GoogleのADVはマルウェアか?F-Droidが警告
원제: Android Developer Verification: Threat masquerading as Protection
왜 중요한가
Google이 Android 앱 배포의 단일 승인 기관이 될 경우, 오픈소스·독립 개발 생태계 전반에 구조적 영향을 미칠 수 있다.
오픈소스 Android 앱 저장소 F-Droid는 2026년 7월 1일, Google이 Play Protect를 통해 배포하는 'Android Developer Verification(ADV)' 프로그램이 사실상 악성코드와 동일한 구조로 작동한다고 공식 블로그를 통해 경고했다. Android 8 이상을 탑재한 약 40억 대의 기기가 영향을 받을 수 있다고 밝혔다.
F-Droid는 2026년 7월 1일 공식 블로그 게시물에서 Google의 Android Developer Verification(ADV) 프로그램을 '보호로 위장한 위협'이라고 규정했다. ADV는 Android 8 이상 기기에 시스템 서비스 형태로 설치되며, 루트 권한으로 백그라운드에서 실행된다. 사용자는 이 서비스를 차단·비활성화·제거할 수 없다.
F-Droid에 따르면 ADV의 실질적 기능은 Google이 중앙에서 승인하지 않은 개발자의 앱 실행을 차단하는 것이다. Google은 악성코드 확산 방지를 명목으로 이 프로그램을 도입했으나, F-Droid는 ADV가 악성 행위자의 초기 배포를 막는 기능은 없다고 지적했다. 재범 개발자가 새 서명 키와 계정을 만들어 우회하는 경우를 늦출 수 있다는 제한적 효과만 있다는 것이다.
F-Droid는 이미 2025년 9월 ADV 발표 직후 'F-Droid and Google's Developer Registration Decree'라는 제목으로 처음 우려를 제기한 바 있다. ADV에 등록하려는 개발자는 계정 생성 및 수수료 납부, 개인정보 및 정부 발행 신분증 제출, 배포할 앱의 식별자와 서명 키 등록, Android Developer Console 이용약관 동의가 요구된다. 해당 약관 6.5조는 악성코드 배포 시 Google이 개발자 접근권을 종료할 수 있다고 규정하고 있어, Google이 앱 생태계 전체의 단일 게이트키퍼로 자리잡게 된다는 것이 F-Droid의 주장이다.
F-Droid는 대안으로 Play Protect의 권한 분석 강화나 분산형 검증 모델(2023년 'DCM: A Developers Certification Model for Mobile Ecosystems' 제안) 등을 제시했다. F-Droid는 현재 keepandroidopen.org를 통해 지지자들의 참여를 촉구하고 있다.