Android 개발자 검증: 보호로 위장한 위협
1 day ago
3
- F-Droid는 Android Developer Verification(ADV) 이 Android 8 이상 기기에 이미 배포됐고, Google이 승인하지 않은 개발자의 앱 실행을 막는 중앙 통제 장치가 될 수 있다고 비판함
- Google은 악성코드 확산 억제를 명분으로 내세우지만, F-Droid는 ADV가 초기 배포 차단보다 재범 개발자의 재등록 비용을 높이는 데 그친다고 봄
- 개발자 등록에는 계정 생성, 수수료, 개인정보와 정부 발급 신분증 제출, 앱 식별자와 서명 키 등록, Android Developer Console 약관 동의가 요구됨
- 약관에 악성코드의 명확한 정의가 없으면 Google이 사업적 이유나 정부 압력에 따라 차단 대상을 넓힐 수 있다는 우려가 핵심임
- 2026년 9월 30일 Brazil, Indonesia, Singapore, Thailand부터 적용되며, F-Droid 앱과 설치 앱, 앱 데이터, Google 검증 텔레메트리의 실제 영향은 아직 불확실함
F-Droid가 ADV를 악성코드에 비유한 이유
- F-Droid는 Android 8 이상 기기에 Android Developer Verifier(ADV) 가 설치되어 있고, 원격 활성화를 기다리는 상태라고 봄
- ADV는 최대 40억 대의 Android 휴대폰과 태블릿에 이미 배포됐으며, 전 세계 인구의 약 절반이 영향을 받을 수 있다는 추정이 제시됨
- 이 시스템 서비스는 백그라운드에서 실행되며, F-Droid는 이를 차단·비활성화·제거할 수 없다고 밝힘
- Play Protect는 Android Certified 기기에서 일반 악성코드를 탐지·대응하는 서비스지만, F-Droid는 ADV가 Play Protect를 통해 전파·설치된다고 비판함
- 활성화 이후 ADV의 목표는 Google이 중앙 승인하지 않은 개발자의 소프트웨어 실행을 막는 것이라고 봄
악성코드 방지 명분에 대한 반박
- F-Droid는 2025년 9월 F-Droid and Google’s Developer Registration Decree에서 Android Developer Verification 우려를 처음 제기함
- Google의 중앙 개발자 등록 요구는 악성코드 확산 방지책으로 포장되지만, F-Droid는 이 제도가 악성 행위자의 초기 배포를 막지 못한다고 봄
- 실제 효과는 이미 식별된 반복 위반자가 새 서명 키로 악성코드 배포를 계속하려 할 때 새 계정을 만들거나 사야 하므로 행동을 늦추는 정도에 가까움
- 더 덜 강압적인 대안도 가능하다고 제시함
- F-Droid는 Google이 좁은 위협 벡터를 이유로 Android 생태계를 재설계하고, 어떤 앱이 존재할 수 있는지 정하는 단일 게이트키퍼가 되려 한다고 비판함
개발자 등록 절차와 약관 리스크
- F-Droid의 권고와 달리 개발자가 Google에 “verified” 개발자로 등록하면 다음 절차를 거쳐야 함
- 계정 생성과 수수료 납부
- 상세 개인정보 제출
- 정부 발급 신분증 업로드
- 현재와 미래에 배포할 앱의 식별자와 서명 키 등록
- 가장 큰 쟁점은 Android Developer Console Terms of Service에 강제로 동의해야 한다는 점임
- 약관 6.5는 개발자가 약관을 위반하거나 악성코드 또는 harmful application을 배포하면 Google이 ADC 접근을 종료할 수 있다고 적고 있음
- F-Droid는 이 문서 어디에도 “malware”의 공식 정의, 기준, 지침이 없다고 지적함
- 정의가 비어 있으면 “malware”는 Google이 그렇게 부르는 소프트웨어가 되고, 사업적 동기나 강력한 정부 압력에 따라 범위가 달라질 수 있음
ad blocker 사례가 보여주는 차단 범위 문제
- F-Droid는 논쟁의 용어를 이해관계가 다른 쪽이 정의하게 두면 위험하다고 경고함
- 대표 사례로 개인 콘텐츠 필터링 도구인 ad blocker를 듦
- F-Droid는 Google이 모든 ad-blocking 소프트웨어를 malware로 지정하고, 전 세계 Android Certified 기기에서 설치를 막으며, 해당 개발자를 malware 제작자로 분류할 수 있다고 우려함
- 이런 가능성은 Google의 광고 기술 사업 동기와 Android Developer Console 약관 문구에 부합한다고 봄
수용률 주장과 반대 움직임
- Google은 최근 Play 개발자 앱의 99% 이상이 등록됐다고 밝혔지만, F-Droid는 이를 ADV가 널리 수용됐다는 근거로 볼 수 없다고 반박함
- F-Droid에 따르면 해당 개발자들은 기존 Play Store 계약에 묶여 있었기 때문에 충분한 사전 동의 없이 자동으로 포함됨
- ADV 반대 움직임도 이어지고 있음
- F-Droid는 입법자와 규제기관이 지금까지 반발에 호응하지 않았다고 말함
- F-Droid의 오픈소스 투명성 기반 보안 모델은 폐쇄형 상업 앱스토어의 신뢰 모델과 근본적으로 충돌한다고 봄
9월 30일 적용 전 남은 불확실성
- ADV 활성화가 2026년 9월 30일 어떤 실패 모드로 나타날지는 아직 정확히 알 수 없음
- Google의 공개 일정에 따르면 첫 적용 대상은 Brazil, Indonesia, Singapore, Thailand임
- 이 4개국에는 5억 8천만 명이 거주한다고 제시됨
- 전 세계 롤아웃은 “2027년 이후”로 예정되어 있음
- 적용 지역 사용자에게는 아직 답이 필요한 질문이 남아 있음
- F-Droid 앱을 설치하거나 실행하려 할 때 어떤 일이 발생하는지 알 수 없음
- F-Droid를 통해 설치한 앱들이 비활성화되거나 삭제되는지 불확실함
- 의존하던 앱이 갑자기 사라질 경우 그 안의 데이터를 계속 가져올 수 있는지 알 수 없음
- 모든 소프트웨어 설치와 실행이 Google 검증을 위해 보고될 때 어떤 텔레메트리 정보가 포함되는지 알 수 없음
- F-Droid는 관련 문의를 보냈으며, 잠금 적용 전 몇 주와 몇 달 동안 영향을 받을 사용자에게 추가 안내와 지원을 제공하겠다고 밝힘
-
Homepage
-
개발자
- Android 개발자 검증: 보호로 위장한 위협