Volkswagen, GrapheneOS 사용자를 차단하기 시작함

 (discuss.grapheneos.org)
1P by GN⁺ | ★ favorite | 댓글 1개
  • GrapheneOS 사용자가 Volkswagen 앱에서 로그인 실패와 서버 연결 오류를 겪고 있으며, 같은 계정이 stock Android나 iPhone에서는 동작하는 사례가 나옴
  • GrapheneOS는 Volkswagen 앱의 Play Integrity API 사용을 감지했고, My SEAT 앱도 Device Integrity Check 이후 GrapheneOS에서 막히는 유사 사례가 공유됨
  • Volkswagen Digital Services는 GrapheneOS·LineageOS 같은 custom ROM을 지원 대상에서 제외하며, 해당 환경의 기능 제한에는 기술 지원을 제공할 수 없다고 답함
  • Play Store 재설치, Sandboxed Google Play, Play Services 권한, Google 계정 로그인, Exploit protection compatibility mode 등 우회 시도는 사용자별로 결과가 엇갈림
  • 앱 기반 차량 원격 기능이 운영체제 인증 정책에 묶이면서, 이미 제공되던 서비스 접근이 끊길 수 있다는 우려가 Play Store 리뷰·지원팀 문의·EU 민원 논의로 이어짐

GrapheneOS에서 발생한 Volkswagen 앱 로그인 장애

  • 여러 사용자가 Volkswagen 앱에서 로그인 실패 또는 서버 연결 오류를 겪음
    • 오류 메시지는 “서버에 연결할 수 없음”, “계정에서 연결을 허용하지 않았을 수 있음”, “로그인 실패”, “앱을 업데이트하거나 스마트폰 앱 스토어에서 다시 설치하라”는 형태였음
    • 한 사용자는 Volkswagen 앱 버전 3.61.0, 패키지명 com.volkswagen.weconnect에서 문제가 발생한다고 밝힘
  • 같은 계정이나 서비스가 다른 기기에서는 정상 동작하는 사례도 있었음
    • GrapheneOS에서는 동작하지 않지만 stock Android 기기에서는 동작한다고 한 사용자가 설명함
    • iPhone이나 오래된 iPhone에서는 문제없이 쓸 수 있다는 경험도 공유됨
  • Volkswagen 측 초기 답변 중 하나는 앱 로그인에 영향을 주는 시스템 장애가 있으며, 앱 삭제 후 재설치를 시도하라는 내용이었음
    • 이후 일부 사용자는 다시 동작한다고 했지만, 다른 사용자는 계속 실패함

Play Integrity API와 지원 대상 제외

  • 한 사용자는 GrapheneOS가 “Volkswagen used the Play Integrity API”라고 알렸다고 공유함
    • 처음에는 “Pay Integrity API”라고 썼다가 이후 “Play, not Pay”로 정정함
  • My SEAT 앱에서도 비슷한 흐름이 나타남
    • My SEAT App V2.17은 업데이트를 요구했고, V2.18도 동작하지 않았다고 함
    • 앱은 “App is under maintenance”라고 표시했지만, GrapheneOS는 이 앱이 Device Integrity Check를 사용한다고 알림
    • 사용자는 이 검사가 Volkswagen 앱처럼 실패하는 것으로 봄
  • SEAT Mii의 앱 기반 원격 서비스는 10년간 무료라서, 유료 서비스가 막힌 경우보다는 타격이 작다는 반응도 있었음
  • 한 사용자는 자국에서 Play Integrity API를 쓰는 은행 앱이 하나뿐이며, 해당 은행 앱은 Google Play와 Google Play Services가 있으면 GrapheneOS에서도 동작한다고 비교함

