구글 플레이스토어 안전한 VPN: ‘검증됨’ 배지 – MASA 레벨2 인증 앱

Play스토어 신뢰할 수 있는 VPN 인증

앞으로 안드로이드 유저분들은 구글 ‘플레이스토어‘에서 VPN을 다운로드 받을 때 이 VPN 앱이 안전한지, 이 회사는 신뢰할 수 있는 회사인지 찾아보며 시간을 낭비하지 않아도 될 것 같습니다. 구글에서 Verified(검증됨) 배지가 달린 VPN 중에 하나를 골라서 다운로드 하면 의심이나 걱정없이 사용할 수 있을 것으로 보입니다. 성능, 가성비 등의 검증은 아니지만, 안전 및 보안 지침을 준수한 앱에 Verified 배지(Badge)를 달아줄 것이라고 합니다.

특히 무료 VPN에 의한 개인정보 유출 등 각종 피해들이 빈번했었는데 이번 Play스토어 VPN 인증 작업으로 VPN에 대해 잘 모르는 초보분들도 좀 더 안전하게 사용이 가능하게 되었습니다. VPN은 네트워크의 거의 모든 권한을 가져가기 때문에 이런 안전, 보안 관련 인증이 늦은 감이 있지만 다행이네요.

플레이스토어 Verified VPN 조건

1.구글 PlayStore 안전 및 보안 지침 준수

앱 간의 안전한 통신, 사용자 인증 강화, 네트워크 보안 조치, WebView 보안, 최소한의 권한 요청, 데이터 봏 및 저장소 보안, 최신 보안 패치 유지 등의 지침을 준수해야 합니다. – https://developer.android.com/privacy-and-security/security-best-practices?hl=ko

2.모바일 애플리케이션 보안 평가(MASA) 레벨2 통과

MASA는 Mobile Application Security Assessment의 약자로, 앱의 보안성을 강화하기 위한 심층적인 평가 단계를 의미합니다. 독립적인 보안 검토를 위해 제3의 공인된 평가 기관이 Google Play 스토어에 공개된 앱을 수동 분석해 보안 취약점을 찾아내 개발자에게 발견된 문제와 개선 방안을 직접 전달하며, 모든 요구 사항이 충족되면 검증 보고서를 Google에 제출하게 되고 그 다음 배지(Badge)를 얻을 수 있게 됩니다. https://appdefensealliance.dev/masa/masa-al2

MASA Level 2 문서에 의하면 개발자가 공인된 평가 기관에 연락해서 평가를 받고 비용 결제와 필요한 서류가 모두 접수되면 평가가 진행되며, 취약점 문제가 있으면 60일내에 해결해야하고, 문제가 없으면 Google에 ‘검증 보고서’를 제출하게되며 개발자는 Google Play Store Data Safety 섹션에서 “독립 보안 검토 완료” 배지 활성화 가능이 가능합니다.

MASA는 App Defense Alliance(ADA)를 통해 진행되는 프로젝트로서 전 세계 수십억 명의 사람들이 다운로드하는 앱의 보안을 보장하는 것을 목표로 합니다. 이 단체의 운영위원회는 구글, 메타, 마이크로소프트가 포함되어 있습니다.

새로운 보안 표준인 ADA ASA(Application Security Assessment)는 Linux Foundation(리눅스 재단) 계열 조직인 Joint Development Foundation의 방식을 기반으로 개발되었다고 합니다. https://github.com/appdefensealliance/ASA-WG/tree/v1.0 이 문서에서도 좀 더 자세한 내용을 확인하실 수 있습니다.

3.구글 플레이스토어 조건 충족

MASA 레벨2 충족 이후 아래의 조건을 충족해야 합니다.

• Google Play 앱에 대한 대상 API 레벨 요구 사항 충족
• 최소 10,000건의 설치와 250건의 리뷰
• 최소 90일 동안 Google Play에 게시
• 데이터 보안 섹션 선언을 제출하고 다음을 선택합니다.
  • ‘추가 배지’에 따른 독립적인 보안 검토
  • 전송 중 암호화

요약

여기까지 짧지 않은 글을 읽으신 후 머릿속에서 정리가 명확하게 되지 않을 수 있습니다.

• MASA는 Mobile App Security Assessment의 약자
• 모바일 앱의 보안 수준을 평가하고 검증하는 프로그램
• Google Play 스토어에서 앱에 주로 적용 됨
• MASA 목표
  • 개발자는 앱을 리뷰해 취약점을 파악 및 개선점을 파악해 보안 리스크를 관리할 수 있음.
  • 사용자는 MASA라는 독립 보안 검토 인증(배지)을 신뢰도 높은 기준 중 하나로 삼을 수 있음.
• MASA 레벨 차이
  • MASA Level 1 (AL1 – Assurance Level 1) – 기본적인 수준으로 배지 안 줌.
  • MASA Level 2 (AL2 – Assurance Level 2) – ‘독립적 보안 검토 배지‘를 얻을 수 있는 레벨로 3천달러에서 6천달러 정도의 비용이 든다고 함. 플레이스토어 개발자와 앱 MASA LV.2를 목표로 함.
  • MASA Level 3 (AL3 – Assurance Level 3) – 레벨3는 정부 시스템, 민감한 건강 정보, 금융 정보 등 매우 민감한 정보를 다루는 분야의 앱을 위한 최고 수준의 보안 보증이며, 안드로이드 Play스토어에 올라오는 앱들 대부분은 이 수준의 인증을 받을 필요는 없음.

결론

Verified 마크를 얻으려면 돈을 써야하고, 공신력있는 외부 조직으로부터 검증, 거기다 구글이 제시하는 몇 가지 조건까지 모두 충족해야 배지를 얻을 수 있기 때문에 그동안 명확한 개발자/개발사에 대한 정보도 얻을 수 없었던 정체불명의 신뢰할 수 없던 VPN들을 쉽게 걸러낼 수 있는 좋은 장치가 될 것 같습니다.

어렵게 생각하실 것 없고, 사용하는 앱의 ‘데이터 보안’ 부분에 “독립적인 보안 검토를 거침“과 별 방패 아이콘이 있다면 돈과 시간 들여서 안전함을 증명하려고 노력했고, 통과했구나 라고 생각하시면 되겠습니다. 물론 최소 3년 이상 지켜보고 MASA 레벨2 인증받은 앱들이 대부분 안전한지 지켜봐야겠지만, 저의 관점에서는 충분히 신뢰할 수 있는 기준 중 하나라고 생각됩니다.