구글, 악성 앱 차단·개발자 신원 인증으로 안드로이드폰 사용자 보호

2025-09-04 박광하 기자

미국 캘리포니아에 있는 구글 본사. (사진=픽사베이)

[뉴스웍스=박광하 기자] 구글이 범죄에 악용될 수 있는 앱 설치를 제한하는 프로그램을 안드로이드 스마트폰에 적용하는 데 한국 정부와 협력한다. 누가 앱을 개발했는지를 확인할 수 있는 '개발자 신원 인증'도 추진한다.

구글은 4일 서울 종로구 국가과학기술자문회의 대회의실에서 과학기술정보통신부와 보이스피싱 등 민생범죄 예방을 위한 업무협약(MOU)을 체결하고, 강화된 보안 프로그램인 EFP(Enhanced Fraud Protection)를 국내 출시한다고 발표했다.

EFP는 이용자가 인터넷 브라우저나 메시지 앱을 통해 앱을 직접 설치하려고 할 때 이 기능이 실시간으로 작동해 앱이 요구하는 권한을 분석한다. 분석 결과 설치하려는 앱이 금융 사기에 자주 악용되는 민감한 권한인 문자 메시지 수신 및 읽기, 알림 확인, 화면 콘텐츠 접근 등을 요구할 경우 구글플레이 프로텍트가 자동으로 앱 설치를 차단하고 이용자에게 위험을 경고한다.

사이버 범죄자들은 주로 이러한 권한을 악용해 금융 기관에서 보낸 일회용 비밀번호(OTP)를 가로채거나 이용자가 화면에 입력하는 개인정보를 탈취한다. EFP 기능은 이 같은 행위를 원천 차단해 이용자의 금융 정보와 자산을 보호하는 역할을 한다.

데이브 클라이더마허(왼쪽) 구글 보안책임자(부사장)과 류제명 과학기술정보통신부 제2차관이 4일 서울 종로구 국가과학기술자문회의 대회의실에서 열린 '보이스피싱 대응 협약식' 에서 기념촬영을 하고 있다. (사진=박광하 기자)

과기부와 구글의 MOU 내용의 핵심인 EFP는 앱 직접 설치 방식에 의한 악성앱 피해 발생을 해결하기 위한 구글의 대책으로 풀이된다.

체결식에서 데이브 클라이더마허 구글 보안담당 부사장은 한국 방문 소감을 전하며 협력의 의미를 강조했다. 그는 "한국 국민 모두를 위해서 더 안전한 디지털 세상을 만들겠다는 공동 약속의 새로운 장을 여는 이 자리에 함께하게 돼 큰 영광"이라고 말했다.

이어 "스마트폰이 생활에 많은 도움을 주지만 범죄자들이 이를 악용해 정교한 공격을 가하고 있으며, 이는 단순한 금전적 피해를 넘어 정신적 피해까지 초래한다"고 지적했다.

클라이더마허 부사장은 "한 기업이나 정부 단독으로는 문제 해결이 불가능하기 때문에 함께 힘을 모아야 한다"며 협력 필요성을 역설하면서, "구글이 새롭게 선보이는 강화된 사기 방지 기능 EFP는 금융사기에 악용되는 앱을 자동 분석·차단해 사용자를 보호할 것"이라고 설명했다.

류제명 과기부 제2차관은 보이스피싱 대응의 국가적 중요성을 강조했다. 그는 "지난주 국무조정실장이 단장으로 범정부 보이스피싱 대책을 발표했으며, 과기부도 직접 참여해 구글의 EFP 프로그램 도입을 국민들께 보고한 바 있다"고 말했다.

류 차관은 "구글이 한국에서 EFP 시스템을 시작해 국민들을 보이스피싱과 스캠으로부터 보호하는 조치를 취해 준 점에 감사드린다"며 "이번 협약을 계기로 EFP가 실질적으로 국민을 보호하는 안전장치로 작동하고 지속적으로 보완되기를 기대한다"고 말했다. 또한 "정부 전체적으로도 이번 조치의 의미를 높이 평가하고 있으며, 국민의 일상 속 위험을 획기적으로 줄이는 계기가 될 것"이라고 말했다.

사이버보안 기업 서프샤크에 따르면 구글은 1년 간 사기, 스캠, 보안 문제 등 정책 위반을 이유로 30만개가 넘는 앱을 삭제했다. 같은 기간 애플 역시 유사한 사기 행위로 약 4만개의 앱을 제거한 것과 비교하면 700% 이상이다.

안드로이드 앱 마켓인 '구글 플레이'는 지난해 선제적 조치로 약 400만개의 앱을 삭제했는데, 이는 일 평균 1만1000개에 해당한다. 이 가운데 55%는 데이터 보호 및 개인정보 침해 정책 위반이 주된 이유였다. 같은 기간 애플의 '앱 스토어'는 훨씬 적은 규모인 8만개 가량의 앱을 삭제했는데, 하루 평균 약 200개 수준이다.

안드로이드 스마트폰은 앱 마켓을 통하지 않고 .apk 등의 앱 설치 파일을 직접 받아 설치하는 게 가능하다. 이 탓에 악성앱 설치에 의한 피해가 끊이지 않는다. 앱 마켓 외의 경로로는 앱 설치를 제한하는 애플과 비교되는 부분이다. 애플은 이 같은 정책으로 악성 앱 설치를 방어하고 있다.

과기부와 구글이 4일 서울 종로구 국가과학기술자문회의 대회의실에서 '보이스피싱 대응 협약식'을 진행하고 있다. (사진=박광하 기자)

사이버보안 컨설팅 기업 관계자는 "정보보호에 관해 전문적 지식이 없는 노부모에게 자녀들이 아이폰을 선물하기도 한다"면서 "보이스피싱 범죄자들이 아이폰을 이용하는 노인들을 대상으로 범죄를 포기한다는 말도 들린다"고 말했다.

그는 "구글의 EFP가 적용되면 악성 앱 설치에 의한 피해가 상당 부분 줄어들 것으로 기대된다"며 "내년부터 구글 플레이스토어 외부에서 앱을 배포하는 개발자를 대상으로 하는 신원 검증 의무화 추진도 악성 앱 피해를 예방하는 데 도움이 될 것"이라고 말했다.

언급된 안드로이드용 앱 개발자 대상 신원 검증 의무화도 악성 앱 배포를 방지하기 위한 구글의 조치로 해석된다.

테크크런치, 아스테크니카 등 여러 외신은 구글이 플레이스토어에서 악성 앱을 줄이기 위해 도입한 개발자 신원 확인을 외부 앱까지 확장하는 방안을 추진 중이라고 최근 보도했다.

구글은 새로운 안드로이드 개발자 콘솔을 만들고, 외부 앱 개발자가 신원 인증을 받아야만 앱을 배포할 수 있도록 할 계획이다. 인증을 받지 않은 앱은 공식 안드로이드 기기에서 설치할 수 없으며 중국을 제외한 대부분의 안드로이드 기기에 적용된다. 해당 시스템은 10월 얼리 액세스를 통해 테스트될 예정이며, 내년 3월부터 모든 개발자에게 순차적으로 공개되고 2027년 글로벌 확장을 목표로 하고 있다.