우회 시도와 엇갈린 결과

  • 일부 사용자는 Play Store 직접 설치와 GrapheneOS 업데이트 후 Volkswagen 앱이 다시 동작했다고 설명함
    • Aurora Store 버전을 삭제함
    • Play Store에서 새로 설치함
    • GrapheneOS 업데이트를 적용함
    • Play Services를 켠 상태로 앱에 로그인함
    • 앱 PIN까지 입력한 뒤 동작을 확인함
    • 이후 Play Services를 꺼도 홈 화면에서 문 잠김, 공조 꺼짐, 대략적 위치가 표시됐다고 함
  • Sandboxed Google Play 환경에서는 Volkswagen 앱이 동작하지만 불안정하다는 경험도 나옴
    • 데이터 업로드가 되지 않거나 “Unfortunately your data could not be loaded.”가 자주 나타남
    • 같은 사용자는 오래된 iPhone에서는 문제없이 동작한다고 덧붙임
  • Play Services의 Contacts and accounts 권한을 허용한 뒤 데이터 로딩이 다시 된 것 같다는 보고가 있었음
    • Volkswagen이 Google 계정 로그인 여부를 확인하려는 것일 수 있다는 추정이 나옴
    • Google Services의 Google Contacts Sync도 필요할 수 있지만 100% 확실하지 않다고 함
  • 같은 방법이 모두에게 통하지는 않음
    • Play Services 권한과 Google 계정 로그인을 추가해도 같은 오류가 계속된 사례가 있음
    • Exploit protection compatibility mode를 켜도 도움이 되지 않았다는 보고가 나옴
    • Play Services와 최신 GrapheneOS 업데이트가 있어도 앱이 동작하지 않는 사례가 남아 있음
  • 한 사용자는 이전에는 잘 동작했지만, 특정 시점에 로그아웃된 뒤 다시 로그인할 방법이 없다고 밝힘

Volkswagen의 공식 답변과 사용자 반응

  • Volkswagen Digital Services는 iOS 기기와 지원되는 Android 운영체제 버전에서만 Volkswagen 앱 사용을 지원한다고 답함
  • 대체 운영체제가 설치된 기기는 Volkswagen AG의 앱 지원 환경에 포함되지 않음
    • 예시로 GrapheneOS, LineageOS, 유사한 custom ROM이 명시됨
    • 이러한 환경에서는 기능 제한 또는 기능 부재가 발생할 수 있음
    • Volkswagen은 이런 경우 기술 지원을 제공할 수 없다고 밝힘
  • Volkswagen은 앱이 디지털 서비스의 안정적이고 안전한 사용을 위해 보안 관련 시스템 구성요소와 인증된 Android 표준에 의존한다고 설명함
  • 또 다른 사용자는 Volkswagen 지원팀으로부터 기기가 Play Protect certified인지 확인하라는 안내를 받음
    • 확인 경로는 Play Store > 프로필 아이콘 > Settings > About으로 안내됨
    • GrapheneOS 기기는 인증되지 않은 것으로 표시된다고 함
    • Google 도움말에는 인증되지 않은 기기에 대해 원래 사전 설치된 제조사 서명 Android 빌드를 플래시하라는 취지의 안내가 있다고 공유됨
  • 사용자들은 Volkswagen의 “보안” 논리와 오래된 Android 10 기기 허용 사이의 일관성을 문제 삼음
    • 한 사용자는 안전하지 않은 Android 10 백업 기기에서는 VW Connect 앱이 정상 동작한다고 답장 초안을 공유함
    • Android Hardware Attestation API가 고객 단말의 기밀성과 무결성 요구를 충족할 수 있다는 의견도 나옴
    • Google을 유일한 게이트키퍼로 삼는 방식이 Volkswagen의 디지털 주권 약속과 맞지 않는다는 답장도 공유됨

리뷰, 지원 요청, 민원 논의

  • 사용자는 Volkswagen 또는 SEAT 지원팀에 이메일을 보내고, Play Store 리뷰에 문제를 남기자고 제안함
    • Volkswagen 지원 연락처로 connect-support@volkswagen.de가 공유됨
    • Volkswagen 앱 리뷰에 GrapheneOS 문제를 언급한 사례가 이미 여럿 있다는 말도 나옴
  • 일부 사용자는 소프트웨어 계약 해지까지 진행함
    • 해지 사유는 Android 앱이 동작하지 않는다는 점이었음
  • 유럽위원회에 민원을 제기하는 방안도 논의됨
    • 한 사용자는 Google AI가 작성한 민원 초안에 EU Data Act, 상호운용성, 디지털 공정성 위반이 포함됐다고 적음
    • 다른 사용자는 민원 서한을 어디로 보내야 하는지 질문함
  • 차량 앱 자체에 대한 회의적인 의견도 이어짐
    • 현대 차량은 셀룰러 모뎀을 통해 제조사, 딜러, 제3자에게 광범위한 텔레메트리를 보고할 수 있다고 한 사용자가 지적함
    • 휴대폰을 차량에 연결하면 데이터 유출 경로가 하나 더 추가된다고 봄
  • 관련 사례로 MyHyundai 앱이 v1.1.5 이후 시작 즉시 충돌하며 다른 휴대폰에서는 동작한다는 보고도 있었지만, Volkswagen 문제와의 관련성은 확인되지 않음

