Google의 Play 개발자 보안 솔루션은 좋은 시작입니다.

December 02, 2021
에뉴스 인터넷 보안

Google Play는 처음부터 여러 보안 관련 문제를 처리해 왔으며 Google은 마침내 계정 생성 확인 부족을 해결했습니다.
적절한 계정 생성 확인은 다중 버너 계정 생성의 흐름을 막는 데 도움이 되지만 모든 것을 해결하지는 못합니다.
Google은 여전히 개발자 계정 도용, 앱 복제, 가짜 앱 리뷰 등에 대해 조치를 취해야 합니다.

휴대전화에는 지문이 표시되고 컴퓨터 모니터에는 Google 로고가 표시됩니다. — 레온 닐 / 게티 이미지

Google은 최근 Google Play 개발자 계정에 대한 추가 확인을 요구하기 시작했습니다. 즉, 악의적인 당사자가 판매할 계정을 여러 개 생성하는 것에 대한 대응책입니다. 하지만 더 많은 작업을 수행할 수 있습니다.

Google Play의 개발자 계정 보안은 연락처 세부 정보 확인의 어떤 형태도 요구하지 않는 기본 가입과 함께 최고의 실적을 가지고 있지 않습니다. 일부 그룹은 이러한 감독을 악용하여 여러 계정을 만든 다음 맬웨어, 사기 앱 등을 업로드하는 사람들에게 해당 계정을 판매했습니다. Google 최근 업데이트 개발자 계정 생성은 새 계정에 대한 연락처 정보 확인을 요구하지만 진행 중인 문제에 대한 완전한 답변보다 괜찮은 시작입니다.

창립자 캐서린 브라운(Katherine Brown)은 "구글이 수익원을 보호하기 시작하면서 올바른 방향으로 나아가는 것"이라고 말했다. 스파이크, Lifewire와의 이메일 인터뷰에서 "또한 제거될 때 시장에 등장하는 간략하거나 악성 앱으로부터 사용자를 보호할 것입니다."

좋은 첫걸음

새로운 Google Play 개발자 계정에 연락처 정보를 확인하도록 요구함으로써 Google은 한 번에 여러 계정을 쉽게 만드는 것을 (불가능하지는 않지만) 더 어렵게 만들고 있습니다. 기존 계정에 대한 확인 옵션을 만드는 것은 합법적인 개발자를 해킹 시도 및 신원을 도용할 수 있는 가짜 계정으로부터 더 잘 보호하는 데 도움이 됩니다.

Android에서 Google의 2단계 인증을 보여주는 그림 — Google

2단계 인증도 2021년 8월로 예정되어 있으며 일단 구현되면 모든 신규 개발자 계정에 필요합니다. 추가된 장애물은 악의적인 행위자가 아직 적용되지는 않았지만 Google Play 계정 생성을 이용하는 것을 훨씬 더 어렵게 만들 것입니다(여전히 불가능하지는 않지만).

해리엇 찬(Harriet Chan) 공동 창업자는 "구글이 구현한 솔루션은 유망하며 사이버 해킹에 대처하기 좋은 출발점"이라고 말했다. 코코파인더, 이메일 인터뷰에서 "이 기술을 가능한 한 빨리 포함시키면 더 좋을 것입니다."

구글은 올해 말부터 기존 개발자 계정에 대해서도 연락처 확인과 2단계 인증을 의무화할 계획이다. 이것은 많은 사람들이 가짜 개발자 계정을 만드는 것을 막을 수 있지만 여러 버너 계정은 Google Play의 많은 문제 중 하나일 뿐입니다.

기타 모든 것

수많은 일회성 계정과 가짜 개발자 계정이 Google Play의 보안 문제에 기여했습니다. 이러한 유형의 계정 중 상당수는 사용자를 속여 합법적이라고 생각하는 악성 앱을 다운로드하거나 사기 앱을 업로드하도록 하는 데 사용되었습니다. 그러나 연락처 정보 및 2단계 인증을 추가하는 것은 앱 복제 또는 개발자 계정 도용과 같은 다른 문제를 해결하는 데별로 도움이 되지 않습니다.

여러 컴퓨터 화면 앞에서 소프트웨어 개발자 그룹의 근접 촬영 측면 보기 — 길라시아 / 게티 이미지

브라운은 "이 뉴스는 구글의 의도와 이러한 변화가 개발자와 사용자 모두에게 무엇을 의미하는지에 대한 몇 가지 질문을 제기한다"고 말했다. "(종종 스패머가 구매하는) 가짜 리뷰가 있는 가짜 앱과 같은 주제는 여전히 존재할 것입니다. Google은 한동안 상황을 강화하겠다고 약속했지만 이 최신 변경 사항은 업데이트가 언제 이루어질지에 대한 날짜만 설정했습니다."

Google의 새로운 개발자 계정 보안 조치가 확실히 도움이 될 것이지만 나머지 Google Play의 알려진 문제를 처리하기 위해 할 수 있고 해야 할 일이 더 있습니다. Brown은 개발자가 맬웨어 및 스팸 앱을 보고할 때 확인되었음을 Google에 알리고 "극단적인" 상황에서 Google이 개입하도록 할 수 있는 옵션을 제안합니다. 이렇게 하면 Google에서 악성 앱을 더 쉽게 파악하고 처리할 수 있을 뿐만 아니라 검증된 개발자가 의심스러운 앱과 계정을 보고할 수 있는 보다 안정적인 방법을 제공할 수 있습니다.

"구글이 구현한 솔루션은 유망하며 사이버 해킹에 대처하기 좋은 출발점입니다."

Chan은 계정 해킹 및 중단을 보다 직접적으로 해결하여 코드 및 얼굴 인식과 같은 더 강력한 다단계 인증 요구 사항을 제안하고자 합니다. 토큰 기반 인증 및 인증서 기반 식별은 개발자 계정에 더욱 견고한 사용자 인증을 제공하는 수단으로도 권장되었습니다. 이러한 조치는 기존 개발자 계정을 제어하는 것을 훨씬 더 어렵게 만들고 잠재적으로 악성 소프트웨어가 그들의 이름으로 업로드되는 것을 방지할 수 있습니다.

결국 Brown과 Chan은 모두 Google이 유망한 시작을 하고 있다는 데 동의하고 개발자 계정 보안 개선이 여기서 끝나지 않기를 바랍니다.