팅 서비스에서도 ‘sideload’라는 기능이 있었는데, 서버로 직접 파일을 옮기는 의미였음

  • macOS에서는 인터넷에서 받은 앱을 실행할 때 “이 앱을 열겠습니까?”라는 경고만 띄움. 설치 자체를 막지는 않음. 폰에서도 그렇게 해야 함

    • 하지만 실제로는 더 복잡함. 예를 들어 내가 만든 golang 바이너리를 다른 사람에게 보내면 macOS는 “손상된 앱”이라며 실행을 막음. 비기술 사용자 차단용 설계라고 생각함
    • 이번 업데이트는 사용자가 설치 여부를 결정할 수 있는 권한 자체를 없애고, 개발자가 등록·결제해야만 앱을 설치할 수 있게 만드는 방향임. 결국 폐쇄적 생태계로의 유도
    • macOS는 경고를 띄우지만 사용자가 무시하고 실행할 수 있는 선택권이 있음. iOS는 그렇지 않고, Google도 그 방식을 따라가려 함
    • macOS는 App Store 외부 앱을 실행할 때마다 경고하지만, 사용자는 직접 빌드하거나 quarantine 플래그를 제거하면 실행 가능함
    • brew 같은 패키지 관리자를 통해 설치하면 이런 경고조차 없음
답변달기