정식 앱스토어도 신뢰잃은 안드로이드 생존법

"구글 정식 앱 스토어를 통해 유해 앱이 9백만번이나 다운로드 되었다."

위와 같은 뉴스를 접하면 사람들은 어떤 생각이 들까 ? 아마도 그걸 믿지 못할 것이다. "정식"이라는 말이 모든 위험으로부터 걱정하지 않아도 되는 무결점의 대상을 의미하기 때문일 것이다. 

그런데 놀랍게도 위의 뉴스는 사실이다(출처: hothardware.com). 안드로이드 생태계의 정식 앱 스토어인 구글 플레이(Google Play)가 유해 앱의 유통 경로로 이용 되니 안드로이드 운영체제에 대해 아무것도 믿을 수 없게 된다.

더 심각한 것은 이러한 상황이 앞으로도 개선 될 가능성이 없어 보인다는 점이다. 안드로이드 생태계 내에서 통제와 규율의 책임을 지려 하는 기업이 아무도 없기 때문이다.

안드로이드 생태계가 현재와 같은 혼돈 상태에서도 앞으로  잘 나갈 수 있을까 ? 그들은 이 문제를 어떻게 해결해야만 하는 걸까 ? 

Security guard가 필요한 안드로이드 생태계, Image source: pixabay.com

은행권이 별도의 앱 스토어를 만들어 금융 앱의 안정성을 확보코자 한다.

금융위원회가 금융기관 전용의 통합 앱 스토어를 만든다는 계획을 발표했다. 구글의 정식 앱 스토어에서 정상적인 금융기관 앱으로 위장한 가짜 앱들이 나돌고 있기 때문이다. 다음은 주요한 보도 내용이다(출처: 연합 뉴스).

금융권이 공식적인 은행 앱만 보아 놓은 앱 스토어를 만든다. 은행 앱은 여길 통해서 받으면 안전을 보장 받게 된다. 오는 23일부터 가동되는 앱 스토어에서 산업, 농협, 신한 등의 17개 은행 모바일 뱅킹 앱을 내려 받을 수 있게 된다. 당국에서는 앞으로 제공 대상 금융 기관을 증권, 카드, 보험 등으로 확대 할 예정이다.

대상이 되는 스마트폰은 안드로이드, 블랙베리, 윈도우모바일이다. 애플의 아이폰은 별도 앱스토어의 제공 대상이 아니다.

왜 아이폰은 대상에서 빠졌을까 ? 너무 못해서 ?

벌써 눈치 빠른 독자들은 알아 차렸을 것이다. 금융권 앱 스토어 운영 대상에 애플 아이폰이 배제되어 있다. 그런데 배제라는 용어는 두가지의 양면성을 갖고 있다. 너무 잘 하거나 아니면 지나치게 문제가 있을 때 어떤 것을 제외 시키는 것이다.

애플의 아이폰은 전자에 해당된다. 애플의 금융 앱으로 해킹 피해를 입었다는 보도를 본 적이 없다. 애플에 유해 앱이 나돌아 큰 문제가 된다는 소식도 들어 본 적이 없다. 앱의 보안성 측면에서 애플 아이폰은 무결점, 청정 지역에 있는 것이다.

스마트폰이 아닌 '안드로이드폰의 앱 보안' 이슈여야만 하는 참담한 현실 !

애플 아이폰 앱에 보안상 이슈가 거의 없기에 '스마트폰 보안'이라는 용어를 쓰는 것은 적절치 않다. 대부분의 앱 문제가 시장의 70%를 점유하고 있는 안드로이드 폰에서 나오기에 오히려 '안드로이드폰의 보안'이라 바꿔 부르는 것이 타당할 것이다.

물론 여기에 대한 항변도 가능할 것이다. 안드로이드가 개방성을 갖고 있어 어쩔 수 없는 결과라는 것이다. 그러나 아무리 개방성이 좋더라도 나의 정보, 돈이 빠져 나갈 수도 있는데 그걸 좋아할 사람이 누가 있을까 ? 

