2019.05.16

안드로이드의 신규 보안 업데이트 설정 '프로젝트 메인라인'에 관한 진실

JR Raphael | Computerworld
구글 I/O는 정보의 바다에서 쉽게 길을 잃어버린다. 결국, 구글은 이번 개발자 컨퍼런스에서 우리에게 수많은 흥미거리를 던져주었다. 즉, 새로운 중급 픽셀폰에서부터 완전히 개조한 안드로이드 제스처 인터페이스에 이르기까지 모든 것을 말이다. 이 때문에 좀 더 기술적인 내용을 발표할 때 좀 더 상세한 내용이 약간 흐릿해지는 것은 당연한 일인지도 모른다.

필자가 지적하는 것은 프로젝트 메인라인(Project Mainline)이라고 불리는 것으로, 구글이 안드로이드에서 보안 업데이트를 다루는 방식을 재고한다는 것을 보여주는 엄청난 노력의 결과다. 의심할 여지없이 올해 I/O에서 발표된 가장 크고 잠재적으로 가장 큰 영향을 미칠 수 있는 발표 중 하나이지만, 관련 보도는 대부분 불완전하거나 완전히 오해하기 십상이다. 

필자는 며칠에 걸쳐 프로젝트 메인라인을 면밀히 연구하면서 구글과 세부적인 내용에 대해 이야기를 나눠오고 있다. 프로젝트 메인라인이 가져올 변화와 가져오지 않을 것에 대해 알아야 할 몇 가지 중요한 사항을 소개한다.
 
ⓒGoogle/JR Raphael
 

1. 프로젝트 메인라인은 구글이 진행 중인 안드로이드 해체의 연속이다. 

9년 전 5월, 구글은 안드로이드를 해체하기 위한 계획을 본격적으로 추진하기 시작했다. 안드로이드가 한 번 통합되었던 소프트웨어들을 운영체제에서 꺼내어 대신 플레이 스토어에 넣었다. 플레이 스토어에 올라간 소프트웨어들은 다른 앱과 똑같이 취급되었고, 1년 내내 자주 업데이트되었다. 마찬가지로 중요한 것은, 이 소프트웨어들이 제조업체나 통신사의 개입 없이 그리고 업데이트가 동시에 모든 호환가능한 기기에서 가능할 수 있도록 하는 방식으로 구글에 의해 직접 업데이트되었다는 점이다.

수 년에 걸쳐, 구글은 그러한 야망을 확장하고 이 접근법을 구글 캘린더나 지메일, 크롬과 같은 시스템 수준 앱뿐만 아니라 구글 플레이 서비스와 같은 그 이면의 구성요소들에도 적용했다. 사실 이들 앱은 한 때 안드로이드 자체의 일부였으며, 이에 상응하는 애플용 앱은 여전히 오늘날 iOS에서 다뤄지는 것과 같이 전체 OS 업데이트를 통해서만 업데이트되었다는 것을 잊지 말자. 구글 플레이 서비스는 전체 구글 플레이스 프로텍트 시스템을 비롯하여 모든 종류의 위치 관련, 개인 정보 보호 관련, 보안 관련 요소들을 지원한다. 

이러한 노력은 (아예 무관하지는 않지만) OS 업데이트의 비중을 줄이면서 안드로이드에 엄청난 영향을 미쳤다. 이유는 간단하다. 기기가 적절한 시기에 OS 업데이트를 받지 못하더라도 시스템 수준의 앱은 여전히 모두 한 달에도 여러 차례 업데이트가 이뤄지고 있다. 공개적으로든 사용자가 알아차리지 못하든 말이다. 

이런 패턴은 기기가 낡아서 더 이상 OS 업데이트를 전혀 받지 못하는 경우에도 계속된다. 특히 대부분의 안드로이드 기기 제조업체가 사용자에게 시기적절하고 지속적인 OS 업데이트를 제공하는 데 얼마나 서투른 지를 고려할 때, 이런 변화의 중요성은 아무리 강조해도 지나치지 않을 것이다. 

