구글 플레이스토어 안전한 VPN: ‘검증됨’ 배지 – MASA 레벨2 인증 앱

Hours 첫 작성 : Hours 업데이트 :
Comments 5 Comments

Play스토어 신뢰할 수 있는 VPN 인증

앞으로 안드로이드 유저분들은 구글 ‘플레이스토어‘에서 VPN을 다운로드 받을 때 이 VPN 앱이 안전한지, 이 회사는 신뢰할 수 있는 회사인지 찾아보며 시간을 낭비하지 않아도 될 것 같습니다. 구글에서 Verified(검증됨) 배지가 달린 VPN 중에 하나를 골라서 다운로드 하면 의심이나 걱정없이 사용할 수 있을 것으로 보입니다. 성능, 가성비 등의 검증은 아니지만, 안전 및 보안 지침을 준수한 앱에 Verified 배지(Badge)를 달아줄 것이라고 합니다.

특히 무료 VPN에 의한 개인정보 유출 등 각종 피해들이 빈번했었는데 이번 Play스토어 VPN 인증 작업으로 VPN에 대해 잘 모르는 초보분들도 좀 더 안전하게 사용이 가능하게 되었습니다. VPN은 네트워크의 거의 모든 권한을 가져가기 때문에 이런 안전, 보안 관련 인증이 늦은 감이 있지만 다행이네요.

플레이스토어 Verified VPN 조건

1.구글 PlayStore 안전 및 보안 지침 준수

앱 간의 안전한 통신, 사용자 인증 강화, 네트워크 보안 조치, WebView 보안, 최소한의 권한 요청, 데이터 봏 및 저장소 보안, 최신 보안 패치 유지 등의 지침을 준수해야 합니다. – https://developer.android.com/privacy-and-security/security-best-practices?hl=ko

2.모바일 애플리케이션 보안 평가(MASA) 레벨2 통과

MASA는 Mobile Application Security Assessment의 약자로, 앱의 보안성을 강화하기 위한 심층적인 평가 단계를 의미합니다. 독립적인 보안 검토를 위해 제3의 공인된 평가 기관이 Google Play 스토어에 공개된 앱을 수동 분석해 보안 취약점을 찾아내 개발자에게 발견된 문제와 개선 방안을 직접 전달하며, 모든 요구 사항이 충족되면 검증 보고서를 Google에 제출하게 되고 그 다음 배지(Badge)를 얻을 수 있게 됩니다. https://appdefensealliance.dev/masa/masa-al2

MASA Level 2 문서에 의하면 개발자가 공인된 평가 기관에 연락해서 평가를 받고 비용 결제와 필요한 서류가 모두 접수되면 평가가 진행되며, 취약점 문제가 있으면 60일내에 해결해야하고, 문제가 없으면 Google에 ‘검증 보고서’를 제출하게되며 개발자는 Google Play Store Data Safety 섹션에서 “독립 보안 검토 완료” 배지 활성화 가능이 가능합니다.

MASA는 App Defense Alliance(ADA)를 통해 진행되는 프로젝트로서 전 세계 수십억 명의 사람들이 다운로드하는 앱의 보안을 보장하는 것을 목표로 합니다. 이 단체의 운영위원회는 구글, 메타, 마이크로소프트가 포함되어 있습니다.

새로운 보안 표준인 ADA ASA(Application Security Assessment)는 Linux Foundation(리눅스 재단) 계열 조직인 Joint Development Foundation의 방식을 기반으로 개발되었다고 합니다. https://github.com/appdefensealliance/ASA-WG/tree/v1.0 이 문서에서도 좀 더 자세한 내용을 확인하실 수 있습니다.

3.구글 플레이스토어 조건 충족

MASA 레벨2 충족 이후 아래의 조건을 충족해야 합니다.

  • Google Play 앱에 대한 대상 API 레벨 요구 사항 충족
  • 최소 10,000건의 설치와 250건의 리뷰
  • 최소 90일 동안 Google Play에 게시
  • 데이터 보안 섹션 선언을 제출하고 다음을 선택합니다.
    • ‘추가 배지’에 따른 독립적인 보안 검토
    • 전송 중 암호화

결론

Verified 마크를 얻으려면 돈을 써야하고, 공신력있는 외부 조직으로부터 검증, 거기다 구글이 제시하는 몇 가지 조건까지 모두 충족해야 배지를 얻을 수 있기 때문에 그동안 명확한 개발자/개발사에 대한 정보도 얻을 수 없었던 정체불명의 신뢰할 수 없던 VPN들을 쉽게 걸러낼 수 있는 좋은 장치가 될 것 같습니다.

글 작성 시점에서 탑티어 VPN 회사 중에선 NordVPN 하나만 인증된 상태라고 합니다. 그 외에 hide.me 그리고 Aloha가 먼저 받았다고 하네요. 앞으로 금방 늘어나겠죠.

5 Comments

  2. 독립적인 보안 검토를 거침 이라면 proton같은 신용성있는 회사부터 터보, 터너베어같은 좀 그런 회사도 있는 경우가 있네요.

    응답

    1. 각 회사가 받는 제3자 감사와는 다르게 또 다른 인증이라고 보시면 되는데요. 일단 받으면 무조건 좋다고 생각합니다.

      응답

    1. 그러니까요 아무나 찍어 만들어 내놓는 VPN 문제가 하루이틀 문제가 아니었는데 말이죠

      응답

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다