함께 보면 좋은 글 β

GN⁺   [-]
Hacker News 의견들

  • Volkswagen이 계속 삽질하는 게 놀라울 정도임
    지금 전기차를 알아보는 중이고, 여러 이유로 Volkswagen 계열이 1순위였음. 특히 주행 보조 구현이 좋았기 때문임
    3주 전에 딜러에게 견적을 받고 주문하려 했는데, 커뮤니티 연동용 API가 꺼졌고 일단 지켜보기로 했음. 이제는 GrapheneOS 사용자라서 구매 계획을 완전히 접게 됨
    Volkswagen이 왜 이렇게 판단하는지 이해가 안 감. 비공식 API를 막지 않고 GrapheneOS나 Play Protect 미인증 Android 사용자를 막지 않는 데 비용은 거의 안 들 텐데, 일반 사용자에게 악영향도 없고 고급 사용자들의 지지와 열의를 얻어 다른 브랜드와 차별화할 수 있었음. 애초에 그 데이터는 사용자 데이터

    • 독일 기업, 특히 VW 같은 전통 제조업체는 개방형 플랫폼을 이해하는 데 매우 약함
      모든 것을 먼저 책임과 규정 준수 관점으로 봄. 커스텀 ROM에서 앱을 돌리다가 누군가 앱을 조작했고, 극히 가정적인 피해가 발생하면 그 상황을 막지 못했다는 이유로 책임을 질 수 있다고 생각하는 식임
      실제 가능성은 사실상 0에 가깝지만, 그런 미미한 위험조차 감수하기보다 제품을 나쁘게 만드는 쪽을 택함. 독일 대기업들이 대체로 이렇게 움직임
    • 마음을 바꾼 이유를 딜러에게 꼭 알려야
    • VW는 Graphene 사용자가 의미 있는 규모라고 생각하지 않는 듯함. 어딘가의 누군가는 VW 인프라를 “표준” 같은 것에 맞췄다는 이유로 승진할 수도 있음
    • 2014년에 새 차로 산 Golf를 아직 타고 있고 마음에 들어서, VW가 대체 차량을 파는 건 쉬워야 했음
      그런데 VW는 계속 실수만 반복함. 수집하지 말아야 할 정보를 모으고, 허술한 보안 관행 때문에 해커에게 노출하지 말아야 할 정보까지 드러냄
      이제는 GrapheneOS 차단까지 한다니, VW가 내게 또 다른 ‘Dub’를 팔 가능성은 거의 없음
    • 나도 곧 차를 살 예정이라 VW i4Škoda Enyaq을 보고 있었는데, 이 일 때문에 심각하게 재고하게 됨
      이번에는 지역 산업을 지원하고 유럽 제품을 사고 싶었지만, 스스로 너무 어렵게 만들고 있음. Stellantis 얘기는 꺼내지도 말자

  • 안타깝게도 이게 전부도 아님. VW가 한 일은 Play Protect 인증이 없는 모든 것에 대해 API를 완전히 잠근 것임
    그래서 커뮤니티 주도 프로젝트로 가능했던 멋진 기능들이 이제 막혀버림
    VW가 제공하는 “앱”은 60% 광고, 30% 기능 수준이고, 모든 작업에 대해 Home Assistant 연결을 쓰는 편을 진심으로 더 선호했음. “차 예열 시점” 같은 자동화도 기본 기능보다 외부에서 하는 게 더 쉽고 직관적이었음
    이 말은 차량 쪽에서 충전 제어 자동화도 더 이상 불가능하다는 뜻임
    “공식적으로 약속된 적은 없다”고 볼 수도 있겠지만, 나를 포함한 일부 사용자에게는 유료 API가 구매 포인트였음