프로젝트 메인라인은 동일한 기본 개념을 취해서 이를 안드로이드의 핵심에까지 적용시킨다. 구글은 이제 운영체제의 더 많은 핵심 부분들을 분해해 일련의 독립형 구성요소로 변형시키고 있다. 이 모든 부분들은 무선 업데이트나 제조업체의 개입 없이도 구글 자체적으로 쉽게 업데이트할 수 있다. 몇 년 전 이 주제를 구글의 안드로이드 담당 부사장 히로시 록하이머에게 제기했을 때, 록하이머가 암시를 줬던 어떤 것이 실제로 일어나는 것일 지도 모른다. 이제 우리는 그 가능성이 현실로 바뀌는 것을 보고 있다. 
 

2. 프로젝트 메인라인이 안드로이드의 전통적인 보안 패치를 대체하지 않는다

이 새로운 시스템이 지금까지 상당히 오랫동안 안드로이드가 제공한 전통적인 월간 보안 패치 설정을 대체할 것이란 보도가 많았다. 그러나 사실이 아니다.

우선 프로젝트 메인라인은 안드로이드Q가 설치된 폰에만 영향을 미친다. 따라서 지금 당장은 그리고 예측 가능한 미래의 대부분 동안은 안드로이드 기기의 절대 다수는 전혀 영향을 받지는 않을 것이며, 중요한 업데이트를 위해서는 전통적인 월간 패치에만 계속해서 의존할 것이다.

그러나 더 넓게 보면, 메인라인은 월별 패치를 완전히 대체하려는 것이 아니다. 적어도 가까운 시일 내에는. 이 시스템은 미디어 프레임워크 구성 요소에서 네트워크 구성 요소에 이르기까지 13가지 특정 영역과 관련된 업데이트를 처리하지만, 이러한 영역에서 다루지 않는 모든 필수 업데이트는 여전히 기존 월간 패치 방식으로 이루어질 것이다. Q를 실행하는 스마트폰에서도 마찬가지다. 

구글은 기존에 월간 보안 패치에 포함되었던 요소의 많은 부분을 메인라인 모듈, 특히 통상적인 월간 보안 패치의 약 40%를 차지하는 미디어 관련 모듈로 해결할 것이라고 말한다. 따라서, Q를 실행하는 기기의 경우 월간 패치는 훨씬 더 축소될 것이다. 그러나 기기의 무선 또는 커널(운영체제의 커맨드 센터 역할)과 같은 패치는 여전히 지금처럼 메인라인 시스템 외부에서 제조업체 및 통신사에 의존하는 무선 업데이트를 통해 처리되어야 할 것이다.

구글은 또한 메인라인이 다루는 모듈의 목록이 시간이 지남에 따라, 특히 보안과 관련된 분야에서 매우 잘 확장될 수 있다고 강조했다. 그렇기 때문에 지금 보고 있는 것은 시작에 불과한 것일 수도 있다. 
 

3. 프로젝트 메인라인은 보안에 국한된 것이 아니다. 

보안에 대한 일반적인 강조에도 불구하고, 이 새로운 안드로이드 Q 시스템은 실제로 보안, 개인 정보보호 및 플랫폼 전반에 걸친 일관성이라는 3가지 영역을 다루고 있다. 실제로 메인라인 모듈의 거의 절반, 즉 13개 중 6개가 "일관성" 항목에 속한다. 그래서 보안이 Q 시스템의 중요한 부분인 것은 분명하지만, 사실 전부는 아니다. 
 

4. 기기 제조업체는 자동 업데이트 프로그램을 배제할 수 없다

프로젝트 메인라인의 가장 혼란스러운 점 중 하나는 안드로이드 기기 제조업체에게 완전한 선택권이 있다는 생각이다. 완전히 틀린 말은 아니지만, 실제 내용은 중간에 엄청나게 뒤죽박죽이 되었다. 



