모바일 생태계에서 악용은 수익, 성장, 사용자 신뢰를 위협할 수 있습니다. 개발자가 성공할 수 있도록 Google Play는 복원력 있는 위협 감지 서비스인 Play Integrity API를 제공합니다. Play Integrity API를 사용하면 상호작용과 서버 요청이 인증된 Android 기기에서 Google Play에 의해 설치된 수정되지 않은 앱에서 실제로 발생했는지를 확인할 수 있습니다.

Play Integrity 기능을 사용하는 앱은 다른 앱에 비해 무단 사용률이 평균 80% 적게 나타납니다. 오늘날 Uber, TikTok, Stripe, Kabam, Wooga, Radar.com, Zimperium, Paytm, Remini 등 다양한 카테고리의 리더들이 비즈니스를 보호하기 위해 이 도구를 사용하고 있습니다.

Google에서는 Play Integrity API를 지속적으로 개선하여 통합을 간소화하고, 정교한 공격에 대한 복원력을 높이고, 무결성 표준을 충족하지 않거나 오류가 발생하는 사용자를 새로운 Play 인앱 수정 프롬프트로 더 효과적으로 복구할 수 있도록 지원하고 있습니다.

비즈니스에 대한 위협 감지

Play Integrity API는 중요한 상호작용 중에 수익에 영향을 미치는 특정 위협을 감지하도록 설계된 확인 결과를 제공합니다.

• 무단 액세스: accountDetails 평결은 사용자가 Google Play에서 앱 또는 게임을 설치하거나 결제했는지 확인하는 데 도움이 됩니다.
• 코드 조작: appIntegrity 평결은 Google Play에서 인식하는 수정되지 않은 바이너리와 상호작용하는지 확인하는 데 도움이 됩니다.
• 위험한 기기 및 에뮬레이션된 환경: deviceIntegrity 확인 결과를 통해 앱이 정품 Play 프로텍트 인증 Android 기기 또는 정품 PC용 Google Play 게임즈 인스턴스에서 실행되는지 확인할 수 있습니다.
• 패치가 적용되지 않은 기기: Android 13 이상을 실행하는 기기의 경우 deviceIntegrity 평결의 MEETS_STRONG_INTEGRITY 응답을 통해 기기에 최근 보안 업데이트가 적용되었는지 확인할 수 있습니다. deviceAttributes를 선택하여 증명된 Android SDK 버전을 응답에 포함할 수도 있습니다.
• 다른 앱의 위험한 액세스: appAccessRiskVerdict를 사용하면 접근성 권한을 오용하는 등 화면을 캡처하거나, 오버레이를 표시하거나, 기기를 제어하는 데 사용될 수 있는 앱이 실행 중인지 확인할 수 있습니다. 이 확인 결과는 진정한 접근성 목적을 제공하는 앱을 자동으로 제외합니다.
• 알려진 멀웨어: playProtectVerdict를 사용하면 Google Play 프로텍트가 사용 설정되어 있는지, 기기에 위험한 앱이 설치되어 있는지 확인할 수 있습니다.
• 과도한 활동: recentDeviceActivity 수준을 사용하면 기기가 최근에 비정상적으로 많은 무결성 토큰 요청을 보냈는지 확인할 수 있습니다. 이는 자동화된 트래픽을 나타낼 수 있으며 공격의 징후일 수 있습니다.
• 반복되는 악용 및 재사용된 기기: deviceRecall (베타)를 사용하면 앱이 다시 설치되었거나 기기가 재설정된 경우에도 이전에 신고한 기기와 상호작용하고 있는지 확인할 수 있습니다. 기기 회상을 사용하면 추적할 반복 작업을 맞춤설정할 수 있습니다.

이 API는 휴대전화, 태블릿, 폴더블, Android Auto, Android TV, Android XR, ChromeOS, Wear OS, PC용 Google Play 게임즈를 비롯한 다양한 Android 폼 팩터에서 사용할 수 있습니다.

Play Integrity API 최대한 활용하기

앱과 게임은 보안 고려사항을 따르고 악용 방지 전략에 단계별 접근 방식을 취하여 Play Integrity API로 성공을 거두었습니다.

1단계: 보호할 항목 결정: 앱과 게임에서 확인하고 보호해야 하는 작업과 서버 요청을 결정합니다. 예를 들어 사용자가 앱을 실행하거나, 로그인하거나, 멀티플레이어 게임에 참여하거나, AI 콘텐츠를 생성하거나, 돈을 송금할 때 무결성 검사를 실행할 수 있습니다.

2단계: 무결성 평결 응답 수집: 중요한 순간에 무결성 검사를 실행하여 처음에는 강제 적용 없이 평결 데이터를 수집합니다. 이렇게 하면 설치 기반의 응답을 분석하고 기존 악용 신호 및 이전 악용 데이터와 어떤 상관관계가 있는지 확인할 수 있습니다.

3단계: 시정 조치 전략 결정: 대답 분석 결과와 보호하려는 대상을 기반으로 시정 조치 전략을 결정합니다. 예를 들어 중요한 순간에 위험한 트래픽을 변경하여 민감한 기능을 보호할 수 있습니다. API는 다양한 응답을 제공하므로 각 응답 조합에 부여하는 신뢰도 수준에 따라 단계별 시행 전략을 구현할 수 있습니다.

4단계: 점진적으로 시행하고 사용자 지원하기: 점진적으로 시행합니다. 평결에 문제가 있거나 평결을 사용할 수 없는 경우 재시도 전략을 마련하고 문제가 있는 우수 사용자를 지원할 준비를 하세요. 아래에 설명된 새로운 Play 인앱 해결 프롬프트를 사용하면 문제가 있는 사용자를 이전보다 쉽게 정상 상태로 되돌릴 수 있습니다.

