Google gives Android users a way to install unverified apps if they prove they really, really want to

Context

2024년 8월 Google은 Android 기기에서 설치되는 모든 앱을 검증된 개발자 계정과 연결하도록 요구했으며, 이는 $25 수수료와 신원 문서 제출을 포함했다. 이 정책에 대해 권력 사용자들과 37개의 시민단체, 비영리기관, 기술 회사들이 강하게 반발했다.

Technical Solution

• 미검증 개발자로부터 앱 설치 허용: 개발자 모드 활성화 → 강압 상황 확인 → 휴대폰 재부팅 → 재인증 → 1일 대기의 4단계 프로세스
• 생체인증 추가 인증: 지문 또는 얼굴 인식 또는 기기 PIN으로 변경 확인
• 설치 권한 제한 옵션: 사용자가 7일 또는 무기한 중 선택 가능
• 제한된 배포 계정 제공: 학생 및 취미 개발자가 검증 없이 20명 이하의 소그룹에 앱 배포 가능
• 정책 시행 전 준비 기간: August 2026 이전에 양쪽 옵션 모두 제공

Key Takeaway

보안 요구사항과 사용자 자율성 간의 충돌에서 마찰(friction)을 의도적으로 설계하면 사기 시도자들의 사회공학적 압박을 완화할 수 있다는 설계 원칙을 보여준다.