공식 ‘플레이 스토어’ 인증, APK에 작은 용량으로 덧씌울 예정
APK들의 P2P 공유도 인정하는 제스처...개발자들에게도 이득될 듯

[보안뉴스 문가용 기자] 구글이 구글 플레이(Google Play) 스토어를 통해 배포되는 API들 위에 소량의 보안 메타데이터를 덧씌우겠다고 발표했다. 구글이 공식적으로 안전한 앱을 인증하겠다는 뜻이다.


이러한 조치는 2017년 12월부터 예고된 것이다. 공식 앱들을 공식 플레이 스토어가 인증하겠다는 것으로, 이에 따라 구글 플레이가 정하고 있는 최대 APK 크기에도 조정이 있을 예정이다. 메타데이터를 위한 공간을 확보하기 위해서다.

이 ‘보안 메타데이터’란 물리적인 상품들에 붙는 KS 마크 같은 것이다. 구글이 가상의 상품인 애플리케이션들을 관장하는 인증 기관이나 다름없는 위치를 가져간 것이라고도 볼 수 있는 상황이다. 앞으로 이 메타데이터를 받느냐 못 받느냐가 앱의 판매 실적을 좌우할 수 있다.

구글 플레이의 제품 관리자인 제임스 벤더(James Bender)는 “구글이 이러한 조치를 취하는 것은 개발자들이 보다 많은 소비자들에게 다가갈 수 있도록 길을 열어주기 위한 것”이라고 설명한다. “특히 인터넷 사용료가 비싸거나 기술적으로 한계가 있어 P2P 앱 공유가 활발히 일어나는 곳이라면 이러한 인증 표식이 소비자들을 안심시킬 수 있겠죠.”

벤더에 따르면 “공식 앱스토어를 거치지 않더라도, 플레이 스토어의 공식 인증을 받은 것인지 아닌지 확인해볼 방법이 생긴 것”이라며 “가짜 앱이나 악성 앱의 확산을 어느 정도 방지할 수 있을 것”이라고 한다.

또한 APK에 메타데이터가 직접 부착되는 것이므로 장비가 인터넷에 연결되지 않았을 경우에도 인증 여부를 확인하는 게 가능하다. “오프라인일 때 인증을 받은 APK를 공유 받는다고 해도, 이 APK는 플레이 라이브러리(Play Library)에 추가됩니다. 그리고 다시 온라인이 되면 플레이 스토어 앱을 통해 업데이트 관리도 가능해집니다.”

사용자가 앱을 공유하거나 사용하는 데 있어서 더 안심할 수 있는 환경을 누리게 된 것이라고 벤더는 강조했다.

악성 앱을 만들지 않았던, 보통의 개발자들에게는 이러한 조치가 이익이 될 가능성이 높다. 자신들이 만든 앱이 공식 인증을 받게 되었다는 것만이 아니라, 구글의 설명에 따르면 공식 플레이 스토어 외에도 다른 앱 유통 경로가 생긴 것이기 때문이다. P2P로 공유 받은 앱이 플레이 라이브러리에 등록되고 공식 업데이트 관리 대상이 된다는 건 대부분 개발자들에게 희소식인 것이다.

또한 개발자들과 사용자들 편에서 특별히 해야 할 일은 없다. ‘인증’ 메타데이터는 구글이 기존의 APK 서명 블록(APK Signing Block)에 주입시킬 것이다. 구글은 이러한 조치 이후에는 앱 생태계가 어느 정도 더 깨끗해질 것으로 기대하고 있다. 특히 앱의 무결성을 확인하는 데에 도움이 될 것이라고 보고 있다.

2018년 8월부터 개발자들은 새로운 앱을 만들 때 API 레벨을 최소 26에 맞춰야 한다(안드로이드 8.0 기준). 11월부터는 앱 업데이트도 이 조건을 충족해야 한다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>