2019.05.16

안드로이드의 신규 보안 업데이트 설정 '프로젝트 메인라인'에 관한 진실

JR Raphael | Computerworld
구글 I/O는 정보의 바다에서 쉽게 길을 잃어버린다. 결국, 구글은 이번 개발자 컨퍼런스에서 우리에게 수많은 흥미거리를 던져주었다. 즉, 새로운 중급 픽셀폰에서부터 완전히 개조한 안드로이드 제스처 인터페이스에 이르기까지 모든 것을 말이다. 이 때문에 좀 더 기술적인 내용을 발표할 때 좀 더 상세한 내용이 약간 흐릿해지는 것은 당연한 일인지도 모른다.

필자가 지적하는 것은 프로젝트 메인라인(Project Mainline)이라고 불리는 것으로, 구글이 안드로이드에서 보안 업데이트를 다루는 방식을 재고한다는 것을 보여주는 엄청난 노력의 결과다. 의심할 여지없이 올해 I/O에서 발표된 가장 크고 잠재적으로 가장 큰 영향을 미칠 수 있는 발표 중 하나이지만, 관련 보도는 대부분 불완전하거나 완전히 오해하기 십상이다. 

필자는 며칠에 걸쳐 프로젝트 메인라인을 면밀히 연구하면서 구글과 세부적인 내용에 대해 이야기를 나눠오고 있다. 프로젝트 메인라인이 가져올 변화와 가져오지 않을 것에 대해 알아야 할 몇 가지 중요한 사항을 소개한다.
 
ⓒGoogle/JR Raphael
 

1. 프로젝트 메인라인은 구글이 진행 중인 안드로이드 해체의 연속이다. 

9년 전 5월, 구글은 안드로이드를 해체하기 위한 계획을 본격적으로 추진하기 시작했다. 안드로이드가 한 번 통합되었던 소프트웨어들을 운영체제에서 꺼내어 대신 플레이 스토어에 넣었다. 플레이 스토어에 올라간 소프트웨어들은 다른 앱과 똑같이 취급되었고, 1년 내내 자주 업데이트되었다. 마찬가지로 중요한 것은, 이 소프트웨어들이 제조업체나 통신사의 개입 없이 그리고 업데이트가 동시에 모든 호환가능한 기기에서 가능할 수 있도록 하는 방식으로 구글에 의해 직접 업데이트되었다는 점이다.

수 년에 걸쳐, 구글은 그러한 야망을 확장하고 이 접근법을 구글 캘린더나 지메일, 크롬과 같은 시스템 수준 앱뿐만 아니라 구글 플레이 서비스와 같은 그 이면의 구성요소들에도 적용했다. 사실 이들 앱은 한 때 안드로이드 자체의 일부였으며, 이에 상응하는 애플용 앱은 여전히 오늘날 iOS에서 다뤄지는 것과 같이 전체 OS 업데이트를 통해서만 업데이트되었다는 것을 잊지 말자. 구글 플레이 서비스는 전체 구글 플레이스 프로텍트 시스템을 비롯하여 모든 종류의 위치 관련, 개인 정보 보호 관련, 보안 관련 요소들을 지원한다. 

이러한 노력은 (아예 무관하지는 않지만) OS 업데이트의 비중을 줄이면서 안드로이드에 엄청난 영향을 미쳤다. 이유는 간단하다. 기기가 적절한 시기에 OS 업데이트를 받지 못하더라도 시스템 수준의 앱은 여전히 모두 한 달에도 여러 차례 업데이트가 이뤄지고 있다. 공개적으로든 사용자가 알아차리지 못하든 말이다. 

이런 패턴은 기기가 낡아서 더 이상 OS 업데이트를 전혀 받지 못하는 경우에도 계속된다. 특히 대부분의 안드로이드 기기 제조업체가 사용자에게 시기적절하고 지속적인 OS 업데이트를 제공하는 데 얼마나 서투른 지를 고려할 때, 이런 변화의 중요성은 아무리 강조해도 지나치지 않을 것이다. 