새로운 기능: Play에서 문제가 있는 사용자를 자동으로 복구하도록 허용

다양한 무결성 신호에 응답하는 방법을 결정하는 것은 복잡할 수 있습니다. 다양한 무결성 응답과 API 오류 코드 (예: 네트워크 문제 또는 오래된 Play 서비스)를 처리해야 하기 때문입니다. 새로운 Play 인앱 수정 프롬프트를 통해 이 과정을 간소화하고 있습니다. 사용자에게 Google Play 프롬프트를 표시하여 앱 내에서 다양한 문제를 자동으로 수정할 수 있습니다. 이렇게 하면 통합 복잡성이 줄어들고 일관된 사용자 인터페이스가 보장되며 더 많은 사용자가 정상 상태로 돌아갈 수 있습니다.

GET_INTEGRITY는 문제를 자동으로 감지하고 (이 예에서는 네트워크 오류) 해결합니다.

Play Integrity API 라이브러리 버전 1.5.0 이상에서 제공되는  GET_INTEGRITY 대화상자를 다양한 문제 후에 트리거하여 다음과 같은 필요한 수정사항을 통해 사용자를 자동으로 안내할 수 있습니다.

• 무단 액세스: GET_INTEGRITY는 사용자를 accountDetails의 Play 라이선스 응답으로 안내합니다.
• 코드 조작: GET_INTEGRITY는 사용자를 appIntegrity의 Play 인식 응답으로 다시 안내합니다.
• 기기 무결성 문제: GET_INTEGRITY는 deviceIntegrity에서 MEETS_DEVICE_INTEGRITY 상태로 돌아가는 방법을 사용자에게 안내합니다.
• 수정 가능한 오류 코드: GET_INTEGRITY는 사용자에게 네트워크 연결을 수정하거나 Google Play 서비스를 업데이트하라는 메시지를 표시하는 등 수정 가능한 API 오류를 해결합니다.

또한  GET_STRONG_INTEGRITY (playProtectVerdict에서 알려진 멀웨어 문제가 없는 상태에서 사용자를 MEETS_STRONG_INTEGRITY 상태로 되돌리면서 GET_INTEGRITY와 유사하게 작동함), GET_LICENSED (사용자를 Play 라이선스 및 Play 인식 상태로 되돌림), CLOSE_UNKNOWN_ACCESS_RISK 및 CLOSE_ALL_ACCESS_RISK (사용자에게 잠재적으로 위험한 앱을 닫으라는 메시지를 표시함)와 같은 특수 대화상자도 제공합니다.

최신 무결성 솔루션 선택

Google에서는 Play Integrity API 외에도 전반적인 악용 방지 전략의 일부로 고려할 수 있는 여러 기능을 제공합니다. Play Integrity API와 Google Play의 자동 보호 기능은 모두 앱 배포를 보호하기 위한 사용자 환경과 개발자 혜택을 제공합니다. 기존 앱은 기존 Play 라이선스 라이브러리를 사용하는 대신 이러한 최신 무결성 솔루션으로 이전하는 것이 좋습니다.

자동 보호: Google Play의 자동 보호로 무단 액세스를 방지하고 사용자가 공식 앱 업데이트를 계속 받을 수 있도록 합니다. 이 기능을 사용 설정하면 Google Play에서 개발자 통합 작업 없이 앱 코드에 설치 프로그램 검사를 자동으로 추가합니다. 보호된 앱이 다른 채널을 통해 재배포되거나 공유되면 사용자에게 Google Play에서 앱을 다운로드하라는 메시지가 표시됩니다. 자격 요건을 충족하는 Play 개발자는 난독화 및 런타임 검사를 사용하여 공격자가 보호된 앱을 수정하고 재배포하는 것을 더 어렵고 비용이 많이 들게 하는 Play의 고급 조작 방지 기능도 이용할 수 있습니다.

Android 플랫폼 키 증명: Play Integrity API는 하드웨어 지원 Android 플랫폼 키 증명을 활용하는 데 권장되는 방법입니다. Play Integrity API는 기기 생태계 전반에서 기본 구현을 처리하고, Play는 키 관련 문제와 서비스 중단을 자동으로 완화하며, 개발자는 API를 사용하여 다른 위협을 감지할 수 있습니다. Play Integrity API를 사용하는 대신 키 증명을 직접 구현하는 개발자는 2026년 2월에 예정된 Android 플랫폼 루트 인증서 순환에 대비하여 중단을 방지해야 합니다 (Play Integrity API를 사용하는 개발자는 아무 조치도 취하지 않아도 됨).

Firebase 앱 체크: Firebase를 사용하는 개발자는 Firebase 앱 체크를 사용하여 인증된 Android 기기에서 Play Integrity API를 기반으로 하는 앱 및 기기 무결성 평결과 다른 플랫폼 증명 제공업체의 응답을 받을 수 있습니다. 다른 모든 위협을 감지하고 다른 Play 기능을 사용하려면 Play Integrity API를 직접 통합하세요.

reCAPTCHA Enterprise: 완전한 사기 및 봇 관리 솔루션을 찾는 엔터프라이즈 고객은 모바일용 reCAPTCHA Enterprise를 구매할 수 있습니다. reCAPTCHA Enterprise는 Play Integrity API의 악용 방지 신호 중 일부를 사용하고 이를 기본적으로 reCAPTCHA 신호와 결합합니다.

지금 바로 비즈니스를 보호하세요

하드웨어 지원 보안을 기반으로 하고 통합을 간소화하는 새로운 자동 수정 대화상자를 갖춘 Play Integrity API는 성장을 보호하는 데 필수적인 도구입니다.

Play Integrity API 시작하기 문서를 참고하세요.