    • Tesla를 제외하면 자동차 앱은 전반적으로 쓰기 끔찍함. Tesla 앱도 용량이 거대한 등 흠은 있지만, 적어도 눈을 찌르고 싶게 만들지는 않음
      Apple이 “Watch” 앱 같은 “Cars” 앱을 만들어서 표준화하게 했으면 좋겠음
    • 나도 공감함. 내 쪽에서는 불평, 평점, 리뷰를 매번 남기려고 함. 저노력 행동이라도 그들에게 시간을 쓰게 만들고, 규제 대상 기업이라면 민원 통계를 조금이라도 나쁘게 만들 수 있음
      충분한 사용자가 움직이면 차이를 만들 수 있음. 보안 연극, 거짓말, Google의 독점적 지위, 반경쟁 같은 유효한 우려를 키워드로 남기면, 답변도 더 조심스러워지고 규제기관 민원도 더 힘을 받을 수 있음
    • 구독 중개자가 끼고, 사람들이 그게 당연하다고 훈련되는 건 볼 때마다 아픔
      Iroh 네트워킹이 빨리 표준이 됐으면 함
      https://www.iroh.computer/
    • 이건 보증 청구감이어야 함. 특정 기능 세트를 가진 차를 팔아놓고 업데이트로 그 기능이 없는 다른 차로 바꿨다면 같은 차가 아님
      망가뜨린 것이니 고치거나 그 가치만큼 보상해야 함
    • “Play Protect”가 설계 의도처럼 보였던 그대로 서드파티 생태계에 피해를 주고 있음
      Play Services 의존 앱 없이는 서비스를 쓰지 못하게 하는 모든 서비스 제공자에서 조금씩 멀어지고 있음. 다만 차량을 바꾸는 건 훨씬 더 어려움

  • 독일에서 렌터카를 몰아보면 독일 자동차 산업의 계속되는 파산을 응원하고 싶어질 정도임. 이제는 완전한 리셋이 필요함
    더 슬픈 건 EU 법이 차량 내 모뎀과, 실제로는 도로에서 시선을 계속 빼앗아 운전을 덜 안전하게 만드는 침입적인 주행 보조 장치를 의무화한다는 점임
    정치·사회 수준에서도 더 큰 리셋이 일어나지 않는 한, 가까운 미래에 유럽에서 최소한 괜찮은 차를 기대하기 어려움
    [1] https://www.youtube.com/watch?v=f-S76WEl25k

    • 최근 응급 신고 접수원에 대한 르포를 봤는데, 사고 차량에서 사람보다 훨씬 먼저 자동 전화가 들어오는 장면이 보였음. 아마 그 차량 모뎀 때문일 것임
      모뎀을 의무화해야 한다거나 사용자가 제어할 수 없어야 한다는 뜻은 아님. 다만 모뎀을 넣으려는 자동차 회사에게 기본적으로 자동 긴급 전화를 하게 만드는 건 꽤 합리적으로 보임
      더 합리적인 건 사용자가 허용하기 전까지는 아무것도 하지 않다가, 충돌을 감지했을 때만 동작하는 방식이겠지만… 이윤이 문제임
    • 최근 Cupra를 일주일 빌렸는데, 보조 기능이 거슬리지 않고 유용했음. 꽤 기분 좋은 surprise였음
      Toyota나 Hyundai 보조 기능 얘기는 시작도 말자. 참고로 링크한 영상에 나온 차는 Toyota임
    • 제한속도에 가까워지기만 해도 차가 크게 삐삐거리게 만든 사람은 분명 차를 몰아본 적이 없음
      그 소리를 끄는 가장 좋은 방법은 계속 제한속도를 넘거나, 한참 아래로 달리는 것뿐임
    • 몇 분 지나면 끄지 않은 “기능” 하나가 생각나고, 그걸 끄려다가 오히려 산만해짐
      차로 유지 보조는 고장 난 데다 위험하고, 자동 상향등 보조도 위험하며, 자동 순항 제어도 위험함
      충돌 감지·회피도 영국의 좁고 건물이 많은 지역에서는 꽤 자주 충돌할 거라고 오판해서 위험함. 속도 표지판 감지도 망가져 있음
      심지어 자동 와이퍼도 수년이 지났지만 완벽과는 거리가 멂. 더 중요한 기능을 맡기기 전에 그것부터 입증하게 했어야 함

