구글이 악성 앱 및 악의적 행위자에 대응하는 방법 - 2022년 요약
이 블로그는 Google Security Blog (영문)에서도 확인하실 수 있습니다.
구글은 항상 이용자와 개발자를 위해 구글플레이를 안전하게 보호하는 것을 최우선 과제로 생각하고 있습니다. 구글플레이 프로텍트(Google Play Protect)는 매일 수십 억 개의 안드로이드 기기에 설치된 수십 억 개에 달하는 앱을 지속적으로 검사해 멀웨어나 원치 않는 소프트웨어와 같은 위협으로부터 이용자를 안전하게 보호합니다.
2022년 한 해 동안 구글은 머신러닝 시스템 및 앱 리뷰 프로세스에 대한 지속적인 투자와 함께 새롭게 향상된 보안 기능과 정책 강화를 통해 정책을 위반한 143만개 앱이 구글플레이에 게시되는 것을 방지했습니다. 또한 악의적인 개발자와 사기 조직에 지속적으로 대응하여 17만 3천여개의 악성 계정을 차단하고, 20억 달러 이상의 사기 및 악의적인 거래를 막았습니다. 다른 한편으로는 전화, 이메일, 기타 신원 인증 방식을 통해 구글플레이 생태계에 참여할 수 있는 신규 개발자들에 대한 기준을 높였으며, 이를 통해 정책을 위반한 앱을 게시하는 계정을 줄일 수 있었습니다. 더불어 민감한 데이터에 대한 접근 및 공유를 제한하고자 SDK 제공자와 지속적으로 협력해 구글 플레이에서 100만개 이상의 앱에 대한 개인정보 보호 수준을 강화하기도 했습니다.
이렇게 강화된 안드로이드 플랫폼 보호 및 정책, 개발자 지원 및 교육 등의 방법을 통해 지난 3년 간 약 50만개의 앱이 민감한 권한에 불필요하게 접근되는 것을 막았습니다.
안전한 앱을 위한 개발자 지원 및 협업
안드로이드 생태계가 확장됨에 따라 개발자 커뮤니티와의 긴밀하게 협력하는 것은 이용자 데이터 보안 및 프라이버시가 보호되는 안전하고 믿을 수 있는 앱을 개발하는 데 필요한 툴, 지식, 지원을 갖춘다는 점에서 중요합니다.
구글의 앱 보안 개선 프로그램은 2022년에 개발자들이 총 설치 수 기준 약 2,500억 건에 달하는 30만개의 앱에 영향을 주는 50만여 개의 보안 취약점을 해결하는 데 도움을 주었습니다. 또한 개발자가 SDK의 신뢰성과 안전성을 평가하고 SDK가 비즈니스와 이용자에게 적합한지를 결정하는 데 도움을 줄 수 있는 Google Play SDK 색인을 출시했습니다. 앞으로도 앱과 SDK의 안전성을 향상하고 이용자 데이터 공유 방식을 제한하는 것은 물론, 앱 개발자와의 원할한 소통을 위해 SDK 제공자들과 긴밀하게 협력을 이어나갈 것입니다.
최근에는 개발자에게 더 나은 정책 경험을 제공하기 위해 새로운 기능과 리소스를 출시했습니다. 구글은 더 많은 개발자가 정책과 관련해 직접 전화로 지원을 받을 수 있도록 일부 국가를 대상으로 헬프라인 파일럿을 확대했습니다. 또한, 더 많은 개발자가 정책 관련 질문에 대해 토론하고 안전한 앱을 만드는 방법에 대한 모범 사례를 공유할 수 있도록 구글플레이 개발자 커뮤니티를 시범 운영했습니다.
더욱 엄격해진 앱 요구조건 및 가이드라인
이용자에게 안전한 환경을 제공하는 데 핵심이 되는 구글플레이 기능 및 정책 외에도 각 안드로이드 운영체제(OS) 업데이트를 통해서도 개인정보 보호, 보안 및 이용자 환경을 개선할 수 있습니다. 구글은 이용자가 이러한 기술발전의 이점을 최대한 누리고 구글플레이에 신뢰할 수 있는 경험을 계속 누릴 수 있도록 개발자들과 협력하여 최신 안드로이드 버전에서 앱이 원활하게 작동하도록 도와줍니다. 또한 새로운 타겟 API 수준 정책을 통해 최신 버전의 안드로이드에서 제공하는 모든 개인정보 보호 및 보안 기능을 갖추지 않은 앱을 설치하지 못하게 만들어 이용자 보안 및 개인정보 보호를 강화하고 있습니다.
