2023년 구글이 악성 앱 및 악의적 행위자에 대응한 방안

이 블로그 내용은 Google Security Blog (영문)에서도 확인하실 수 있습니다.

구글은 이용자와 개발자들에게 안전하고 신뢰할 수 있는 구글플레이 경험을 제공하는 것을 최우선 과제로 두고 있습니다. 구글은 아래 ‘SAFE’ 원칙에 따라 이용자와 개발자 모두를 위한 환경을 만들 수 있는 프레임워크를 제공합니다. 이러한 원칙이 의미하는 바는 다음과 같습니다.

-(S) 이용자 보호(Safeguard our Users). 신뢰할 수 있는 양질의 앱을 탐색할 수 있도록 돕기

-(A) 개발자 보호 지지(Advocate for Developer Protection). 성장에 집중할 수 있도록 플랫폼 보호 구축

-(F) 책임감 있는 혁신 촉진(Foster Responsible Innovation). 사용자 안전을 침해하지 않고 신중하게 모든 사람을 위한 가치를 실현

-(E) 플랫폼 방어 개선(Evolve Platform Defence). 정책, 도구, 기술을 발전시켜 새로운 위협에 대비

구글은 이러한 원칙을 가지고 위협 환경이 계속해서 진화하는 중에도 구글플레이 이용자를 계속 안전하게 보호할 수 있도록 최근 개선 사항을 적용하고 새로운 조치를 도입했습니다. 2023년, 구글은 새롭고 향상된 보안 기능, 정책 업데이트, 개선된 머신러닝, 앱 리뷰 프로세스 등에 대한 투자를 통해 정책을 위반한 228만 개의 앱이 구글플레이¹ 에 게시되는 것을 방지했습니다. 또한 개발자가 플레이 계정을 설정할 때 더 많은 신원 정보를 요구함으로써 개발자 온보딩 및 리뷰 프로세스를 강화하였습니다. 리뷰 도구 및 프로세스에 대한 투자를 통해, 구글은 악의적 행위자와 사기 앱을 더 효과적으로 식별하고 작년 한 해 동안 확인된 멀웨어 및 반복적인 심각한 정책 위반과 같은 행위를 저지른 33만 3천여 개의 악성 계정을 플레이에서 해지했습니다.

또한, 백그라운드 위치 정보 및 SMS 액세스 등 민감한 권한의 적절한 사용이 보장되도록 약 20만 건개의 앱 제출을 반려하거나 수정되도록 했습니다. 대규모 이용자 개인 정보 보호를 돕기위해 구글은 SDK 제공자와 지속적으로 협력하여 민감한 데이터 액세스 및 공유를 제한하였고, 이 결과 79만 개 이상의 앱에 영향을 미치는 31개 이상의 SDK에 대한 개인정보 보호 조치를 강화했습니다. 이와 함께, 안드로이드 시스템 전반의 약 600만 개의 앱에서 사용되는 SDK를 포함하는 구글플레이 SDK 색인을 크게 확장했습니다. 이와 같은 리소스는 개발자들이 더 나은 SDK를 선택하여 앱 품질을 향상시키고 통합과정의 위험을 최소화하는데 도움이 됩니다.

안드로이드 생태계 보호

앱 디펜스 얼라이언스(App Defense Alliance, ADA)의 성공을 기반으로 구글은 리눅스 재단(Linux Foundation) 계열의 조인트 디벨롭먼트 파운데이션(Joint Development Foundation) 산하의 새롭게 재편된 ADA의 운영위원회 구성원으로서 마이크로소프트 및 메타와 협력합니다. ADA는 업계 전반에 걸쳐 새로운 보안 리스크에 대한 대책 마련은 물론 앱 보안 모범사례 및 가이드라인의 도입을 지원할 것입니다.

또한 구글은 앱 디펜스 얼라이언스의 MASA(모바일 앱 보안 평가, Mobile App Security Assessment)를 통해 독립적인 보안 검토를 완료한 VPN 앱을 강조하는 새로운 플레이 스토어 투명성 식별(레이블링) 기능을 발표했습니다. 이용자가 VPN 앱을 검색하면 이제 데이터 보안 섹션(Data Safety Section)의 '독립적 보안 검토' 배지에 대해 안내하는 배너가 구글플레이 상단에 표시됩니다. 이를 통해 이용자는 개발자가 보안 및 개인 정보 보호 관행을 우선시하고 이용자 안전을 위해 최선을 다하고 있음을 한눈에 확인할 수 있습니다.

