구글, 안드로이드 ‘개발자 인증’ 9월 30일 본격화…사설 앱스토어도 포함

구글이 안드로이드에서 앱 유통을 통제하는 ‘개발자 인증(Developer verification)’ 시스템의 시행 일정과 참여 앱스토어를 확정했다. Ars Technica에 따르면, 구글은 올해 9월 30일부터 브라질·인도네시아·싱가포르·태국 등 앱 사기(악성 앱 유도) 피해가 큰 국가부터 인증을 단계적으로 적용할 예정이다. 구글은 이 과정이 악성코드 유포를 줄이기 위한 필수 조치라고 설명하는 한편, 개발자들에게는 추가 절차 부담이 생길 수 있다는 지적도 나온다.

9월 30일 시작: 인증 없는 사이드로딩 차단

구글은 개발자 인증 시스템을 통해 플레이 스토어 밖에서 앱을 설치(사이드로딩)하려는 과정에 개발자 신원 확인 절차를 도입한다. 구글의 방침은 플레이 스토어에서 앱을 배포하는 개발자처럼, 외부 경로로 배포하는 개발자도 신원을 검증받아야 한다는 형태다.

Ars Technica가 인용한 구글 공식 설명에 따르면, 인증은 9월 30일부터 일부 국가에서 먼저 적용되며, 이 시점 이후에는 인증을 받지 않은 개발자가 배포한 앱은 구글 인증(Goole-certified) 안드로이드 기기에서 설치가 차단될 수 있다. 구글은 지난해 개발자 인증을 예고하며 “안드로이드가 애플과 달리 더 개방적”이라는 초기 약속을 스스로 재정의하는 흐름을 만들고 있다.

구글은 개발자 인증이 필요한 이유로 안드로이드 사용자들이 악성 앱에 속는 사례가 늘었다는 점을 들고 있다. 특히, 사용자에게는 정상 앱처럼 보이지만 실제로는 악성코드를 설치하도록 유도하는 사기성 앱이 늘면서, 유통 과정에서 신원 검증이 필요하다는 논리다.

사설 앱스토어도 ‘신뢰된 경로’로 합류

이번 업데이트에서 주목할 대목은 개발자 인증이 단지 구글 플레이스토어 바깥에만 추가 규제를 더하는 데 그치지 않고, 신뢰할 수 있는 제3자 앱스토어에도 확장된다는 점이다. Ars Technica에 따르면, 구글은 인증을 특정 외부 스토어에서 완료한 개발자는 구글 측에서도 동일하게 인증된 것으로 인정하는 방식으로 운영할 계획이다.

구글이 인증이 적용될 파트너로 언급한 스토어는 다음과 같다. Honor( HONOR App Market), OPPO(OPlus), Samsung(Galaxy Store), Transsion(Palm Store), vivo(V-Appstore), Xiaomi(GetApps) 등이다. 이는 개발자 입장에서 여러 유통 경로를 동시에 관리해야 하는 부담을 줄이려는 설계로 해석된다.

다만, 앱스토어 참여 여부와 각 스토어의 운영 방식이 개발자의 실제 경험을 좌우할 수 있어, 개발자들은 지역별·스토어별로 언제부터 어떤 수준의 차단과 인증 요구가 적용되는지 면밀히 확인해야 한다는 관측이 나온다.

이번 달부터 ‘차단용 시스템 서비스’ 배포…지역에 따라 대기

구글은 본격적인 의무 적용 전 단계로, 이번 달부터 대부분의 구글 인증 안드로이드 기기에 새로운 시스템 서비스를 배포한다. Ars Technica에 따르면, 해당 서비스는 com.google.android.verifier 패키지 형태로 등장하며, 안드로이드 8 이상에서 확인된다. 이 서비스는 사용자가 속한 지역에서 인증이 활성화되기 전까지는 “대기(dormant)” 상태로 동작한다고 설명됐다.

또한 구글은 7월에 개발자 등록을 돕는 관련 API를 공개하고, 소규모 테스트를 위한 ‘limited distribution(제한된 배포)’ 계정도 운영에 들어갈 계획이다. Ars Technica 보도 기준으로 이 계정은 취미 개발자(hobbyists)가 소수에게 앱을 배포할 수 있게 하는 제도로, 정부 ID나 수수료 검증을 요구하지 않되 설치 가능한 기기 수를 최대 20대로 제한한다.

등록 부담 낮추는 API·‘advanced flow’ 준비

개발자 인증은 궁극적으로 개발자의 신원 확인을 통해 악성 앱 유포를 줄이는 목적이지만, 그 과정에서 개발자에게 발생하는 행정·기술적 부담이 논쟁 지점이 될 수 있다. 구글은 이를 완화하기 위한 장치도 함께 내놓고 있다. Ars Technica에 따르면, 구글은 Android Developer ID Status API를 통해 패키지 이름이 이미 등록돼 있는지 확인할 수 있게 하고, Android Developer Console API를 통해 개발 환경 밖에서 매번 수동으로 처리해야 하는 작업을 줄이는 방향을 예고했다.

더불어, 구글이 이미 공개했던 ‘advanced flow(고급 흐름)’ 기능이 8월에 전 세계로 확대될 예정이며, 인증 의무 적용이 시작되기 전에 사용자가 우회·대체 경로를 통해 진행할 수 있도록 구성된다는 내용이 포함돼 있다. 보도에서 세부 구현이 완전히 이어지지는 않았지만, 구글은 사용자 설치 경험을 지나치게 단절하지 않으려는 신호로 읽힌다.

사용자·개발자 모두 ‘지역별 일정’ 확인이 관건

개발자 인증이 본격화되면, 악성 앱을 통한 피해는 줄어들 가능성이 있지만 동시에 외부 배포 방식(사이드로딩) 자체가 사실상 제한될 수 있다. 특히 구글 인증 기기에서 설치가 막힐 수 있다는 점은 사용자뿐 아니라, 개발자 커뮤니티·테스트 환경을 운용하는 팀에도 영향을 줄 수 있다.

구글은 단계적 배포를 통해 충격을 관리하겠다는 입장이지만, 실질적인 변화는 국가·기기·앱 스토어 조합에 따라 달라질 수 있다. 따라서 개발자들은 인증이 언제 활성화되는지, 어떤 스토어 경로가 ‘신뢰된 경로’로 인정되는지, 그리고 자신이 배포하려는 방식이 의무 적용 대상에 포함되는지 점검해야 한다. 사용자 역시 정상 앱이라도 인증 상태에 따라 설치 가능 여부가 달라질 수 있다는 점을 염두에 둘 필요가 있다.