검증되지 않은 Android 앱 사이드로딩을 위한 Google의 새로운 24시간 절차 공개

• 구글은 2026/9월부터 개발자 검증 프로그램을 시행해, 인증되지 않은 앱의 설치를 제한할 예정
• 숙련 사용자는 검증을 우회해 앱을 설치할 수 있으나, 숨겨진 설정을 통해 24시간 대기 시간을 거쳐야 완전히 적용됨
• Google은 이 지연이 사회공학적 공격 방지를 위한 조치라고 설명하며, 사용자가 즉흥적으로 악성 앱을 설치하지 못하도록 설계함
• 이번 변경은 Android 생태계의 보안 강화와 사용자 선택권의 균형을 목표로 하며, 2027년 전 세계로 확대될 예정임

Android 사이드로딩 정책 변화

• Google은 2026년부터 Android 전반의 악성코드 확산 방지를 위한 대규모 변경을 추진
  • 9월부터 개발자 검증 프로그램을 통해 인증된 개발자만 앱을 배포 가능
  • 검증에는 신원 확인, 서명 키 제출, 25달러 수수료가 필요
• 검증되지 않은 개발자의 앱은 기본적으로 설치 불가
  • 단, ‘고급 절차(advanced flow)’ 를 통해 예외적으로 설치 가능

고급 절차(Advanced Flow) 작동 방식

• 이 기능은 개발자 설정 메뉴 깊숙이 숨겨져 있음
  • 사용자는 ‘About Phone’에서 빌드 번호를 7회 탭해 개발자 옵션을 활성화해야 함
  • 이후 “Allow Unverified Packages” 항목을 찾아 토글을 켜고, PIN 입력 및 기기 재시작 필요
  • 이후 24시간 대기 후 다시 설정 메뉴로 돌아가 ‘임시 허용(7일)’ 또는 ‘무기한 허용’을 선택 가능
• 24시간 지연은 즉흥적 설치를 막기 위한 보안 설계
  • Google은 이 기간이 사회공학적 사기 공격을 차단하는 데 도움이 된다고 설명
  • 예를 들어, 공격자가 “즉시 앱을 설치해야 한다”고 압박하는 상황을 완화

보안과 사용자 선택의 균형

• Google은 3억 대 이상의 활성 기기를 고려해, 플랫폼의 개방성과 안전성을 동시에 유지해야 한다고 강조
  • “플랫폼이 안전하지 않으면 사용자도, 개발자도 손해”라는 입장
• 검증 과정은 앱 내용 검열이 아닌 신원 확인 목적
  • 사용자는 앱이 악성코드 배포자나 사칭자로부터 온 것이 아님을 확인 가능
  • 악성코드의 정의는 “사용자 의도 없이 기기나 개인 데이터를 손상시키는 앱”으로 규정
• Google은 개인적 목적의 루팅 도구나 광고 차단 앱 등은 검증 문제로 간주하지 않음

개인정보 및 법적 우려

• 일부 프라이버시 옹호자들은 검증 데이터베이스가 독립 개발자에게 법적 위험을 초래할 수 있다고 우려
  • Google은 부당한 사법 명령에 대해 사용자 데이터를 보호한다고 밝힘
  • 또한 개발자 신원 정보를 영구 보관하지 않을 계획이라고 언급
• 제재 국가(쿠바, 이란 등) 개발자들이 수수료로 인해 검증을 받지 못할 가능성에 대한 우려 존재
  • Google은 국가별로 검증 절차가 다를 수 있으며, 특정 지역을 배제하기 위한 목적은 아니라고 설명

단계적 시행 일정

• 2026년 9월부터 브라질, 싱가포르, 인도네시아, 태국에서 우선 시행
  • 이 지역은 사칭 및 피싱형 사기가 상대적으로 많음
• 이후 2027년에 전 세계로 확대 적용 예정
• Google은 Android 16.1(2025년 출시) 에 검증 기능을 통합했으며,
  모든 지원 기기에서 동일한 UI와 경고 화면을 제공할 계획
• Google은 Play 외부에서 앱을 설치할 경우 악성코드 감염 위험이 50배 높다고 강조
  • 2023년 Play 스토어 개발자 신원 검증 도입이 이번 정책의 기반이 됨
  • 일부 국가에서는 보안 문제 해결을 위한 규제 압력이 존재함