커스텀 ROM에 뱅킹 앱이 없나요? 이 새로운 이니셔티브가 도움이 될 수 있습니다.
Source: Android Authority
C. Scott Brown / Android Authority
TL;DR
- UnifiedAttestation라는 새로운 유럽 이니셔티브는 Google의 Play Integrity 검증에 대한 오픈‑소스 대안을 만들고자 합니다.
- 많은 은행, 금융, 정부 앱이 보안 수단으로 Play Integrity 검증을 사용하지만, 이 검증은 커스텀 ROM에서는 사용할 수 없습니다.
- 이 이니셔티브는 스마트폰 제조사 Volla와 Murena와 같은 파트너들의 지원을 받고 있습니다.
커스텀 ROM의 문제점
커스텀 ROM이나 Google이 없는 Android 버전을 사용하는 가장 큰 문제 중 하나는 은행 및 기타 금융 앱이 제대로 동작하지 않는다는 점입니다. 대부분의 이러한 앱은 사기 방지와 사용자 보호를 위해 Google의 Play Integrity API에 의존합니다. 안타깝게도 이 API는 일반적으로 커스텀 ROM이나 Google이 없는 Android 포크를 지원하지 않습니다.
UnifiedAttestation: 오픈‑소스 대안
UnifiedAttestation(출처: Heise)이라는 새로운 유럽 이니셔티브는 Google의 Play Integrity 검증에 대한 자유롭고 오픈‑소스 대안을 구축하고자 합니다. 이 이니셔티브는 스마트폰 제조사 Volla가 주도하고, /e/OS 제작사 Murena, iodé OS 팀 등도 파트너로 참여하고 있습니다. 해당 기능은 Apache 2.0 라이선스로 배포될 예정입니다.
많은 은행, 금융, 정부 앱이 Play Integrity API 지원이 없기 때문에 커스텀 ROM을 지원하지 않습니다. UnifiedAttestation은 이 문제를 해결할 가능성이 있지만, 앱 개발자가 직접 이 대안을 채택해야 합니다. 즉, 은행 앱이 바로 작동할 것이라고 기대하면 안 됩니다. Volla는 “몇 줄의 코드만으로” 앱에 이 기능을 추가할 수 있다고 주장하며, 컨소시엄 회원들은 서로의 운영체제와 디바이스 모델을 동료 검토 과정을 통해 검증하고 인증할 것이라고 말합니다.
커스텀 ROM 사용을 막는 요인은?
모두가 UnifiedAttestation을 환영하는 것은 아닙니다. Graphene OS 팀은 Mastodon(출처: r/android)에서 이 이니셔티브를 비판하며(https://grapheneos.social/@GrapheneOS/116200110686604617), 스마트폰 제조사가 앱을 위해 사용할 수 있는 운영체제를 결정해서는 안 된다고 주장했습니다.
“Play Integrity API는 기업이 자체 제품은 허용하고 다른 제품은 금지하는 또 다른 시스템을 만들기보다, 존재 자체를 규제해서 사라지게 해야 합니다.” 팀은 이렇게 설명했습니다. “Google이 할 때도, Volla와 Murena가 할 때도 법적으로 허용돼서는 안 됩니다. 이것은 잘못된 일입니다.”
UnifiedAttestation에도 반대 의견이 있지만, 커스텀 ROM이나 Google이 없는 Android OS에서 민감한 앱을 실행할 수 있는 몇 안 되는 방법 중 하나일 수 있습니다. 우리는 이 이니셔티브가 어떻게 전개되는지 주시할 것입니다.