피드로 돌아가기
Proposal on Play Store security measures (alternative to Google's mandatory "developer verification")
Dev.toDev.to
Security

신원 확인 중심 보안에서 Manifest 기반 기술 검증 체계로의 전환 제안

Proposal on Play Store security measures (alternative to Google's mandatory "developer verification")

Indigotime2026년 5월 10일7intermediate

AI 요약

Context

Google Play Store의 개발자 신원 확인 중심 보안 정책이 실제 악성 앱의 데이터 탈취 및 MITM 공격 방어에 한계점을 가짐. 앱 내 하드코딩된 인증서와 서비스 주소를 검증할 수 없는 구조로 인한 보안 공백 발생.

Technical Solution

  • App Manifest 내 Public Key 및 Certificate 강제 선언 필드 도입을 통한 신뢰 체계 구축
  • 하드코딩된 Web Service Address의 명시적 선언을 통한 Google Safe Browsing 연동 검증
  • 추상적인 Internet Permission을 세분화하여 선언된 주소 기반의 선택적 권한 부여 구조 설계
  • Android OS 레벨의 Manifest 필드 확장을 통한 설치 경로와 무관한 보안 메커니즘 일원화
  • 신원 확인이라는 행정적 절차를 기술적 명세 검증으로 대체하여 실제 데이터 패킷의 무결성 확보

실천 포인트

1. 앱 내 하드코딩된 외부 통신 엔드포인트 리스트를 관리하고 있는지 검토

2. Certificate Pinning 적용 시 사용된 인증서의 유효 기간과 갱신 전략 수립

3. 과도한 범위의 네트워크 권한 부여 대신 목적지 기반의 화이트리스트 운영 고려

4. 신원 기반 인증 시스템 외에 데이터 전송 계층의 무결성을 검증할 기술적 장치 마련

태그

#MITM#Public Key Infrastructure#App Manifest#Attack Surface#Certificate Pinning
원문 읽기