TECH 으로 돌아가기
TECH HACKER NEWS 오늘 6분 읽기 31 READS

구글이 만든 '악성코드'라고요? F-Droid가 안드로이드 개발자 검증에 던진 정면 비판

구글이 만든 '악성코드'라고요? F-Droid가 안드로이드 개발자 검증에 던진 정면 비판

오픈소스 앱스토어가 구글을 정면으로 겨눴어요

F-Droid라는 곳이 있어요. 구글 플레이스토어와 달리 오픈소스 앱만 모아서 배포하는 비영리 대안 앱스토어인데요. 광고나 추적기가 심어진 앱을 걸러내고, 앱을 소스코드부터 직접 빌드해서 배포하는 깐깐함으로 유명한 곳이에요. 그런 F-Droid가 '구글이 만든 새로운 안드로이드 악성코드'라는 제목의 글을 올렸어요. 진짜 바이러스를 발견했다는 얘기가 아니라, 구글이 안드로이드에 심고 있는 '개발자 검증(Developer Verification)' 강제 시스템을 악성코드에 빗대 비판한 거거든요. 표현이 세긴 하지만, 그 뒤에 깔린 논리를 따라가 보면 그냥 웃어넘기기 어려운 이야기예요.

개발자 검증이 뭐길래 이 난리일까요

배경부터 볼게요. 구글은 앞으로 안드로이드에서 '검증된 개발자'가 만든 앱만 설치할 수 있게 하겠다고 발표했어요. 중요한 건 이게 플레이스토어에만 적용되는 게 아니라는 점이에요. 사이드로딩, 그러니까 스토어를 거치지 않고 APK 파일을 직접 내려받아 설치하는 것까지 포함해서, 인증받지 않은 개발자의 앱은 일반적인 안드로이드 기기에 아예 설치가 막히는 구조거든요. 검증을 받으려면 개발자가 구글에 신분증 같은 실명 정보를 제출하고, 수수료를 내고, 자기가 배포할 앱의 패키지명(앱의 고유 식별자)을 등록해야 해요. 일부 국가를 시작으로 순차적으로 전 세계에 확대 적용될 예정이고요.

왜 '악성코드'라는 단어까지 나왔냐면

F-Droid의 논리는 이래요. 악성코드의 고전적인 정의는 '기기 소유자의 이익에 반해서, 소유자의 통제를 벗어나 동작하는 소프트웨어'예요. 그런데 이 검증 강제 시스템은 사용자가 끄거나 제거할 수 없고, 내 기기에 무엇을 설치할지에 대한 최종 결정권을 사용자가 아니라 구글이 갖게 만들고, 앱 설치라는 지극히 개인적인 행위를 구글 서버의 허락에 의존하게 만들거든요. 그래서 '정의상 악성코드와 뭐가 다르냐'는 게 F-Droid의 도발적인 문제 제기예요.

F-Droid 입장에서 이건 철학 논쟁이 아니라 생존 문제이기도 해요. F-Droid 생태계의 앱 상당수는 익명이나 가명으로 활동하는 자원봉사 개발자들이 만들거든요. 검열이 심한 나라에서 프라이버시 보호 앱을 만드는 개발자에게 '구글에 신분증을 내라'는 요구는 사실상 개발을 그만두라는 말과 같아요. 게다가 F-Droid는 앱을 자체적으로 빌드해서 자기 키로 서명하는 구조라, 개발자 개인에게 검증 책임을 지우는 이 체계와 근본적으로 맞지 않는 부분도 있고요.

구글의 명분, 그리고 업계의 큰 그림

물론 구글에게도 명분은 있어요. 금융 사기 앱이나 스미싱 악성코드 상당수가 스토어 밖 사이드로딩 경로로 유입되는 게 사실이고, 개발자 신원을 확인해두면 문제가 생겼을 때 책임을 물을 수 있다는 거죠. 실제로 보안 사고의 상당 부분이 출처 불명 APK에서 시작되는 것도 맞아요. 문제는 그 대가로 안드로이드의 정체성이었던 '개방성'이 사라진다는 거예요. 타이밍도 아이러니한데요, 유럽에서는 디지털시장법(DMA)으로 애플에게 앱 유통을 개방하라고 압박하는 와중에, 안드로이드는 거꾸로 문을 닫는 방향으로 가고 있거든요. 그래서 이런 발표가 나올 때마다 GrapheneOS 같은 탈구글 안드로이드 운영체제에 대한 관심도 함께 커지고 있어요.

한국 개발자에게 주는 시사점

남 얘기가 아니에요. 회사에서 내부 테스트용 APK를 배포하거나, 취미로 만든 앱을 지인에게 나눠주거나, 원스토어 같은 대안 스토어에 앱을 올리는 것까지 전부 이 검증 체계의 영향권에 들어가거든요. 개인 개발자라면 '내가 만든 앱을 내 폰에 설치하는 데도 등록이 필요한가?'라는 질문이 현실이 될 수 있어요. 구글이 학생이나 취미 개발자를 위한 별도 트랙을 언급하긴 했지만, 설치 가능 대수를 제한하는 식의 조건이 붙는 방향이라 완전한 해법이라고 보긴 어렵고요. 안드로이드 앱을 만들거나 배포하는 분이라면 지금부터 검증 정책의 세부 조건과 적용 일정을 챙겨보시는 게 좋아요.

마무리

한 줄로 정리하면, '보안'이라는 명분과 '내 기기에 대한 통제권'이라는 가치가 정면으로 충돌한 사건이에요. 여러분은 어떻게 생각하세요? 플랫폼이 사용자를 보호한다는 이유로 설치의 자유를 제한하는 것, 어디까지가 적정선일까요?


🔗 출처: Hacker News

SOURCE · HACKER NEWS
원문 전체 보기 → https://f-droid.org/2026/07/01/adv-malware.html
SHARE
처리 중...