모바일 생태계에서 악용은 수익, 성장, 사용자 신뢰를 위협할 수 있습니다. 개발자가 성공할 수 있도록 Google Play는 복원력이 뛰어난 위협 감지 서비스인 Play Integrity API를 제공합니다. Play Integrity API를 사용하면 Google Play에서 설치한 인증된 Android 기기의 수정되지 않은 앱에서 비롯되는 상호작용과 서버 요청이 정품인지 확인할 수 있습니다.

Play Integrity 기능을 사용하는 앱은 다른 앱에 비해 무단 사용률이 평균 80% 적게 나타납니다. 오늘날 Uber, TikTok, Stripe, Kabam, Wooga, Radar.com, Zimperium, Paytm, Remini를 비롯한 다양한 카테고리의 리더들이 비즈니스를 보호하는 데 이 기능을 사용하고 있습니다.

Google은 Play Integrity API를 지속적으로 개선하여 통합을 더 쉽게 만들고, 정교한 공격에 더 복원력이 뛰어나며, 무결성 표준을 충족하지 않거나 새로운 Play 인앱 문제 해결 프롬프트에서 오류가 발생하는 사용자를 더 효과적으로 복구할 수 있도록 지원하고 있습니다.

비즈니스에 대한 위협 감지

Play Integrity API는 중요한 상호작용 중에 수익에 영향을 미치는 특정 위협을 감지하도록 설계된 확인 결과를 제공합니다.

• 무단 액세스: accountDetails 확인 결과는 사용자가 Google Play에서 앱 또는 게임을 설치했거나 비용을 지불했는지 확인하는 데 도움이 됩니다.
• 코드 조작: appIntegrity 확인 결과는 Google Play에서 인식하는 수정되지 않은 바이너리와 상호작용하는지 확인하는 데 도움이 됩니다.
• 위험한 기기 및 에뮬레이션된 환경: deviceIntegrity 확인 결과는 앱이 정품 Play 프로텍트 인증 Android 기기 또는 PC용 Google Play Games의 정품 인스턴스에서 실행되는지 확인하는 데 도움이 됩니다.
• 패치가 적용되지 않은 기기: Android 13 이상을 실행하는 기기의 경우 MEETS_STRONG_INTEGRITY 확인 결과의 deviceIntegrity 응답을 통해 기기에 최신 보안 업데이트가 적용되었는지 확인할 수 있습니다. 또한 deviceAttributes를 선택하여 증명된 Android SDK 버전을 응답에 포함할 수도 있습니다.
• 다른 앱의 위험한 액세스: appAccessRiskVerdict를 통해 화면을 캡처하거나, 오버레이를 표시하거나, 기기를 제어 (예: 접근성 권한 오용)하는 데 사용될 수 있는 앱이 실행 중인지 확인할 수 있습니다. 이 확인 결과는 정품 접근성 목적을 제공하는 앱을 자동으로 제외합니다.
• 알려진 멀웨어: playProtectVerdict를 통해 Google Play 프로텍트가 사용 설정되어 있는지, 기기에 위험하거나 유해한 앱이 설치되어 있는지 확인할 수 있습니다.
• 과도한 활동: recentDeviceActivity 수준을 통해 기기가 최근에 비정상적으로 많은 무결성 토큰 요청을 보냈는지 확인할 수 있습니다. 이는 자동화된 트래픽을 나타낼 수 있으며 공격의 징후일 수 있습니다.
• 반복되는 악용 및 재사용된 기기: deviceRecall (베타)은 앱을 다시 설치하거나 기기를 재설정한 경우에도 이전에 신고한 기기와 상호작용하고 있는지 확인하는 데 도움이 됩니다. 기기 회상을 사용하면 추적하려는 반복 작업을 맞춤설정할 수 있습니다.

