여러분 중 이런 상황을 겪어본 적이 있는지 모르겠습니다. 잠에서 깨어나면 휴대전화의 앱이 조용히 자동으로 업데이트됩니다. 아이콘도 바뀌었을 뿐 아니라, 가장 불편했던 점은 원래 순조롭게 진행되던 조작 로직과 페이지 레이아웃이 하루아침에 완전히 엉망이 됐다는 점이었습니다.
하지만 현재 Android 휴대폰을 사용하고 계시다면 축하합니다. 타사 APK 미러 사이트를 찾거나 친구에게 이전 버전의 설치 패키지를 보내달라고 요청한 후 수동으로 다시 설치할 수 있습니다. 기본적으로 앱을 자유롭게 "다운그레이드"할 수 있습니다.
그렇기 때문에 Android 시스템은 항상 사람들에게 "조금 번거롭기는 하지만 여전히 많은 것에 대한 최종 결정권은 사용자에게 있다"는 인상을 주었습니다.
이것이 바로 Google이 오랫동안 강조해 온 오픈 소스 정신과 자유입니다.
하지만 올해부터 안드로이드 사용자들의 좋은 시절이 끝날 수도 있습니다.
여기에 문제가 있습니다 -
항상 오픈 소스와 자유를 광고해 온 Google은 3월 19일에 조상의 계율을 위반하는 결정을 발표하고 Android 사이드로드 애플리케이션을 위한 "고급 설치 흐름"의 출시를 공식적으로 발표했습니다.
소위 "사이드로딩"이란 사용자가 공식 앱 스토어를 거치지 않고 제3자 소스에서 앱을 설치하는 것을 의미하는데, 이것이 우리가 처음에 언급한 상황입니다. 그리고 '보호'로 포장된 이런 디자인은 사용자의 몫이 되고, 실제로는 '제한'에 가까운 느낌이 듭니다.
독자들의 이해를 돕기 위해 토니는 당분간 국내 앱스토어를 예로 들어 설명하겠습니다.
Google의 새로운 규칙이 시행되기 전에는 비공식 스토어에서 애플리케이션을 설치하려는 대부분의 Android 휴대폰에서 "알 수 없는 소스 허용"을 클릭하면 정상적으로 설치할 수 있었습니다. 국내 버전의 Android 휴대폰에서는 추가 비밀번호를 입력해야 할 수도 있지만 기껏해야 그게 전부입니다.
이는 단지 면책조항인 기존 규칙과 동일합니다. 시스템은 위험 경고만 제공합니다. 설치할지 말지 결정하는 것은 사용자의 몫입니다. 그러나 이 새로운 고급 보호 메커니즘을 구현한 후 논리가 변경되었습니다.
시스템은 더 이상 단순히 "이 애플리케이션이 공식 앱 스토어에서 제공되었는지 여부"를 판단하는 것이 아니라 해당 애플리케이션 개발자가 Google에 등록 및 확인을 완료했는지 여부도 추가로 판단합니다.
그리고 이 "검증"은 상당히 번거롭습니다. 단순히 정보만 입력하는 것이 아닙니다. Google Play 외부에 앱을 게시하는 개발자는 신원 증명을 제공하고 등록비 25달러를 지불해야 합니다.
개발자가 검증을 완료하지 않았다고 가정하면 일반 사용자가 이 타사 APK를 설치하는 과정은 매우 번거로울 것입니다. 단계에는 다음이 포함되지만 이에 국한되지는 않습니다.
개발자 옵션을 열려면 시스템 버전 번호를 7번 연속 클릭하세요.
확인되지 않은 패키지 설치 허용
기기 잠금 해제 PIN 또는 비밀번호를 입력하세요.
기기 다시 시작
24시간 기다려
'일시적으로 허용'(7일) 또는 '영구적으로 허용'을 선택하세요.
위험 확인 상자를 확인하고 어쨌든 설치하십시오.
선교사들이 이것을 보고 어떻게 느꼈는지 모르겠습니다. 아무튼 내 첫 반응은 '휴대폰에 앱을 설치했는데 왜 레벨을 돌파하려는 것처럼 보일까...'였다.
그래서 이번에 구글이 한 일은 외부에서 떠도는 소문처럼 "안드로이드는 앞으로 더 이상 제3자 APK 설치를 허용하지 않을 것"이 아니었다. 대신 설치가 가능한 출입구를 아주 은밀하게 숨겼고, 계단도 엄청나게 길었습니다.
직설적으로 말하면, 이 트릭은 물리적 수준에서 사기를 사이드로딩하는 것을 차단하는 것입니다. 비록 이것이 여러분에게 혐오감을 주겠지만, Google은 이러한 방식으로 악성 소프트웨어 및 사기 소프트웨어의 피해를 줄이기를 희망합니다.
한편으로 강제 재시작은 사기꾼과 피해자 사이의 통화를 직접적으로 끊을 수 있습니다. 반면에 24시간 제한 기간은 설치 과정을 최대한 연장하여 피해자가 속았는지 여부를 판단할 수 있는 응답 시간을 제공합니다.
