2026년 9월 안드로이드 개발자 인증 의무화, 1인 개발자는?

 

저는 요즘 혼자 집에서 개인 프로젝트를 진행 중입니다. 클로크 코드와 제미나이 덕분에 앱 개발에 걸리는 시간이 엄청 줄었거든요. 친구들한테 앱의 기능을 설명했더니 달라고 하길래 APK 파일로 말아서 카톡 단톡방에 뿌렸더니 '이거 악성앱 아니냐'고 묻더라구요. 당시엔 웃고 넘겼는데, 올해 9월부터 구글(Google)이 그 경고를 OS 레벨로 공식화합니다.

 

정확히는 2026년 9월, 브라질·인도네시아·싱가포르·태국에서 안드로이드 개발자 신원검증이 강제 시행되는데요. 한국은 공식 로드맵에 구체적 시기가 없어서 2027년 이후로 보는 시각이 많지만, 글로벌 확대 수순이라는 건 거의 확실한 흐름이에요.

 

배포 경로에 따라 영향이 전혀 다르게 적용되는 것이기 때문에, 미리 파악해두는 게 좋을 듯 합니다.

 

안드로이드 개발자 인증제, 사이드로딩 악성앱 50배가 만든 정책

구글이 공개한 수치가 있습니다. 사이드로딩 경로의 악성앱이 구글 플레이(Google Play) 경로보다 50배 이상 많다고 해요. 50배라는 수치가 어느 정도냐면, 구글 플레이에서 1년에 한 번 마주칠 위험을 사이드로딩 경로에선 한 주에 한 번꼴로 마주친다는 얘기가 됩니다.

 

사이드로딩이란 구글 플레이 외의 경로로 APK를 직접 설치하는 방식입니다. 깃허브(GitHub) 릴리즈 페이지, 개인 웹사이트, 팀 채팅방 파일 링크 등이 전부 여기에 해당해요.

 

구글 플레이에는 자동 검증 시스템이 있어서 앱을 등록하는 순간부터 악성코드 스캔이 돌아가거든요. 반면 사이드로딩 경로는 그 검증 과정을 완전히 건너뜁니다. 실제로 금융 사기에서 피해자를 강압해 악성앱을 설치시키는 패턴이 이 경로를 이용하는 일이 많은 편이에요.

 

이번 안드로이드 개발자 인증(ADC, Android Developer Credentials) 정책의 핵심은 이런 경로에 개발자 신원을 묶는 겁니다. 앱을 설치하기 전에 "이 앱을 만든 개발자가 누구인지" OS 레벨에서 확인하는 구조를 만드는 거예요.

 

구체적으로는 어드밴스드 플로우(Advanced Flow)라는 장치가 들어갑니다. 검증되지 않은 개발자의 앱을 설치하려 하면 기존 '알 수 없는 출처' 경고보다 훨씬 강한 화면이 표시되는 방식이에요. 삼성·LG 같은 공식 기기도 포함해서 안드로이드 OS 레벨로 적용되니까, 제조사나 기기 상관없이 동일하게 작동합니다.

 

 

구글 플레이만 배포하면 안드로이드 신원검증 제외

다행히 구글 플레이 단독 배포 개발자는 이번 정책 대상이 아닙니다. 플레이 콘솔(Play Console) 가입 시 이미 신원검증을 마쳤기 때문이에요. 근데 혼합 배포는 문제가 될 수밖에 없습니다.

 

구글 플레이에 올린 앱을 깃허브 릴리즈나 개인 사이트에도 함께 배포하고 있다면, 모든 경로에 신원검증이 필요해집니다. 플레이 쪽에서 이미 검증을 거쳤더라도 직배포 경로에는 ADC 신원 연결을 별도로 해야 하는 구조예요. 배포 채널을 늘릴수록 검증 의무가 같이 따라온다는 얘기입니다.

 

타임라인을 보면 이렇게 흘러갑니다.

1. 2025년 11월: 얼리 액세스(Early Access) 시작 (완료)
2. 2026년 3월: 전체 개발자 등록 시작 (진행 중)
3. 2026년 8월: 제한 배포 및 어드밴스드 플로우 전국 출시
4. 2026년 9월: 브라질·인도네시아·싱가포르·태국 강제 시행
5. 2027년 이후: 글로벌 확대 예정(한국 시기 미정)

 

 

한국 개발자는 지금 당장 의무화 대상은 아니지만, 이미 3월부터 전체 등록이 열려 있으니 더 늦기 전에 챙겨두시는 편이 좋을 겁니다. 9월 의무화 직전엔 신청자가 몰려 서류 처리나 검증이 느려질 수 있기 때문이죠.

