6월 3일의 ⁠#Android11: 베타 버전 출시 행사에 참여하세요.

앱 보안 개선 프로그램

앱 보안 개선 프로그램은 앱의 보안을 개선하기 위해 Google Play 앱 개발자에게 제공되는 서비스입니다. 이 프로그램에서는 더 안전한 앱을 제작하기 위한 도움말과 권장사항을 알아보고, Google Play에 앱을 업로드할 때 보안을 개선하는 방법을 파악합니다. 현재까지 개발자들이 본 프로그램을 통해 Google Play에서 1,000,000개 이상의 앱을 수정했습니다.

작동 방식

Google은 Google Play에서 앱을 승인하기 이전에 잠재적인 보안 문제를 비롯한 앱의 안전과 보안을 검사합니다. 또한 Google Play에서 100만 개가 넘는 앱을 지속적으로 다시 검사하여 추가적인 위협이 있는지 확인합니다.

앱이 잠재적 보안 문제로 신고된 경우 문제를 신속하게 해결하여 사용자를 안전하게 보호할 수 있도록 개발자에게 즉시 알려 드립니다. 앱 개선 방법을 자세히 알려 주는 지원 페이지 링크가 포함된 알림을 이메일과 Google Play Console을 통해 제공합니다.

개선사항을 사용자에게 최대한 빨리 제공하기 위해 일반적으로 이러한 알림에는 일정이 포함되어 있습니다. 일부 문제의 경우 Google은 개발자에게 업데이트를 게시하기 전에 앱의 보안을 개선하도록 요구할 수 있습니다.

새 버전의 앱을 Google Play Console에 업로드하여 문제가 완전히 해결되었는지 확인할 수 있습니다. 이때 수정된 앱의 버전 번호를 올려야 합니다. 몇 시간 후 Play Console에서 보안 알림을 확인하여 더 이상 알림이 없으면 모든 준비가 완료된 것입니다.

Play Console에 표시되는 앱의 보안 개선 알림 예

참여하기

이 프로그램의 성공은 Google Play의 앱 개발자 및 보안 커뮤니티와 Google의 파트너 관계에 달려 있습니다. 안전하고 보안이 철저한 앱을 사용자에게 제공하는 것은 우리 모두의 책임입니다. 의견이나 질문이 있다면 Google Play 개발자 고객센터로 문의해 주시기 바랍니다. 앱의 잠재적 보안 문제를 보고하려면 security+asi@android.com으로 문의해 주세요.

캠페인 및 문제해결

Google Play에서 개발자에게 신고된 최근 보안 문제는 다음과 같습니다. 취약점 및 문제해결 세부정보는 각 캠페인의 지원 페이지 링크에서 확인할 수 있습니다.

표 1: 경고 캠페인과 관련 문제해결 기한

캠페인 시작됨 지원 페이지
인텐트 리디렉션 2019년 5월 16일 지원 페이지
자바스크립트 인터페이스 삽입 2018년 12월 4일 지원 페이지
스키마 계정 도용 2018년 11월 15일 지원 페이지
교차 앱 스크립팅 2018년 10월 30일 지원 페이지
파일 기반 교차 사이트 스크립팅 2018년 6월 5일 지원 페이지
SQL 삽입 2018년 6월 4일 지원 페이지
경로 순회 2017년 9월 22일 지원 페이지
안전하지 않은 호스트 이름 확인 2016년 11월 29일 지원 페이지
프래그먼트 삽입 2016년 11월 29일 지원 페이지
Supersonic Ad SDK 2016년 9월 28일 지원 페이지
Libpng 2016년 6월 16일 지원 페이지
Libjpeg-turbo 2016년 6월 16일 지원 페이지
Vpon Ad SDK 2016년 6월 16일 지원 페이지
Airpush Ad SDK 2016년 3월 31일 지원 페이지
MoPub Ad SDK 2016년 3월 31일 지원 페이지
OpenSSL('logjam' 및 CVE-2015-3194, CVE-2014-0224) 2016년 3월 31일 지원 페이지
TrustManager 2016년 2월 17일 지원 페이지
AdMarvel 2016년 2월 8일 지원 페이지
Libupup(CVE-2015-8540) 2016년 2월 8일 지원 페이지
Apache Cordova(CVE-2015-5256, CVE-2015-1835) 2015년 12월 14일 지원 페이지
Vitamio Ad SDK 2015년 12월 14일 지원 페이지
GnuTLS 2015년 10월 13일 지원 페이지
Webview SSLErrorHandler 2015년 7월 17일 지원 페이지
Vungle Ad SDK 2015년 6월 29일 지원 페이지
Apache Cordova(CVE-2014-3500, CVE-2014-3501, CVE-2014-3502) 2015년 6월 29일 지원 페이지

표 2: 경고 전용 캠페인(문제해결 기한 없음).

캠페인 시작됨 지원 페이지
Zipfile 경로 순회 2019년 5월 21일 지원 페이지
삽입된 Foursquare OAuth 토큰 2016년 9월 28일 지원 페이지
삽입된 Facebook OAuth 토큰 2016년 9월 28일 지원 페이지
Google Play 결제 가로채기 2016년 7월 28일 지원 페이지
삽입된 Google 갱신 토큰 OAuth 2016년 7월 28일 지원 페이지
개발자 URL 유출 사용자 인증 정보 2016년 6월 16일 지원 페이지
삽입된 키 저장소 파일 2014년 10월 2일
Amazon Web Services 삽입된 사용자 인증 정보 2014년 6월 12일