Google이 Android 앱 보안 강화를 위해 개발자 본인 확인 제도를 전 세계에 순차 적용한다

Context

Android 플랫폼은 sideloading을 통해 다양한 출처에서 앱을 설치할 수 있으나, 분석 결과 Google Play 대비 90배 이상의 악성코드가 sideloaded 출처에서 발견되었다. 이러한 문제를 해결하기 위해 개발자의 신원 확인 없이 앱을 배포하는 것이 허용되던 기존 구조를 변경한다.

Technical Solution

• Google Play 개발자 → Play Console 신원 확인 완료 시 자동 등록 처리한다
• Play 외부 배포 개발자 → Android Developer Console에서 계정 생성 후 앱을 등록한다
• 학생 및 취미 개발자 → 이메일만으로 20대 기기까지 배포 가능한 무료 제한 계정을 생성한다
• Android Studio → 서명된 App Bundle이나 APK 생성 시 등록 상태를 IDE 내에서 확인 가능하다
• 미등록 앱 설치 시 → ADB 또는 advanced flow를 통해 수동 설치를 허용한다

Impact

Google Play 대비 sideloaded 출처에서 악성코드 발견 비율이 90배 이상 높게 측정되었다

Key Takeaway

Android 플랫폼은 열린 생태계와 보안이라는 두 목표를 동시에 추구하며, 대부분의 일반 사용자 환경은 변경되지 않으면서 악성 배포자를 식별할 수 있는 메커니즘을 도입한다