앱 배포를 위한 개발자 등록 의무화에 대한 구글 공개서한

 (keepandroidopen.org)
1P by GN⁺ 5시간전 | ★ favorite | 댓글 1개
  • 전 세계 시민단체·비영리기관·기술기업 38곳이 구글의 안드로이드 앱 외부 배포 개발자 등록 의무화 정책에 반대 입장을 표명
  • 이들은 안드로이드가 이미 운영체제 수준 보안·앱 서명·Play Protect 등 다양한 보호 장치를 갖추고 있다고 지적
  • 중앙 등록제는 혁신과 경쟁, 프라이버시, 사용자 자유를 위협하며, 구글이 모든 앱 배포를 통제할 수 있는 구조를 만든다고 비판
  • 또한 이 정책이 소규모 개발자·오픈소스 프로젝트·제재 국가 개발자·인권 활동가 등에게 진입 장벽을 높인다고 경고
  • 서명 단체들은 구글에 정책 철회와 개방성·중립성 회복, 그리고 커뮤니티와의 투명한 협의를 요구

정책 반대의 배경

  • 구글은 앞으로 Play 스토어 외부에서 앱을 배포하려는 모든 개발자에게 중앙 등록을 의무화할 계획임
    • 등록 과정에는 신분증 제출, 약관 동의, 수수료 납부가 포함됨
  • 서명 단체들은 이 조치가 구글 서비스와 무관한 영역까지 게이트키핑 권한을 확장한다고 지적
    • 구글이 전 세계 앱을 임의로 비활성화할 수 있는 권한을 갖게 된다고 경고

진입 장벽과 혁신 저해

  • 등록 의무화는 개인 개발자, 소규모 팀, 오픈소스 프로젝트에 불리하게 작용
    • 자원 부족, 인프라 접근 제한, 제재 국가 거주 등으로 인해 등록이 어려운 사례 다수
  • 프라이버시 중심 개발자, 인권 활동가, 긴급 대응 조직 등도 위험에 노출
  • 이러한 행정적 부담은 소프트웨어 다양성 감소대기업 중심 집중화로 이어질 수 있음

개인정보 및 감시 우려

  • 구글 등록제는 모든 안드로이드 개발자의 개인정보 데이터베이스를 형성함
    • 수집 정보의 보관·활용·정부 요청 대응 방식에 대한 우려 제기
  • 프라이버시 보호나 정치적으로 민감한 앱을 개발하는 이들에게 불필요한 감시 위험이 발생

자의적 집행과 계정 정지 위험

  • 구글의 기존 앱 심사 시스템은 불투명한 결정과 제한된 이의제기 절차로 비판받아 왔음
    • 자동화된 판단, 명확한 사유 없는 정지, 정치·경쟁 요인 개입 가능성 등 문제 제기
  • 단일 기업이 모든 배포 권한을 통제하는 구조는 건전한 경쟁 생태계에 반함

경쟁 제한 및 규제 문제

  • 구글은 등록을 통해 모든 앱 개발 동향과 경쟁사 전략을 파악할 수 있게 됨
    • 이는 시장 정보 비대칭을 초래하고, 경쟁 제품을 사전 차단·복제할 위험을 높임
  • 유럽연합·미국 등 규제 기관이 이미 플랫폼 독점과 자사 우대 행위를 조사 중이며,
    서명 단체들은 구글이 개방성과 상호운용성을 유지해야 한다고 강조

기존 보안 체계의 충분성

  • 안드로이드는 이미 샌드박싱, 권한 시스템, 서명 인증, 사이드로딩 경고 등 보안 기능을 보유
  • 17년간 이러한 체계로 사용자 보호가 유지되어 왔으며,
    구글이 진정 보안을 우려한다면 기존 메커니즘 강화에 집중해야 한다고 주장

공동 요구 사항

  • 제3자 배포용 개발자 등록 의무 즉각 철회
  • 시민사회·개발자·규제기관과의 투명한 협의 진행
  • 플랫폼 중립성 보장으로 구글의 상업적 이해와 플랫폼 운영을 분리
  • 안드로이드의 개방성을 회복하고, 자유 소프트웨어와 디지털 주권을 보호할 것을 촉구