  • 얼마나 많은 사람이 이렇게 할지는 모르겠지만, 영국이 VPN을 금지한다면 Graphene이 큰 표적이 될 수 있음
    Pixel을 사고 Graphene을 설치하고, FDroid를 쓰고 Google Play에 가입하지 않은 뒤 Tor Browser를 받으면 됨
    신분증을 넘기지 않고 검열에 강한 인터넷 접근이 가능해짐
    흥미로운 점은 Pixel이 영국에서 꽤 인기 있는 폰이라는 것임. 틈새 기기를 사야 했다면 몇백 명 이상 쓰기 어렵겠지만, 영국에는 Pixel이 10만 대쯤 있을 가능성이 있고 아직도 사서 Graphene을 올릴 수 있음
    영국에서 자유 인터넷에 대한 압박은 정말 빨리 진행됐음. 보호 장치를 법으로 못 박지 못한 무관심의 세월이 있었지만, 일단 움직이기 시작하자 매우 빠르게 밀어붙였음
    현실적으로 우리는 인터넷 사용에 신분증이 묶이는 미래를 빠르게 달리고 있음. 가능할 때 탈출구를 만들어야 함

    • 영국에는 잠금 해제된 BIOS가 있는 x86 PC가 수천만 대는 있을 것임. 문제는 열린 기기를 실행하는 게 아님
      진짜 문제는 소프트웨어임. 정부가 온라인 서비스에 독점 증명 API를 의무화하면 Linux 사용자는 어떻게 해야 하나
      금지가 이렇게 빠르게 진행되는 게 무서움. 더 큰 문제는 그다음임. 금지로는 실제로 잘 안 된다는 걸 깨달으면, 논리적인 다음 단계는 인터넷 트래픽을 심하게 제한하는 것임
    • https://www.androidauthority.com/google-pixel-organized-crim...
      “Google Pixel을 볼 때마다 마약상 것일 수 있다고 의심한다”고 카탈루냐 마약 단속을 이끄는 경찰 관계자가 말했다고 함
      이미 일부 국가나 지역은 Pixel을 표적으로 삼는 듯함. 실제 이유는 GrapheneOS 때문임
    • 왜 사람들이 뻔한 말을 계속 피하는지 정말 이해가 안 감
      폰을 주 엔터테인먼트 기기로 쓰지 말아야
      폰을 두 대 가져야 함. 하나는 진짜 쓰는 폰이고, 다른 하나는 “경찰과 은행”용 폰임
    • Discord가 얼굴 인식을 처음 도입했을 때 가입하지 않은 게 후회됨. 당시 중학생들도 밈 사진으로 신분 확인을 쉽게 속였음
      대부분 서비스에 욕심껏 가입해두고, 나중에 족쇄가 조여지기 전에 기존 사용자로 남는 데에는 분명 가치가 있음
      현실 세계에서는 정말 싫음. Home Depot은 Flock 카메라와 광범위한 얼굴 인식을 붙였고, 식료품점은 회전문을 설치했는데, 그 뒤로 둘 다 발을 들이지 않았음. 현실 소매 경제에서 계속 빠져나오는 중임
    • 영국이 VPN을 금지한다는 건 누가 말했나
      진짜 질문임. 영국에 있는데 처음 듣는 소식임

  • VW가 서드파티의 서버 접근을 막는 것도 문제지만, 더 충격적인 건 충전 데이터를 얻으려면 VW 서버에 접근해야 한다는 점임
    이런 데이터는 차량에서 로컬로 바로 제공되어야 함

    • 이력 데이터는 차량이 아니라 어떤 “클라우드”에 집계되어 있지만, 적어도 지금은 로컬에서 데이터를 수집하고 집계할 수 있음
      Car Scanner Pro와 ABRP(A Better Route Planner)는 바로 이 용도로 전기차 사용자에게 매우 인기 있고, 둘 다 VW 전기차를 지원함
      표준 OBD와 제조사 독자 진단 ID를 OBD 포트로 읽어서 배터리 충전 상태, 전압, 온도, 속도, 소비량 같은 운행 상태를 가져오고, VW가 서버 쪽에서 하는 집계와 계산을 다시 수행함

