Flutter 보안: 왜 `isMockLocation`이 2026년에 사라졌는가 (그리고 해결 방법)
Source: Dev.to
Flutter로 물류, 라이드‑쉐어링, 혹은 현장 출석 앱을 개발하고 있다면, 다음 코드를 한 번쯤은 작성했을 것입니다:
if (location.isMock) {
// Block user
}5년 전만 해도 이것만으로 충분했습니다. 2026년 현재, 이것은 보안 연극에 불과합니다.
비즈니스가 정확한 위치 데이터(배송 추적, 출퇴근 시스템 등)에 의존한다면, isMockLocation에만 의존하는 것은 비용을 초래하고 있습니다.
문제: “고양이와 쥐” 게임
Flutter의 표준 위치 패키지는 일반적으로 android.location.Location.isFromMockProvider() 플래그를 확인합니다. 최신 스푸핑 도구가 발전하면서 오늘날 사용자는 다음과 같은 방법을 사용할 수 있습니다:
- Magisk가 설치된 루팅된 기기: 루트 상태를 OS에 숨기는 모듈.
- Smali Patcher: Android 프레임워크를 패치하여 모의 위치 검사를 항상
false를 반환하도록 하는 도구. - 고급 에뮬레이터: BlueStacks 또는 물리적 GPS 하드웨어 신호를 시뮬레이션하는 커스텀 Android 빌드.
이러한 시나리오에서 앱은 OS에 묻습니다: “이게 가짜인가요?”
손상된 OS는 이렇게 답합니다: “아니요, 믿으세요.”
그 결과 백엔드는 사기성 데이터를 받아들이게 됩니다.
해결책: 디바이스를 신뢰하지 마세요
디바이스가 스스로를 검증하도록 의존할 수 없습니다. Google Play Integrity API(이전 이름: SafetyNet)와 같은 상위 권한을 사용하세요.
챌린지‑응답 흐름
- 챌린지: 백엔드가 고유한 무작위 문자열(논스)을 보냅니다.
- 증명: Flutter 앱이 이 논스를 Google Play Integrity API에 전달합니다.
- 토큰: Google이 디바이스 바이너리, 부트로더, GPS 하드웨어를 분석하고 암호화된 토큰을 반환합니다.
- 판단: 앱이 토큰을 백엔드에 보내면, 백엔드가 Google 공개키로 복호화하여 다음을 확인합니다:
- 앱 바이너리가 수정되지 않았음.
- 디바이스가 실제 물리적이며 에뮬레이터가 아님.
- 위치가 실제일 가능성이 높음.
구현의 고통
Flutter에서 이를 구현하려면 다음이 필요합니다:
- Google Cloud 프로젝트 설정.
- Android(Play Integrity)와 iOS(DeviceCheck)를 위한 플랫폼 채널 처리.
- 백엔드(Node, Go, Python)에서 토큰 복호화 관리.
- 타임아웃 및 재시도 로직 처리.
“Easy Button”: Geo‑Engine 소개
통합을 간소화하기 위해 Geo‑Engine을 만들었습니다. 이 재사용 가능한 Flutter SDK는 무결성 핸드셰이크를 네이티브로 처리합니다. 위치 추적을 시작하기 전에 디바이스 무결성을 검증합니다.
코드 예시
import 'package:geo_engine/geo_engine.dart';
import 'package:flutter/widgets.dart';
void main() async {
WidgetsFlutterBinding.ensureInitialized();
// 1. Initialize the local buffer (Hive)
await GeoEngine.initialize();
runApp(MyApp());
}
// ... inside your service or controller ...
class LocationService {
late GeoEngine _engine;
void init() {
// 2. Configure the Engine with your credentials
_engine = GeoEngine(
apiKey: "YOUR_PROJECT_API_KEY",
// Crucial: Enables Google Play Integrity on Android
androidCloudProjectNumber: "1234567890",
debug: true,
);
}
// 3. When you get a location update (e.g. from geolocator)
Future onLocationUpdate(double lat, double lng) async {
// 4. Send it securely.
// The SDK automatically handles:
// - Offline buffering (if network is lost)
// - Attaching the Integrity Token (X-Device-Integrity header)
// - Batching updates to save battery
await _engine.sendLocation(
deviceId: "user_123",
latitude: lat,
longitude: lng,
);
}
}Geo‑Engine은 기존 위치 제공자(geolocator, location 등)와 함께 작동하며, 데이터를 오프라인으로 버퍼링하고 무결성 토큰을 자동으로 생성하며, 디바이스가 검증된 경우에만 서버로 데이터를 전송하는 안전한 “미들웨어” 역할을 합니다.
결론
앱이 결제나 기타 민감한 위치 기반 작업을 처리한다면 isMockLocation 같은 클라이언트‑사이드 플래그에 의존하는 것은 취약점입니다. Server‑Side Integrity Validation 로 전환하는 것이 2026년 업계 표준입니다. 직접 통합을 구현하든 geo_engine 같은 패키지를 사용하든, 보안 레이어를 업그레이드하는 것은 선택이 아니라 필수입니다.
📦 Pub.dev에서 Geo‑Engine 확인하기: https://pub.dev/packages/geo_engine_sdk
코딩 즐겁게, 보안은 지키세요!