구글, 안드로이드 미인증 앱 설치에 24시간 대기 의무화...2026년 8월 시행

[한국정보기술신문] 구글이 안드로이드 기기에서 미인증 개발자의 앱을 설치할 때 24시간 강제 대기를 포함한 복잡한 절차를 적용하는 '어드밴스드 플로우(Advanced Flow)'를 공개했다. 이 기능은 2026년 8월부터 구글 플레이 서비스 업데이트를 통해 순차적으로 적용된다. 시스템 업데이트 없이도 기존 기기에 적용 가능하다.

이번 조치는 구글이 같은 해 9월부터 시행 예정인 개발자 신원 인증 제도를 앞두고 마련한 파워유저용 우회 경로다. 9월부터 안드로이드 기기는 구글이 인증한 개발자의 앱만 설치할 수 있게 되며, 구글 플레이 외부에서 앱을 배포하는 개발자는 신분증 제출, 서명 키 업로드, 25달러 등록비 납부를 해야 한다. 이 요건을 충족하지 못한 미인증 개발자의 앱은 기본적으로 설치가 차단된다.

어드밴스드 플로우는 미인증 개발자의 앱을 설치하려는 파워유저를 위해 설계된 절차로, 빠르게 넘길 수 없도록 의도적으로 여러 단계를 요구한다. 설치를 원하는 사용자는 먼저 설정 화면에서 '소프트웨어 빌드 번호'를 일곱 번 연속으로 탭해 개발자 모드를 활성화해야 한다. 이후 개발자 옵션 메뉴에서 '미인증 패키지 허용' 항목을 켜고, 누군가의 강요로 보안 설정을 해제하는 것이 아님을 확인해야 한다. 그 다음에는 기기를 재시작해야 하는데, 이 단계는 사기꾼이 유지할 수 있는 원격 접근을 끊기 위한 조치다. 재시작 후에는 24시간을 기다려야 하며, 대기 시간이 끝난 뒤 생체 인증 또는 핀 번호로 재인증을 거쳐야 비로소 앱을 설치할 수 있다.

구글 안드로이드 에코시스템 사장 사미르 사마트는 "24시간 대기 시간 동안 공격자가 공격을 지속하기 훨씬 어려워진다"며 "그 시간 동안 가족이 정말 구금된 것인지, 은행 계좌가 실제로 위협받고 있는지 확인할 수 있을 것"이라고 말했다. 이는 사기꾼들이 급박한 상황을 연출해 피해자를 압박하는 방식을 겨냥한 설계다.

구글은 "사기꾼들은 피해자가 생각하거나 도움을 구할 틈 없이 전화를 유지하며 보안 경고를 무시하고 보안 설정을 끄도록 유도한다"고 밝히며, 이번 조치가 그러한 압박 전술을 차단하기 위한 것이라고 설명했다.

이 복잡한 과정은 최초 1회만 거치면 된다. '무기한 허용'을 선택하면 이후 개발자 옵션을 다시 꺼도 설정이 유지되며, 그 이후로는 동일 절차 없이 미인증 앱을 설치할 수 있다. 허용 기간은 7일 또는 무기한 중 선택 가능하며, 7일 허용 기간 내에는 여러 미인증 개발자의 다양한 앱을 자유롭게 설치할 수 있다. 단, 매 설치 시마다 미인증 앱임을 알리는 경고창은 계속 표시된다.

안드로이드 디버그 브리지(ADB)를 통한 설치에는 이번 절차가 적용되지 않는다.

구글은 아울러 학생과 취미 개발자를 위한 무료 '제한 배포 계정'도 제공할 예정이다. 이 계정은 정부 발급 신분증이나 등록비 없이 최대 20개 기기에 앱을 배포할 수 있다. 제한 배포 계정과 어드밴스드 플로우는 공식 인증 요건이 발효되는 9월에 앞서 8월부터 이용 가능해진다.

개발자 인증 의무화 방침에는 F-Droid, 브레이브, 전자프런티어재단(EFF), 프로톤, 토르 프로젝트, 비발디 등 50개 이상의 앱 개발사와 마켓플레이스가 반대 입장을 표명했다. 이들은 해당 조치가 진입 장벽과 마찰을 만들고, 개발자 개인정보 수집 방식과 정부 요청에 따른 정보 제공 가능성에 관해 프라이버시 및 감시 우려를 제기하고 있다.

사마트 사장은 이에 대해 "전 세계 수많은 사람에게 스마트폰은 유일한 컴퓨터이며, 가장 사적인 정보가 담겨 있다"며 "플랫폼이 안전하지 않으면 사람들이 사용하지 않게 되고, 그것은 개발자를 포함한 모두에게 손해"라고 강조했다.

이번 정책 변화는 안드로이드의 개방성을 둘러싼 구글과 개발자 생태계 간 갈등이 지속되는 가운데 나온 것으로, 9월 본격 시행까지 논의가 이어질 것으로 보인다.