프로젝트 메인라인은 동일한 기본 개념을 취해서 이를 안드로이드의 핵심에까지 적용시킨다. 구글은 이제 운영체제의 더 많은 핵심 부분들을 분해해 일련의 독립형 구성요소로 변형시키고 있다. 이 모든 부분들은 무선 업데이트나 제조업체의 개입 없이도 구글 자체적으로 쉽게 업데이트할 수 있다. 몇 년 전 이 주제를 구글의 안드로이드 담당 부사장 히로시 록하이머에게 제기했을 때, 록하이머가 암시를 줬던 어떤 것이 실제로 일어나는 것일 지도 모른다. 이제 우리는 그 가능성이 현실로 바뀌는 것을 보고 있다. 
 

2. 프로젝트 메인라인이 안드로이드의 전통적인 보안 패치를 대체하지 않는다

이 새로운 시스템이 지금까지 상당히 오랫동안 안드로이드가 제공한 전통적인 월간 보안 패치 설정을 대체할 것이란 보도가 많았다. 그러나 사실이 아니다.

우선 프로젝트 메인라인은 안드로이드Q가 설치된 폰에만 영향을 미친다. 따라서 지금 당장은 그리고 예측 가능한 미래의 대부분 동안은 안드로이드 기기의 절대 다수는 전혀 영향을 받지는 않을 것이며, 중요한 업데이트를 위해서는 전통적인 월간 패치에만 계속해서 의존할 것이다.

그러나 더 넓게 보면, 메인라인은 월별 패치를 완전히 대체하려는 것이 아니다. 적어도 가까운 시일 내에는. 이 시스템은 미디어 프레임워크 구성 요소에서 네트워크 구성 요소에 이르기까지 13가지 특정 영역과 관련된 업데이트를 처리하지만, 이러한 영역에서 다루지 않는 모든 필수 업데이트는 여전히 기존 월간 패치 방식으로 이루어질 것이다. Q를 실행하는 스마트폰에서도 마찬가지다. 

구글은 기존에 월간 보안 패치에 포함되었던 요소의 많은 부분을 메인라인 모듈, 특히 통상적인 월간 보안 패치의 약 40%를 차지하는 미디어 관련 모듈로 해결할 것이라고 말한다. 따라서, Q를 실행하는 기기의 경우 월간 패치는 훨씬 더 축소될 것이다. 그러나 기기의 무선 또는 커널(운영체제의 커맨드 센터 역할)과 같은 패치는 여전히 지금처럼 메인라인 시스템 외부에서 제조업체 및 통신사에 의존하는 무선 업데이트를 통해 처리되어야 할 것이다.

구글은 또한 메인라인이 다루는 모듈의 목록이 시간이 지남에 따라, 특히 보안과 관련된 분야에서 매우 잘 확장될 수 있다고 강조했다. 그렇기 때문에 지금 보고 있는 것은 시작에 불과한 것일 수도 있다. 
 

3. 프로젝트 메인라인은 보안에 국한된 것이 아니다. 

보안에 대한 일반적인 강조에도 불구하고, 이 새로운 안드로이드 Q 시스템은 실제로 보안, 개인 정보보호 및 플랫폼 전반에 걸친 일관성이라는 3가지 영역을 다루고 있다. 실제로 메인라인 모듈의 거의 절반, 즉 13개 중 6개가 "일관성" 항목에 속한다. 그래서 보안이 Q 시스템의 중요한 부분인 것은 분명하지만, 사실 전부는 아니다. 
 

4. 기기 제조업체는 자동 업데이트 프로그램을 배제할 수 없다

프로젝트 메인라인의 가장 혼란스러운 점 중 하나는 안드로이드 기기 제조업체에게 완전한 선택권이 있다는 생각이다. 완전히 틀린 말은 아니지만, 실제 내용은 중간에 엄청나게 뒤죽박죽이 되었다. 



X