이 API는 휴대전화, 태블릿, 폴더블, Android Auto, Android TV, Android XR, ChromeOS, Wear OS, PC용 Google Play Games를 비롯한 다양한 Android 폼 팩터에서 사용할 수 있습니다.

Play Integrity API 최대한 활용

앱과 게임은 보안 고려사항을 준수하고 악용 방지 전략에 단계적 접근 방식을 취함으로써 Play Integrity API를 통해 성공을 거두었습니다.

1단계: 보호할 항목 결정: 앱과 게임에서 확인하고 보호해야 하는 작업과 서버 요청을 결정합니다. 예를 들어 사용자가 앱을 실행하거나, 로그인하거나, 멀티플레이어 게임에 참여하거나, AI 콘텐츠를 생성하거나, 송금할 때 무결성 검사를 실행할 수 있습니다.

2단계: 무결성 확인 결과 응답 수집: 중요한 순간에 무결성 검사를 실행하여 처음에는 적용하지 않고 확인 결과 데이터 수집을 시작합니다. 이렇게 하면 설치 기반의 응답을 분석하고 기존 악용 신호 및 과거 악용 데이터와 어떤 상관관계가 있는지 확인할 수 있습니다.

3단계: 적용 전략 결정: 응답 분석 및 보호하려는 항목을 기반으로 적용 전략을 결정합니다. 예를 들어 중요한 순간에 위험한 트래픽을 변경하여 민감한 기능을 보호할 수 있습니다. API는 다양한 응답을 제공하므로 각 응답 조합에 부여하는 신뢰 수준을 기반으로 계층화된 적용 전략을 구현할 수 있습니다.

4단계: 적용을 점진적으로 출시하고 사용자 지원: 적용을 점진적으로 출시합니다. 확인 결과에 문제가 있거나 사용할 수 없는 경우 재시도 전략을 마련하고 문제가 있는 우수 사용자를 지원할 준비를 합니다. 아래에 설명된 새로운 Play 인앱 문제 해결 프롬프트를 사용하면 문제가 있는 사용자를 이전보다 쉽게 정상 상태로 되돌릴 수 있습니다.

신규: Play에서 문제가 있는 사용자를 자동으로 복구하도록 허용

다양한 무결성 신호에 대응하는 방법을 결정하는 것은 복잡할 수 있습니다. 다양한 무결성 응답과 API 오류 코드 (예: 네트워크 문제 또는 오래된 Play 서비스)를 처리해야 합니다. Google은 새로운 Play 인앱 문제 해결 프롬프트로 이 과정을 간소화하고 있습니다. 사용자에게 Google Play 프롬프트를 표시하여 앱 내에서 직접 다양한 문제를 자동으로 해결할 수 있습니다. 이렇게 하면 통합 복잡성이 줄어들고 일관된 사용자 인터페이스가 보장되며 더 많은 사용자를 정상 상태로 되돌릴 수 있습니다.

GET_INTEGRITY는 문제를 자동으로 감지하고 (이 예에서는 네트워크 오류) 해결합니다.

Play Integrity API 라이브러리 버전 1.5.0 이상에서 사용할 수 있는 GET_INTEGRITY 대화상자를 다양한 문제 후에 트리거하여 다음과 같은 필요한 수정사항을 사용자에게 자동으로 안내할 수 있습니다.

• 무단 액세스: GET_INTEGRITY는 사용자를 accountDetails의 Play 라이선스 응답으로 다시 안내합니다.
• 코드 조작: GET_INTEGRITY는 사용자를 appIntegrity의 Play 인식 응답으로 다시 안내합니다.
• 기기 무결성 문제: GET_INTEGRITY는 deviceIntegrity에서 MEETS_DEVICE_INTEGRITY 상태로 돌아가는 방법을 사용자에게 안내합니다.
• 수정 가능한 오류 코드: GET_INTEGRITY는 사용자에게 네트워크 연결을 수정하거나 Google Play 서비스를 업데이트하라는 메시지를 표시하는 등 수정 가능한 API 오류를 해결합니다.