Google도 이 메커니즘을 시작하는 데 어려움을 겪고 있습니다.
최근 몇 년 동안 소프트웨어 보안 문제가 점점 더 두드러지고 있습니다. Android가 항상 자랑스러워했던 개방성은 점점 Google의 가장 큰 골칫거리가 되었습니다.
공식 데이터는 문제를 보여줍니다. 사용자는 Google Play에서보다 Google Play 외부에서 맬웨어를 다운로드할 가능성이 50배 더 높습니다.따라서 이 새로운 규정의 가장 직접적인 목표는 가짜 애플리케이션, 사기성 소프트웨어 및 악성 프로그램을 퇴치하는 것입니다.
그리고 시행 속도로 볼 때, 이 새로운 규정의 시행은 브라질, 싱가포르, 인도네시아, 태국과 같은 시장에서도 시작될 것입니다. 구글 측은 이들 분야에서 직면하는 사칭사기, 유인사기 문제가 더욱 두드러질 것이라는 설명이다.
동시에 Google은 전반적으로 모든 비공식 설치 경로를 차단하지 않았습니다. 개발 및 디버깅, 사내 배포, 아마추어에 의한 소규모 공유 등은 아직까지 공식적으로는 구멍이 남아있습니다~
예를 들어 명령줄을 통해 애플리케이션을 설치하는 ADB 워크플로는 명확하게 유지되었습니다. 조직 내 기업 장치 및 내부 애플리케이션 스토어는 새로운 규정의 영향을 받지 않습니다. 개별 개발자를 위해 Google은 정부 신분증 제출이 필요하지 않지만 최대 20개의 승인된 장치와만 공유할 수 있는 무료 "제한된 배포 계정"도 준비했습니다.
또한 Google은 적격한 타사 앱 스토어를 위해 보다 원활한 설치 채널을 확보하고 있습니다.
이는 Google이 이번에 정말로 강화하고 싶은 것이 모두 사이드로딩이 아니라,일반 사용자를 위한 오픈 사이드로딩,이 글을 보고 계실 확률이 높습니다...
즉, 안드로이드 사이드로딩에 대해 직접 사형을 선고하는 것이 아니라 '누가, 어떤 역량으로, 어떤 채널을 통해 앱을 퍼블리싱하는가'를 확고하게 쥐고 있다는 것이다.
그런데 문제는 바로 여기에 있습니다. 적어도 현재 여론의 반응으로 볼 때 구글이 '신원확인' 단계에 머물 것이라고 믿지 않는 사람이 많다.
결국 플랫폼이 "당신이 누구인지"를 완전히 파악하면 독립 개발자가 직면하게 될 책임 위험은 앞으로 점점 더 높아질 것입니다. 그리고 익명의 출판, 독립 배포, 소규모 개발자들도 그들의 생활 공간에서 밀려날 것입니다.
그러나 분쟁은 분쟁입니다. 이 규칙 세트가 궁극적으로 누구를 제어하게 될지는 실제로 어떤 장치에 속하는지에 따라 다릅니다.
대답은 아마도 Google의 발표 자체로 돌아가야 할 것입니다. 여기서 가장 주목할만한 점은 실제로 "사이드로딩을 제한한다"는 단어가 아니라 Google이 특별히 추가한 전제입니다. 인증된 Android 기기에 대해 모국어로 번역된 것입니다.
이 새로운 규정은 "Google 자체 인증을 받고 GMS 승인을 받은" 장비에 적용됩니다. 공장에서 Google Play 및 Google 서비스가 기본적으로 제공되는 Pixel, Samsung 해외 버전, Xiaomi 국제 버전 등의 제품이 기본적으로 이 범주에 속합니다. 국내 안드로이드 사용자들이 영향을 받을지는 아직 말하기 어렵다.
다행스럽게도 현재 정보에 따르면 이번에 Google이 추가한 '사이드로딩 임계값'은 Android 오픈소스 하단 계층(AOSP)에 직접 기록되지 않고 GMS/Google Play 서비스 계층에 추가되었을 가능성이 높습니다.
이 점은 실제로 매우 중요합니다.
일단 이러한 일련의 것들이 AOSP에 통합되면 문제의 성격이 완전히 바뀌기 때문입니다. 그것은 단순히 '보안 강화 및 사기 방지'가 아니라, '누구나 사용할 수 있고, 누구나 변경할 수 있다'는 안드로이드 밑바닥의 오픈 로직을 직접 건드리는 것이다. 정말 그 지경에 이르면 구글은 사용자들의 불만에 직면할 뿐만 아니라, 개발자 집단에서도 이를 사살할 것이다.
하지만 이 메커니즘을 GMS에 적용하면 Google의 진술이 훨씬 더 존경받을 만합니다. 저는 Android 전체를 건드리지 않았고 인증 서비스를 사용하는 장치에 추가 보호 계층을 추가했을 뿐입니다.
하지만 문제는 어느 계층에 있든 설치 권한, 배포 경로, 심지어 개발자 자격까지 플랫폼에 의해 재정의되기 시작하면 Android의 원래 개방적이고 독립적인 성격이 실제로 조금씩 사라지고 있다는 것입니다...