서명 단체

  • EFF, FSF, FSFE, F-Droid, Nextcloud, Proton, Vivaldi, Tor Project 등 38개 단체 참여
  • 이들은 구글이 개발자 검증 프로그램을 중단하고,
    보안과 개방성의 균형을 공동으로 모색해야 한다고 결의
GN⁺ 5시간전  [-]
Hacker News 의견들

  • 이 편지에서 가장 논란이 되는 부분은 “Existing Measures Are Sufficient(기존 조치로 충분함)”이라는 주장임
    Google이 2025년 11월 발표에서 공식 블로그를 통해 명확한 공격 벡터를 설명했음
    예를 들어, 동남아에서 사기범이 피해자에게 전화를 걸어 “은행 계좌가 해킹됐다”며 공포심을 조성하고, 보안용 ‘검증 앱’을 설치하라고 유도함. 이 앱은 사실 악성코드로, 알림을 가로채고 2FA 코드를 탈취해 계좌를 털어감
    Google은 이런 공격을 막기 위해 개발자 신원 검증이 필요하다고 주장함. 신원 확인이 없으면 악성 앱을 무한히 만들어내는 ‘두더지 잡기’ 게임이 반복된다는 것임
    나도 의무 등록이 과도하다고 느끼지만, “지금도 괜찮다”는 식의 반응보다는 더 나은 대안이 필요하다고 생각함. 예를 들어, 알림·SMS 가로채기 같은 민감 권한에만 등록을 의무화하거나, 등록하지 않는 개발자에게는 고가의 인증서를 요구하는 식의 절충안도 가능함

    • 커뮤니티가 왜 다른 반응을 보여야 하는지 모르겠음. 세상은 원래 안전하지 않음, 그리고 완전한 안전은 자유를 빼앗는 대가로만 가능함
      사람은 스스로 잘못된 선택을 할 자유도 있어야 함. 사기꾼의 전화를 믿고 앱을 설치하는 건 공격 벡터가 아니라 개인의 선택임. 그 이유로 사용자가 자신의 기기에 앱을 설치하지 못하게 하는 건 은행이 “술집에 쓸 거니까 돈 인출 금지”라고 하는 것과 다를 바 없음
    • 나는 이 편지의 작성자이자 서명자 조정자임. “괜찮다”고 말하는 게 아니라, Android가 이미 점진적 보안 강화를 통해 새로운 위협 모델에 대응해왔음을 지적하는 것임
      예를 들어 Android 13~14의 Restricted Settings는 전화로 APK 설치를 유도하는 사기를 막고, Android 15의 Enhanced Confirmation Mode는 시스템 설정을 조작하려는 악성 앱을 방지함
      이런 기능들이 이미 효과를 내고 있는데, Google이 갑자기 전체를 잠그려는 건 기존 방향성과의 단절임. 악성코드는 항상 존재해왔고, Play Store 안에도 있음. 지금의 극단적 조치를 정당화할 근거는 부족함
    • 개발자 등록은 문제 해결책이 아님. 도난 신분증은 싸게 구할 수 있고, 범죄자는 하루에도 수십 번 새 앱을 올릴 수 있음
      진짜 문제는 기술 문해력 부족, 사람의 신뢰 성향, 수사력 부재, 그리고 일부 국가의 사기 조직 방치
      내 은행 앱은 통화 중이거나 원격 제어 중이면 실행되지 않음. 하지만 루팅된 기기에서는 방법이 없음. 결국 각국이 Google 탓만 하는 건 책임 회피임
      이런 제한은 며칠 만에 우회될 것이고, 일반 사용자만 더 불편해질 것임
    • 누군가가 보안 경고를 무시하도록 유도할 수 있다면, 그 사람에게 2FA 코드를 직접 말하게 하거나 다른 피싱 수법을 쓰는 것도 가능함
    • 이 문제의 완벽한 해결책은 없음. 사용자가 비검증 앱을 설치할 수 있게 하면 악성 앱 위험이 생기고, 막으면 사용자 자유가 제한됨
      복잡한 ‘잠금 해제’ 절차를 두는 것도 가능하지만, 그건 결국 일반 사용자가 비공식 앱을 설치하지 못하게 만드는 것과 같음
      사기 문제는 실제로 심각하지만, 제안된 해결책은 병보다 더 나쁜 처방처럼 보임

  • 판사가 Google에게 “Apple은 자사 플랫폼에 경쟁자가 없으므로 반독점이 아니다”라고 판결했음 (Epic 소송 관련)
    Google은 그 말을 그대로 들었음. 그래서 지금의 정책이 나왔다는 것임. 이건 최근 판결 중 최악의 결정 중 하나라고 생각함