  • Google Play는 모바일 생태계의 혁신과 보안에 큰 부담이었음
    오히려 AI가 모바일 앱 생태계를 죽여서, 모든 휴대폰 제조사가 자기 기기에 “분위기 코딩으로 앱 직접 만들기” 시스템을 번들하고 Google Play 독점이 깨지는 시기를 기대하고 있음

    • 그렇게 될 것 같지는 않음. 매일 Linux를 쓰는 사람들처럼 소수 사용자에게는 가능하겠고, 그런 흐름은 확실히 지지함
      모두가 자기 식사, 즉 분위기 코딩 앱을 만들고 가끔만 외식, 즉 공식 앱 스토어를 쓰는 상태가 될 수도 있음
      스프레드시트도 비슷함. 꽤 많은 일을 할 수 있지만, 대부분은 여전히 폐쇄형 소프트웨어를 사서 씀
      이 글이 떠오름: https://www.robinsloan.com/notes/home-cooked-app/
    • 앞으로는 스타트업이 특정 기능을 Google과 Apple 플랫폼으로 제공하는 것보다 자체 모바일 기기를 만드는 편이 더 쉬워질 수 있음
      그 플랫폼에서는 내 데이터가 나에게 불리하게 쓰이고, 기기가 24시간 녹음할 수 있는데도 프라이버시를 보장할 실질적 구제책이 없음
    • 15년 전 모두가 모바일 생태계를 찬양하던 때로 되감아보자
      아무도 이런 일이 생길 줄 몰랐던 건가, 아니면 Facebook의 포옹과 찌르기에 너무 쉽게 속았던 건가

  • 이게 구매 포기 사유라면 KIA도 피해야 함
    KIA Connect 앱도 NSHC DxShield 사용 때문에 GrapheneOS에서 작동하지 않음
    [1] https://en.nshc.net/

  • VW가 사라져도 아쉽지 않음
    차는 원래 바퀴 달린 컴퓨터가 아니었음
    나는 2025년형 Suzuki를 샀는데, 수동 변속기이고 펌웨어 업데이트도 없고 인터넷 연결도 없음. GrapheneOS Android Auto는 폰이 차에 연결될 때만 쓸 수 있음
    2026년에도 기업들이 이렇게 나쁜 실수를 한다는 게 이상함

  • Volkswagen 지원에 연락할 때 운영체제를 그냥 “GrapheneOS”라고만 쓰지 않는 편이 좋음
    Android, “Android (GrapheneOS)”, 또는 “GrapheneOS Android” 중 하나로 표현하는 걸 강하게 권함
    “GrapheneOS”만 쓰면 VW가 그 운영체제는 지원하지 않는다고 답하기 딱 좋음

  • 이런 앱에는 API 공개와 사용자가 그 API 기반으로 자체 프런트엔드를 만들 수 있게 하는 법이 필요함
    그러면 프라이버시를 더 중시하는 버전의 앱도 가능해짐

    • 앱 사용 권한에 돈을 낸다면 그런 법은 타당함
      무료 앱에까지 그런 법이 생길 것 같지는 않음. 클라이언트 경험을 통제하는 것이 무료 제공을 가능하게 하는 핵심이기 때문임
      무료 앱에 유료 등급이 없는 경우가 많은 이유도, 돈을 낼 사람들 자체가 덜 매력적인 사용자층을 보조해서 전체 수익성을 맞추는 데 필요한 핵심 집단인 경우가 많기 때문임
      이런 구조가 바람직하다는 뜻은 아니지만, 서버가 끼는 순간 그 엔드포인트를 유지하는 경제성을 무시할 수 없음
      이상적으로는 연합형 구조가 되어 차나 기기를 사용자가 운영하는 엔드포인트로 지정할 수 있어야 하지만, 그것도 비용이 듦. 클라이언트와 서버를 같은 주체가 통제하는 소프트웨어를 유지하는 것이 그렇지 않은 경우보다 훨씬 쉬움
    • https://www.stopkillinggames.com/en
    • 1975년의 https://en.wikipedia.org/wiki/Magnuson%E2%80%93Moss_Warranty...는 생각보다 원하는 내용에 더 가까운 요소가 있음
      그리고 이 법은 인포테인먼트 시스템, 즉 라디오를 두고 작성된 것임
답변달기