또한 GET_STRONG_INTEGRITY (playProtectVerdict에서 알려진 멀웨어 문제가 없는 MEETS_STRONG_INTEGRITY 상태로 사용자를 되돌리는 동시에 GET_INTEGRITY와 유사하게 작동), GET_LICENSED (사용자를 Play 라이선스 및 Play 인식 상태로 되돌림), CLOSE_UNKNOWN_ACCESS_RISK 및 CLOSE_ALL_ACCESS_RISK (사용자에게 잠재적으로 위험한 앱을 닫으라는 메시지를 표시)를 비롯한 전문 대화상자를 제공합니다.

최신 무결성 솔루션 선택

Google은 Play Integrity API 외에도 전반적인 악용 방지 전략의 일부로 고려할 수 있는 여러 기능을 제공합니다. Play Integrity API와 Google Play의 자동 보호 기능은 모두 앱 배포를 보호하기 위한 사용자 환경 및 개발자 이점을 제공합니다. 기존 앱은 레거시 Play 라이선스 라이브러리를 사용하는 대신 이러한 최신 무결성 솔루션으로 이전하는 것이 좋습니다.

자동 보호:  Google Play의 자동 보호 기능으로 무단 액세스를 방지하고 사용자가 공식 앱 업데이트를 계속 받을 수 있도록 합니다. 자동 보호를 사용 설정하면 Google Play에서 개발자 통합 작업 없이 앱 코드에 설치 프로그램 검사를 자동으로 추가합니다. 보호된 앱이 다른 채널을 통해 재배포되거나 공유되는 경우 사용자에게 Google Play에서 앱을 다운로드하라는 메시지가 표시됩니다. 자격 요건을 충족하는 Google Play 개발자는 난독화 및 런타임 검사를 사용하여 공격자가 보호된 앱을 수정하고 재배포하는 것을 더 어렵고 비용이 많이 들도록 하는 Google Play의 고급 조작 방지 기능에도 액세스할 수 있습니다.

Android 플랫폼 키 증명:  Play Integrity API는 하드웨어 기반의 Android 플랫폼 키 증명을 활용하는 데 권장되는 방법입니다. Play Integrity API는 기기 생태계 전반에서 기본 구현을 처리하고, Play는 키 관련 문제 및 중단을 자동으로 완화하며, API를 사용하여 다른 위협을 감지할 수 있습니다. Play Integrity API를 사용하는 대신 키 증명을 직접 구현하는 개발자는 중단을 방지하기 위해 2026년 2월에 예정된 Android 플랫폼 루트 인증서 순환을 준비해야 합니다 (Play Integrity API를 사용하는 개발자는 아무런 조치를 취하지 않아도 됨).

Firebase 앱 체크: Firebase를 사용하는 개발자는 Firebase 앱 체크를 사용하여 인증된 Android 기기에서 Play Integrity API를 통해 제공되는 앱 및 기기 무결성 확인 결과를 다른 플랫폼 증명 제공업체의 응답과 함께 수신할 수 있습니다. 다른 모든 위협을 감지하고 다른 Play 기능을 사용하려면 Play Integrity API를 직접 통합하세요.

reCAPTCHA Enterprise: 완전한 사기 및 봇 관리 솔루션을 원하는 기업 고객은 모바일용 reCAPTCHA Enterprise를 구매할 수 있습니다. reCAPTCHA Enterprise는 Play Integrity API의 악용 방지 신호 중 일부를 사용하고 이를 reCAPTCHA 신호와 즉시 결합합니다.

지금 바로 비즈니스를 보호하세요

하드웨어 기반의 보안과 통합을 간소화하는 새로운 자동 문제 해결 대화상자를 기반으로 하는 Play Integrity API는 성장을 보호하는 데 필수적인 도구입니다.

Play Integrity API 문서로 시작하세요.