    • 이런 문제는 판사가 아니라 의회가 다뤄야 함. 통신처럼 모두가 의존하는 플랫폼은 법으로 규제되어야 함
      EU가 Apple과 Google을 게이트웨이 플랫폼으로 지정한 접근이 훨씬 낫다고 봄. 미국 의회는 현대적 접근을 위한 법적 틀을 마련하지 못하고 있음
    • 네가 며칠 전에도 같은 댓글을 썼다는 걸 기억함. 이전 댓글 링크
    • 어떤 판결을 말하는 건지 구체적으로 설명해줄 수 있음? 그 결론이 어떻게 나왔는지 궁금함

  • 개발자 등록의 문제는 Google과 정부가 앱을 검열할 권한을 갖게 된다는 점임
    정부가 “VPN 앱을 금지하라”고 요구하면 Google은 등록 요건을 이용해 차단할 수 있음

    • 이미 그런 권한이 있는 거 아님?
    • 그보다 더 심각함. 공식 경로로만 설치가 가능해지면 Google은 누가 어떤 앱을 쓰는지 추적할 수 있음
      예를 들어, ICE 추적 앱을 설치한 사람은 정부에 보고되어 테러리스트 명단에 오를 수도 있음

  • 등록 제도는 수천 명의 정상 개발자에게만 마찰 비용을 주고, 악성 행위자는 위장 회사나 도난 ID로 계속 돌아올 것임
    신원 확인과 범죄 억제는 다른 문제임

    • 사실 이 마찰은 ‘안전’ 때문이 아니라 의도된 설계임. Google은 소규모 개발자를 몰아내고 싶어 함
      이미 Play Store에서 개인 개발자에게 실명 노출을 강요하고, 앱 노출 순위를 낮추며, “이 앱은 설치가 적음” 같은 경고를 띄움
      결국 대형 기업 앱 중심 생태계를 만들려는 전략임. 유지보수 부담은 줄이고 수익은 늘리려는 것임
    • 물론 마찰이 효과가 전혀 없다고 할 수는 없음. 도난 ID로 수천 개 계정을 만드는 건 어렵지만, 악성 앱 변종을 만드는 건 훨씬 쉬움
      이 균형이 가치 있는지는 모르겠지만, 완전히 무의미하다고 보긴 힘듦
    • Google은 Play Store에서도 악성 앱을 제대로 걸러내지 못함. 여전히 가짜·스팸 앱이 넘쳐남

  • Google에게 말하고 싶음. Play Store의 악성코드부터 정리하고 나서 사이드로딩을 논의하길 바람

  • Play Store 외부 설치를 금지하면 파워 유저들에게 재앙이 될 것임
    나는 루팅을 포기했지만 광고 차단 등은 APK로 해결했음. 이런 앱이 막히면 Android를 쓸 이유가 사라짐

  • 이번 서명자 명단은 Google이 없애고 싶어 하는 단체들의 리스트 같음

    • 정확히 그거임. Google은 시민 사회엔 관심 없고, 오직 자기 권력 강화에만 관심 있음
      이번 조치가 사람들에게 Google 대안을 찾게 만드는 계기가 되길 바람

  • Android와 iOS가 모두 폐쇄형이라면 나는 매번 iOS를 선택할 것임
    Android를 쓰는 이유는 개방성 때문임. 그게 사라지면 Apple의 매끄러운 UX와 생태계를 택할 것임

    • 나는 iOS를 1년째 강제로 쓰고 있는데, 아직도 그 매끄러운 UX나 강력한 생태계를 못 느꼈음

  • 솔직히 말하면, “소외된 커뮤니티에 불균형한 영향”이라는 말은 해커보다 제3세계의 노년층 피해자에게 더 해당된다고 봄
    이들은 사기 앱에 속아 재산을 잃는 경우가 많음

  • “Don’t be evil”이 “정부 ID 등록 후에만 악하지 말라”로 바뀐 셈임
    Google은 법정에서 Android의 개방성을 내세워 반독점 소송을 방어했지만, 이제 그 문을 스스로 닫고 있음
    보안을 명분으로 내세우지만, 실제로 해결하려는 문제는 “통제 불가능한 개발자”가 아니라 “수익화할 수 없는 개발자”임

답변달기