Hacker News 2026.04.29 57

내 폰이 더 이상 내 것이 아니게 된다고? 안드로이드 개방성 논쟁

갑자기 무슨 이야기인가요

'Keep Android Open' 이라는 캠페인이 등장했어요. 이름부터 직관적이죠. 안드로이드를 계속 열려 있게 두자는 외침이에요. 배경을 짧게 짚으면, 구글이 최근 몇 년 사이 안드로이드에 점점 강한 제약을 추가하고 있어요. 출처를 알 수 없는 앱(흔히 '사이드로딩' 이라고 부르는, 플레이스토어 밖에서 받은 앱)에 대한 경고를 강화하고, 일정 시점부터는 미등록 개발자가 만든 앱은 일반 사용자에게 설치 자체가 막힐 수 있다는 정책 변화가 예고되고 있거든요.

사이드로딩이 뭐냐면, 우리가 평소에 플레이스토어에서 앱을 받지 않고 APK 파일을 직접 다운받아 설치하는 방식이에요. F-Droid에서 오픈소스 앱을 받거나, 베타 빌드를 직접 설치하거나, 회사 내부용 앱을 사내 배포할 때 늘 쓰던 방법이죠. 이게 막히거나 사실상 어려워지면 우리가 흔히 알던 '안드로이드의 자유로움' 이 크게 흔들려요.

무엇이 달라지는가

구글이 내세우는 명분은 분명해요. 악성 앱과 사기 피해를 줄이겠다는 거예요. 실제로 사이드로딩으로 깔리는 앱 중에 보이스피싱과 연동되는 악성 APK 비율이 굉장히 높아요. 그래서 구글은 "이제는 모든 앱 개발자가 신원 등록을 해야 하고, 등록되지 않은 개발자의 앱은 일반 기기에서 설치를 거부한다" 는 방향으로 가고 있어요. 이건 단순히 플레이스토어의 정책이 아니라, 안드로이드 OS 레벨의 패키지 인스톨러가 신원 미확인 앱을 거부하는 형태로 구현될 수 있다는 점이 포인트예요.

캠페인 측이 우려하는 건 이 변화의 부수 효과 예요. 첫째, 취미로 앱을 만드는 학생이나 개인 개발자가 정부 ID와 결제 정보를 등록해야만 자기가 만든 앱을 친구에게 보낼 수 있게 돼요. 둘째, F-Droid 같은 대안 스토어와 거기에 올라간 수많은 오픈소스 프로젝트가 사실상 회색지대로 밀려나요. 셋째, 권위주의 정부가 있는 국가에서는 "등록되지 않은 개발자" 라는 카테고리 자체가 검열 도구로 악용될 위험이 있어요. 보안을 잡으려다 표현의 자유와 개발자의 자유를 잃을 수 있다는 거죠.

기술적으로는 어떻게 동작하나요

현재 안드로이드는 앱을 설치할 때 APK에 포함된 서명을 검증해요. 같은 패키지명이라도 서명이 다르면 업데이트가 막히는 구조죠. 새 정책에서는 여기에 더해, 서명 키가 구글이 운영하는 신원 디렉터리에 등록된 개발자의 키인지 까지 확인하는 추가 검증층이 들어오는 형태로 알려져 있어요. 즉, 개발자 키 → 구글 등록 → 사용자 기기 설치, 이렇게 신뢰 사슬이 한 단계 더 길어지는 셈이에요. 검증되지 않은 키로 서명된 앱은 "이 앱은 알 수 없는 개발자가 만들었습니다" 단계를 넘어, 아예 설치가 차단되는 흐름으로 변할 가능성이 높아요.

업계 맥락

이런 흐름은 사실 애플 iOS가 오랫동안 가져온 모델과 닮아 있어요. iOS는 개발자 인증서 없이는 일반 사용자가 앱을 받을 수 없죠. 반대로 EU의 디지털시장법(DMA)은 애플에게 사이드로딩을 강제로 열게 만들었고, 그 영향으로 AltStore 같은 대안 스토어가 등장했어요. 그러니까 세계는 한쪽에선 닫히던 게 열리고, 다른 한쪽에선 열려 있던 게 닫히는 묘한 상황이에요. GrapheneOS, /e/OS, LineageOS 같은 커스텀 ROM 진영이 이번 변화에 가장 민감하게 반응하는 이유도 여기에 있어요.

한국 개발자에게 주는 시사점

국내에서도 영향이 작지 않아요. 사내 직원용으로 배포하는 MDM 앱, 베타 테스트용 APK, 박람회나 키오스크에 들어가는 커스텀 앱 — 이런 것들이 모두 "등록되지 않은 개발자" 의 앱으로 분류될 가능성이 있어요. 회사 차원에서 미리 개발자 등록 절차를 점검하고, 앱 서명 키 관리 정책과 등록 메타데이터 를 어떻게 운영할지 정해두는 게 안전해요. 또 오픈소스 프로젝트를 운영하시는 분이라면 F-Droid 외 배포 채널, 그리고 사용자에게 안내할 설치 가이드를 미리 준비해 두면 좋아요.