유럽 컨소시엄, 구글 플레이 인테그리티에 대한 오픈소스 대안을 원한다
Source: Slashdot
Introduction
익명의 독자가 Heise의 보고서를 인용합니다: 구글 서비스 없이 안드로이드 스마트폰으로 안전하게 결제하세요. 이는 독일 Volla Systeme GmbH가 이끄는 신설 산업 컨소시엄이 개발 중인 계획입니다. 이 컨소시엄은 구글 플레이 서비스가 탑재된 안드로이드 스마트폰에서 은행, 정부, 지갑 앱의 실행 여부를 판단하는 독점 인터페이스인 Google Play Integrity에 대한 오픈‑소스 대안을 만들고자 합니다.
Background
공식 구글 서비스 없이 안드로이드 스마트폰으로 결제할 때의 장애물과 팁은 c’t가 포괄적인 기사에서 강조했습니다. 이제 유럽 산업 컨소시엄이 그 중 일부 문제를 해결하려 합니다.
Consortium Members
이 그룹에는 다음이 포함됩니다:
- Volla Systeme GmbH (독일)
- Murena – 하드닝된 커스텀 ROM /e/OS 개발자
- Iode (프랑스)
- Apostrophy (Dot) (스위스)
추가로 유럽 제조업체, 주요 아시아 제조업체, 그리고 독일 UBports Foundation과 같은 유럽 재단들의 관심도 표명되었습니다. 스칸디나비아 정부 앱의 개발자와 퍼블리셔도 이 새로운 절차를 “선도 기업”으로 검토하고 있습니다.
Unified Attestation
컨소시엄은 주로 Android Open‑Source Project (AOSP)를 기반으로 한 Google‑free 모바일 운영 체제를 위한 UnifiedAttestation 를 개발하고 있습니다.
What it replaces
Google은 앱 개발자에게 Play Integrity 라는 인터페이스를 제공하는데, 이는 앱이 특정 보안 요구 사항을 충족하는 기기에서 실행되고 있는지를 확인합니다. 이는 주로 “신원 확인, 은행 업무, 디지털 지갑 등 민감한 영역”에 해당하는 애플리케이션에 영향을 미칩니다(정부 및 공공 행정 앱 포함).
Criticism of the current system
컨소시엄은 인증이 Google의 독점 “Stock Android”에만 제공되고, Google 서비스가 없는 Android 버전(예: /e/OS 또는 유사 커스텀 ROM)에는 제공되지 않는다고 주장합니다. 검증이 Google 서비스와 데이터 센터에 밀접하게 결합돼 있기 때문에 구조적인 의존성이 생겨 대체 운영 체제에 대한 사실상의 배제 기준이 됩니다. 이는 “보안 역설”을 초래합니다: 신뢰성 검증이 바로 대안을 회피하려는 바로 그 기업에 의해 수행되는 것입니다.
Core components
- Operating system service – 앱이 이 서비스를 호출해 기기의 OS가 요구되는 보안 표준을 충족하는지 확인합니다.
- Decentralized validation service – 단일 중앙 권한에 의존하지 않고 기기에서 OS 인증서를 검증합니다.
- Open test suite – 특정 운영 체제가 특정 디바이스 모델에서 안전하게 작동함을 평가하고 인증하는 데 사용됩니다.
Statements from the Consortium
“우리는 신뢰를 중앙집중화하고 싶지 않으며, 투명하고 공개적으로 검증 가능한 방식으로 조직하고자 합니다. 기업들이 경쟁사의 제품을 검증할 때, 우리는 그 신뢰를 강화할 수 있습니다.”라고 Dr. Jorg Wurzer, Volla Systeme GmbH CEO이자 컨소시엄 발의자는 말합니다.
이 목표는 디지털 주권을 강화하고 단일 미국 기업의 통제에서 벗어나는 것입니다.