플레이스토어 외부에서 앱을 설치하는 고객을 보다 잘 보호하고자, 구글은 새로운 악성 앱에 대응할 수 있도록 코드 수준에서 실시간 스캐닝을 통해 구글플레이 프로텍트의 보안 기능을 더욱 강력하게 했습니다. 보안 보호 및 머신 러닝 알고리즘은 검토를 위해 구글에 제출된 각 앱에서 학습하며 수천 개의 신호를 살펴보고 앱 동작을 비교합니다. 이 새로운 기능은 이미 500만 개 이상의 새로운 플레이 외부 악성 앱을 탐지하여 전 세계 안드로이드 이용자를 보호하는 데 도움을 주고 있습니다.

더욱 엄격한 앱 요구사항 및 가이드라인

지난 해 구글은 생성형 AI 앱, 방해가 되는 알람, 확장된 개인정보보호에 관한 플레이 정책을 업데이트 했습니다. 또한 개발자가 구글플레이에서 앱을 제공하기 전에 새로운 테스트 요구 사항을 적용하여 신규 개인 개발자 계정에 대한 기준을 높이고 있습니다. 앱을 테스트하고, 피드백을 받고, 출시 전에 모든 것이 준비되었는지 확인함으로써 개발자는 플레이 이용자에게 더 높은 품질의 콘텐츠를 제공할 수 있습니다. 신뢰와 투명성을 높이기 위해 조직의 D-U-N-S 번호와 새로운 '개발자 정보' 섹션을 포함하여 확장된 개발자 인증 요구 사항을 도입했습니다.

이용자에게 개인 데이터에 대한 더 많은 통제권을 제공하기 위해 계정 생성을 지원하는 앱은 인앱 환경과 온라인에서 계정 및 데이터 삭제를 지원하는 옵션을 제공해야 합니다. 이 웹 요구 사항은 이용자가 앱을 다시 설치하지 않고도 계정 및 데이터 삭제를 요청할 수 있다는 점에서 특히 중요합니다. 이용자 경험을 간소화하기 위해 우리는 이를 플레이스토어의 데이터 보안 섹션에 기능으로 통합했습니다.

안드로이드 운영 체제(강력한 API 세트 포함)가 업데이트 될 때마다 이용자 경험을 향상하고 보안 프로토콜을 강화하는 등 안드로이드 플랫폼의 전반적인 성능 최적화를 위한 수많은 개선 사항이 도입되었습니다. 고객을 더욱 안전하게 보호하기 위해, 플레이스토어는 기기를 최신 안드로이드 버전으로 업데이트한 신규 사용자들은 해당 기기에 최신 API를 대상으로 하지 않는 약 150 만 개의 레거시 애플리케이션이 설치되지 않도록 차단하고 있습니다.

향후 계획

구글플레이에서 이용자와 개발자를 보호하는 것은 지속적인 우선 순위입니다. 구글은 개인 정보 보호 관행이 투명하지 않은 앱을 플레이에서 삭제하는 등 올해 새로운 보안 이니셔티브를 시작할 예정입니다.

또한 구글은 최근 이용자들에게 사기를 치고자 구글플레이에서 사기성 투자 및 암호화폐 거래소 앱을 업로드하려고 고의적으로 왜곡된 정보를 전달한 사기범 2명을 상대로 연방 법원에 소송을 제기했습니다. 이번 소송은 이러한 악의적인 행위자들에게 책임을 묻고 이용자를 편취하려는 자들을 적극적으로 추적하겠다는 메시지를 보낸 중요한 단계입니다.

구글은 여러분의 구글플레이 및 안드로이드 생태계 전반 경험을 안전하게 보호하기 위해 새로운 방법을 끊임없이 연구하고 있으며 앞으로 더 많은 정보를 공유할 수 있기를 기대합니다.