구글, 안드로이드 사이드로딩에 '24시간 재인증' 의무화… 개방 플랫폼의 문이 좁아진다

2018년, 에픽게임즈는 구글 플레이스토어를 우회해 포트나이트를 안드로이드에 직접 배포했다. 사이드로딩이라 불리는 이 방식은 안드로이드가 iOS와 구별되는 핵심 자유였다. 8년이 지난 지금, 그 자유에 새로운 자물쇠가 채워지고 있다.

구글이 미인증 앱 사이드로딩에 24시간 주기 재확인 절차를 도입한다. Hacker News에 공유된 원문 보도에 따르면, 사용자가 플레이스토어 외부에서 검증되지 않은 앱을 설치할 경우 24시간마다 설치 의사를 다시 확인받는 구조다. 단순한 팝업 하나가 아니다. 구글이 '열린 생태계'를 표방하면서도 그 문턱을 체계적으로 높이기 시작했다는 신호다.

2018~2020년: 사이드로딩이 전쟁터가 된 순간

사이드로딩 논쟁의 기원은 에픽게임즈로 거슬러 올라간다. 2018년 에픽은 구글 플레이의 30% 수수료를 거부하고 자체 설치 파일(APK)로 포트나이트를 배포했다. 보안 전문가들은 즉각 경고했다. APK 파일을 직접 내려받는 과정에서 악성코드가 끼어들 가능성이 열린다는 것이었다. 실제로 가짜 포트나이트 APK가 수십 종 유포됐고, 구글은 이를 사이드로딩의 본질적 위험으로 규정했다.

하지만 에픽의 시도는 단순한 수수료 회피가 아니었다. 앱 마켓 독점 구조에 대한 최초의 대규모 도전이었고, 이후 미국과 유럽에서 벌어질 반독점 소송의 서막이기도 했다.

2022년: EU 디지털시장법, 게이트키퍼에 쐐기를 박다

EU가 디지털시장법(DMA)을 확정하면서 국면이 전환됐다. DMA는 구글과 애플 같은 '게이트키퍼' 플랫폼에 서드파티 앱스토어 허용과 사이드로딩 보장을 사실상 의무화했다. 애플조차 iOS에 제한적 사이드로딩을 열어야 했다. 안드로이드는 원래 사이드로딩이 가능했으니 규제 압력이 덜하다고 볼 수도 있었다. 그런데 구글의 행보는 정반대 방향이었다.

같은 시기 구글 플레이 프로텍트의 실시간 스캔 기능이 강화됐고, 미인증 앱 설치 시 경고 메시지는 점점 더 위압적으로 변했다. 기술적으로는 보안 조치였지만, 결과적으로 사이드로딩의 심리적 장벽을 높이는 효과를 냈다.

2024년: 에픽게임즈 판결, 구글이 맞은 직격탄

2024년 미국 법원은 에픽게임즈 대 구글 소송에서 구글의 앱 배포 독점을 인정하는 판결을 내렸다. 서드파티 앱스토어에 대한 접근을 실질적으로 보장하라는 명령이 뒤따랐다. 구글로서는 뼈아픈 결과였다. 플레이스토어 밖의 앱 설치를 기술적으로 막을 수는 없지만, 그 과정을 얼마나 불편하게 만들 수 있는가, 이것이 새로운 전략적 변수가 됐다.

2025년 3월: '보안'이라는 이름의 24시간 재인증

그리고 지금, 구글은 24시간 재인증 정책을 꺼내들었다. 핵심 구조는 이렇다. 사용자가 플레이스토어를 거치지 않고 미인증 앱을 설치하면, 24시간 후 해당 앱의 설치 상태를 다시 확인하는 절차가 작동한다. 사용자가 재확인하지 않으면 앱 실행이 제한될 수 있다.