지난해 구글은 케냐, 나이지리아, 필리핀 등 주요 지역에서 개인 대출 앱에 대한 새로운 라이선스 요건을 도입했으며, 인도에서는 사기 방지를 위해 대출 서비스 관련 앱에 대한 요건을 더욱 엄격하게 적용한 바 있습니다. 또한 사칭 관련 정책에서 법인이나 단체의 사칭 행위를 금지한다는 점을 명확히 하여 이용자가 원하는 앱을 더욱 안심하고 다운로드할 수 있도록 했습니다.
또한 구글은 구글플레이 상의 사기 및 악성 광고를 퇴치하기 위해 노력하고 있습니다. 개발자를 위한 광고 정책을 업데이트하여 인앱 이용자 환경을 개선하고 예상치 못한 전체 화면 전면 광고를 금지하는 주요 가이드라인을 제공합니다. 이 업데이트는 더 나은 광고 표준(Mobile Apps Experiences - Better Ads Standards)의 모바일 앱 경험을 참고하였습니다.
데이터 투명성, 보안 제어, 도구 개선
구글은 지난 해 구글플레이에 데이터 보안 섹션을 도입해 이용자가 자신의 앱 데이터가 어떻게 수집, 공유, 보호되는지를 더 명확하게 알 수 있도록 했습니다. 개발자들과 협력해 데이터 보안 섹션을 개선하고 데이터 수집, 공유 및 보안 관행을 이용자와 공유할 수 있게 되어 기쁘게 생각합니다.
2022년에 구글플레이 스토어는 상업용 앱 스토어로는 최초로 앱 디펜스 얼라이언스(App Defense Alliance)의 모바일 앱 보안 평가(MASA)를 통해 독립적인 보안 검토를 완료한 모든 앱에 대해 인증하는 배지를 데이터 보안 섹션에 표시했습니다. MASA는 모바일 애플리케이션에 대해 가장 널리 채택된 보안 요건인 OWASP의 모바일 애플리케이션 보안 검증 표준(OWASP’s Mobile Application Security Verification Standard)을 활용합니다. 로블록스(Roblox), 우버(Uber), 페이팔(PayPal), 트리마(Threema), 유튜브(YouTube) 등 널리 사용되는 주요 앱들을 통해 MASA에 대한 개발자의 높은 관심을 확인할 수 있습니다.
이와 함께 구글은 KeyMint 및 원격 키 프로비저닝을 통해 Play Integrity API를 강화하는 등 개발자와 앱에 대한 보호 기능을 지속적으로 강화해 왔습니다.
지난 1년간 구글은 악성 앱으로부터 안드로이드 이용자를 보호하기 위해 함께 정보를 공유하고 앱을 검사하는 파트너들의 연합인 앱 디펜스 얼라이언스(App Defense Alliance)를 확장했습니다. 최근 맥아피(McAfee)와 트렌드 마이크로(Trend Micro)는 앱 기반 악성 프로그램의 위험을 줄이고 안드로이드 이용자를 더 잘 보호하기 위해 구글, ESET, 룩아웃(Lookout) 및 짐페리움(Zimperium)과 함께 하기로 했습니다.
픽셀 이용자에게 지속적인 보안 및 개인정보 보호 강화 제공
구글은 픽셀(Pixel)기기 이용자를 안전하게 보호하기 위해 더욱 강력한 보안 기능을 추가했습니다. 새로운 보안 및 개인정보 보호 설정이 안드로이드 13을 지원하는 모든 픽셀 기기에 적용되어 매달 전 세계 수백만 명에 달하는 이용자들의 보안과 개인정보 보호 상태가 개선되었습니다. 또한 비공개 컴퓨트 코어(Private Compute Core)를 통해 픽셀 폰에서서 개인 정보를 보호하는 방식으로 유해한 앱을 감지할 수 있습니다.
향후 계획
구글은 구글플레이 이용자 및 개발자 생태계를 안전하게 지키기 위해 최선을 다하고 있으며, 2023년에도 여러 흥미로운 보안 및 안전 관련 발표를 할 수 있기를 기대합니다.