보급 대수만 많고 내실은 다져지지 않은 안드로이드 스마트폰 생태계가 처한 착잡한 현실의 모습이다.  

애플은 앱 스토어에 대한 철저한 통제로 아이폰 생태계 전체의 확고한 신뢰를 얻었다.

애플은 지나칠 정도로 앱 스토어의 운영이 철저하다. 자신들의 정책, 기술 기준 등과 맞지 않으면 앱 스토어에의 등록을 철저히 거부하는 것이다. 그리고 애플에 의해 등록 거부된 앱을 아이폰에 정상적인 방법으로는 설치할 수 없다. 애플이 권고하지 않는 탈옥(Jailbreak)이라는 방법을 이용할 때만 비로소 가능한 것이다. 

따라서 애플 아이폰은 고가의 프리미엄 이미지 외에 '믿을 수 있는 스마트폰'이라는 현 시대의 최고 가치까지 갖고 있다. 애플 아이폰이 갖고 있는 안드로이드폰에 대한 진정한 차별화 요소일 것이다.

구글, 자신들을 위해서라도 안드로이드 생태계의 규율을 책임져야 한다. 

구글은 안드로이드 운영체제를 만들고 있는 기업이다. 그런데 공짜로 이걸 제조업체들에게 제공하고 있다. 이런 곳에 안드로이드 생태계의 규율까지 책임지라고 주장하는 것은 무리한 요청일 수도 있다. 

그런데 구글은 안드로이드 생태계를 통해 자신들의 서비스가 널리 이용되길 희망한다. 안드로이드의 보안성이 유지되지 않는 다면 사람들은 안드로이드 생태계를 떠날 수 밖에 없고, 구글은 자신들의 목적을 달성 할 수 없게 된다. 안드로이드에 대한 투자비도 모두 날려 버리게 될 것이다. 안드로이드 생태계의 보안성 유지가 구글의 이해관계와 다르지 않다는 의미이다. 

따라서 구글이 안드로이드를 통해 진정으로 자신들의 서비스가 널리 이용되길 바란다면 안드로이드 생태계의 보안성 유지를 위해 규율과 통제에 나서야만 한다. 

물론 구글은 안드로이드 생태계의 개방성을 훼손하고 싶지 않을 것이다. 사람들도 안드로이드가 애플 수준으로 지나치게 폐쇄화 되는 걸 원치 않는다. 자율과 책임이 강조되는 중간 수준의 규율이면 적당할 것이다.

"알 수 없는 소스" 설치의 금지부터 시작하면 어떨까 ?

안드로이드 보안 이슈의 시작은 "알 수 없는 소스 설치' 허용에서부터 시작된다. 환경 설정에 들어가면 나오는 이 옵션을 활성화 시켜 두면 앱의 출처에 무관하게 모두 설치된다. SMS나 이메일, 메신저, 외장형 메모리 어디라도 좋다. 화일로 인식되기만 하면 설치할 수 있는 것이다. 그리고 실제로 해커나 피싱 사기단들은 안드로이드의 이러한 허술함을 이용하고 있다.

따라서 구글이 운영체제에서 "알 수 없는 소스" 설치 옵션을 없앴으면 한다. 대신 구글이 인정하는 앱 스토어들에 대한 인증체계를 만들어 선별적인 앱 설치 시스템을 운영하길 바란다. 적어도 이런 조치가 시행된다면 현재와 같은 안드로이드 앱 생태계의 무질서는 상당 수준으로 개선될 수 있을 것이다. 안드로이드폰 이용자들 역시 구글의 제한에 따른 불편을 일부 감내 해야만 한다.

구글에게 진정한 고민이 필요한 시점이다. 10년, 100년을 이어가는 안드로이드 생태계가 될 것인지, 조만간 사라져 버릴 운영체제일지 구글의 결정에 달려 있다. 안드로이드 스마트폰 이용자로서 구글이 부디 현명한 선택을 하길 바란다.