 

제한 배포(Limited Distribution)로 ADC 신원검증 없이 배포하기

신원검증이 아직 부담스러운 상황이라면 제한 배포가 현실적인 대안이에요.

 

신원검증 없이 최대 20대 기기에 초대 링크로만 배포할 수 있는 방식입니다. 학교 과제용 앱, 사내 전용 도구, 취미 프로젝트 베타 버전처럼 소규모로 돌리는 상황에는 적당한 구조라고 볼 수 있겠습니다.

 

개인적으로는 사이드 프로젝트 초기 단계라면 제한 배포로 먼저 시작하는 게 맞다고 봅니다. ADC 신원검증은 서류 준비부터 처리 대기까지 생각보다 손이 많이 가거든요. 초기에 20대 이내 테스터로 앱을 다듬다가, 공개 배포가 필요해지는 시점에 신원검증으로 넘어가는 게 훨씬 자연스러운 흐름이에요.

 

단, 불특정 다수에게 앱을 열어야 하는 순간부터는 이 경로로는 해결이 안 됩니다. 초대 링크를 받은 사람만 설치할 수 있는 구조라서, 그 이상 성장이 목표라면 결국 신원검증을 거쳐야 해요.

 

앱 서명 키 분실 시 안드로이드 앱 업데이트 영구 차단

이번 정책에서 제가 가장 주의 깊게 보고 있는 부분이에요.

 

안드로이드 개발자 인증 시스템은 패키지 명의 소유권을 앱 서명 키(App Signing Key)의 비밀 키 소유권으로 증명하는 구조거든요. '내가 만든 앱이다'라는 사실을 '이 서명 키를 가진 사람이 나다'로 증명하는 방식입니다.

 

문제는 이 키를 잃어버리면 복구 정책이 없다는 점입니다. 같은 패키지명으로 다시 앱을 올리는 것도, 기존 사용자에게 업데이트를 내보내는 것도 전부 막혀버려요. 앱을 처음부터 다시 만들어 새 패키지명으로 올리는 것 말고는 방법이 없어지는, 정말 고통스러운 상황입니다.

 

이미 구글 플레이에서 앱을 운영 중이라면 서명 키 관리를 어느 정도 해오셨을 테지만, 직배포를 새로 추가하거나 ADC를 처음 등록하는 경우라면 한 번 더 점검해두시는 게 좋겠어요. 암호화된 백업 파일을 USB나 클라우드에 별도로 보관해두는 것, 최소한 거기서부터 시작하시면 됩니다.

 

참고로 저는 윈도우에서 사용하기 좋은 원드라이브(OneDrive)를 활용하고 있어요.

 

1인 개발자가 지금 점검해야 할 ADC 체크리스트

 

정리하면 이렇게 나뉩니다.

1. 구글 플레이만 배포 → 신경 쓸 게 없습니다. 이미 검증 완료예요.
2. 구글 플레이 + 직배포 병행 → ADC 가입 후 신원검증 필요합니다.
3. 구글 플레이 외 배포만 → ADC 가입 및 신원검증 필수입니다.

한국은 아직 의무화 시기가 정해지지 않았지만, 직배포 경로가 하나라도 있다면 등록 창구가 이미 열려 있는 지금 미리 움직이시는 게 낫습니다.

 

배포 경로와 무관하게, 앱 서명 키 백업만큼은 지금 당장 챙겨두시라고 다시 한번 강조드립니다. 키를 잃으면 그 앱의 패키지명 자체를 잃는 것과 다름없는 상황이 생기거든요. 정책이 어떻게 바뀌든 이 하나는 무조건 먼저 챙겨야 후회 없을 겁니다.

 

하나 더 말씀드리자면, 키만 챙기면 안되고, 비밀번호도 절대 잊지 않도록 따로 메모장에 적어서 같이 보관하는걸 추천드립니다. 둘 중 하나라도 없으면 결국 무용지물이니까요.