2019년 2월 21일 목요일

악성 앱 및 개발자를 차단하기 위한 구글 플레이의 노력은 계속됩니다

본 블로그와 동일한 내용이 안드로이드 개발자 블로그에도 게재되었습니다.


구글 플레이에서는 수십억 명의 안드로이드 사용자가 좋아하는 앱을 발견하고 마음껏 사용할 수 있는 안전한 플랫폼을 제공하기 위해 노력하고 있습니다. 이를 위해 작년에 악성 앱 감지 기술 및 시스템을 개선하였으며, 제품 관리자, 엔지니어, 정책 전문가 및 운영 관리자로 구성된 팀을 보강했습니다.

또한 새로운 악용 트렌드로부터 사용자를 보호하기 위한 일련의 정책들을 도입했으며, 악의적 의도를 지닌 개발자를 더욱 빠르게 파악해 조치를 취하고, 그 어느 때보다 많은 수의 악성 앱을 구글 플레이 스토어에 등록되지 못하도록 차단했습니다. 이에 따라 등록 승인을 받지 못한 앱 제출 건수가 55% 이상 증가했으며, 악성 앱 삭제 건수도 66% 이상 늘었습니다. 이는 플레이 스토어에 등록되는 위험한 앱의 수를 줄이기 위해 정책을 강화하려는 지속적인 노력, 그리고 규제 대상이 되는 앱을 발견하는 데 중요한 역할을 하는 자동 보호 시스템 및 담당팀의 직접적인 검토 절차 덕분입니다.

구글 플레이에서는 이처럼 위험한 앱이 플레이 스토어에 등록되지 못하도록 사전 조치를 취할 뿐만 아니라 구글 플레이 프로텍트 시스템을 통해 사용자 기기에 설치된 5백억 개 이상의 앱을 매일 검사해 앱의 행동이 보안에 위협을 가하지 않는지 확인합니다. 이러한 보호 조치 덕분에 구글 플레이에 등록된 앱은 다른 출처에서 받는 안드로이드 앱보다 사용자 기기에 해를 끼칠 확률이 8배 낮습니다.

다음은 구글 플레이에서 작년에 이어 올해에도 우선순위를 두고 중점적으로 개선하고자 하는 부분들입니다.

사용자의 개인정보 보호
사용자의 데이터 및 개인정보 보호는 사용자의 신뢰를 얻기 위한 중요한 요소입니다. 구글 플레이에서는 개발자에게 앱의 기능 구현에 반드시 필요한 기기 액세스 권한만 요청할 것을 요구해 왔습니다. 또한 자신의 데이터가 어떻게 이용되고 있는지 사용자가 이해할 수 있도록 민감한 사용자 정보의 수집 및 사용에 관한 설명을 명확하게 공개할 것을 요구했습니다. 작년에 이러한 구글 플레이 정책을 준수하지 않는 수만 개의 앱은 승인 거부되거나 삭제되었습니다.
또한 작년 10월, 앱의 SMS 및 통화 기록에 대한 권한 요청을 제한하는 구글 플레이의 새로운 정책이 발표(구글코리아 공식 블로그)되었습니다. 이 정책에 따라, 이제 사용자가 전화를 걸거나 문자 메시지를 보낼 때 사용하는 기본 앱으로 설정한 경우 등 일부 사례에서만 앱에서 해당 권한을 요청할 수 있게 되었습니다. 해당 정책을 위반하는 앱을 구글 플레이에서 삭제하는 작업이 최근 시작되었으며, 기기 권한 및 사용자 데이터 관련 추가 정책이 올해 지속적으로 발표될 예정입니다.

반복 위반 개발자 계정 단속
정책을 심각하게 위반하는 주체의 80% 이상이 반복적으로 정책을 위반하는 개발자 및 서비스를 악용하는 개발자 네트워크라는 점이 확인되었습니다. 악의적 의도를 지닌 개발자는 규제에 의해 차단되었을 경우 종종 새로운 계정을 만들거나 암시장에서 개발자 계정을 구매해 구글 플레이로 다시 침입합니다. 이 문제를 해결하기 위해 구글 플레이에서는 개발자 계정 클러스터링 및 매칭 기술을 더욱 개선하였으며, 이러한 기술과 전문 지식을 갖춘 검토팀의 확인 절차를 통해 스팸 개발자 네트워크가 앱을 게시하는 것을 애초에 방지함으로써 사용자를 보호하고 있습니다.

부적절한 콘텐츠 및 말웨어
작년 블로그 게시물(구글코리아 공식 블로그)에서도 언급되었다시피, 구글 플레이에서는 수십 만 건의 가짜 앱, 부적절한 콘텐츠를 포함한 앱,  그리고 악성 말웨어(PHAs)를 차단하기 위해 노력해 왔습니다. 이러한 유형의 앱을 지속적으로 막기 위해 고급 머신러닝 모델을 적용해 의심스러운 앱을 발견할 뿐만 아니라 정적 및 동적 분석을 실행하고 사용자의 참여 및 의견 데이터를 유용하게 활용하며, 더 많은 악성 앱을 정확하고 효율적으로 찾아낼 수 있도록 도와주는 숙련된 검토팀의 앱 확인 절차를 거치고 있습니다.

악성 앱을 방지하기 위한 고도의 노력에도 불구하고, 악의적 의도를 숨긴 채 구글 플레이 시스템에 침입하려는 시도는 앞으로도 계속 이어질 것입니다. 그러나 구글 플레이에서는 지속적인 역량 강화를 통해 이러한 적대적인 행위에 맞서고, 모든 사용자에게 안전한 앱 스토어를 제공하기 위해 노력할 것입니다.

작성자: 앤드류 안(Andrew Ahn), 구글 플레이 제품 관리자