구글의 공식 입장은 명확하다. 악성 앱이 사용자 모르게 설치된 채 방치되는 상황을 막겠다는 것이다. 실제로 사이드로딩을 통한 악성코드 감염은 안드로이드 보안 위협의 상당 부분을 차지한다. 구글 자체 데이터에 따르면 플레이스토어 외부에서 설치된 앱의 악성코드 포함 비율은 스토어 내부 대비 수십 배에 달한다. 보안 관점에서 24시간 재확인은 합리적인 안전장치로 읽힌다.

문제는 맥락이다.

보안인가, 통제인가

개발자 커뮤니티의 반응은 갈린다. Hacker News 토론에서 한쪽은 "악성 APK에 당하는 비기술 사용자를 보호하는 합리적 조치"라는 입장이다. 안드로이드 생태계에서 사이드로딩 악용 사례가 실제로 심각하다는 점을 근거로 든다.

반대편 논리는 더 날카롭다. "DMA와 에픽 판결로 서드파티 앱스토어를 허용해야 하는 상황에서, 사이드로딩 자체를 번거롭게 만들어 우회적으로 플레이스토어 종속을 유지하려는 것 아닌가." F-Droid 같은 오픈소스 앱스토어, 기업 내부 배포 앱, 독립 개발자의 베타 테스트 빌드 모두 이 정책의 영향권 안에 놓인다.

특히 주목할 점은 타이밍이다. EU DMA 시행과 에픽 판결 이후 구글이 서드파티 앱스토어 접근을 넓혀야 하는 바로 그 시점에, 미인증 앱 전반에 대한 마찰을 높이는 정책이 등장했다. 법적으로는 사이드로딩을 금지하지 않으면서, UX 설계로 사용자를 플레이스토어에 묶어두려는 전략이라는 해석이 나온다.

애플과의 대칭, 그리고 결정적 차이

흥미로운 건 애플과의 비교다. 애플은 DMA 압력에 밀려 EU 지역에서 사이드로딩을 열었지만, 공증(notarization) 절차와 수수료 구조로 실질적 장벽을 유지하고 있다. 구글의 24시간 재인증은 애플식 통제를 안드로이드 문법으로 번역한 것에 가깝다. 차이가 있다면 애플은 처음부터 폐쇄형을 표방했고, 구글은 개방형을 자처해왔다는 점이다. 개방을 약속한 플랫폼이 문을 좁히는 것과, 원래 닫혀 있던 플랫폼이 마지못해 여는 것은 같은 결과라도 신뢰의 무게가 다르다.

파워유저와 독립 개발자가 치르는 대가

일반 사용자 대부분에게 이 변화는 거의 체감되지 않을 수 있다. 플레이스토어에서 앱을 설치하는 다수에게는 해당 사항이 없다. 하지만 소수의 파워유저, 오픈소스 커뮤니티, 대체 앱스토어 운영자, 그리고 구글 플레이 정책에 동의하지 않는 개발자들에게는 의미가 크다. 24시간마다 앱 사용 의사를 재확인해야 한다는 건, 구글이 사용자의 앱 설치 이력을 지속적으로 모니터링한다는 의미이기도 하다. 프라이버시 측면의 논쟁 역시 불가피하다.

EU 규제 충돌이라는 뇌관

이 정책이 EU 규제 당국의 눈에 어떻게 비칠지가 핵심 변수다. DMA는 게이트키퍼가 대체 배포 경로를 기술적으로 불리하게 만드는 행위를 금지한다. 구글이 보안을 명분으로 내세우더라도, 서드파티 앱스토어 이용을 결과적으로 억제하는 효과가 입증되면 규제 충돌은 피할 수 없다.

보안과 개방성은 언제나 긴장 관계에 있다. 그 균형점을 누가, 어떤 동기로 설정하느냐가 진짜 쟁점이다. 구글의 24시간 재인증은 악성코드를 막는 방패일 수도 있고, 경쟁자를 막는 성벽일 수도 있다. 둘 다일 가능성이 가장 높다.