Android 기기 보안 설정하기

화면 잠금은 기기 보안의 첫 번째 방어선이다.^[1] 설정 → 보안 및 개인정보 보호 → 기기 잠금 해제 → 화면 잠금 경로에서 설정할 수 있으며, 잠금 유형에는 패턴, PIN, 비밀번호, 생체 인식(지문·얼굴 인식)이 있다.

Android 14부터 Google은 4자리 PIN 대신 6자리 이상의 PIN을 권장한다. 영숫자 혼합 비밀번호는 조합 가능한 경우의 수가 훨씬 많아 무차별 대입 공격에 강하다. 패턴 잠금은 편의성은 높지만 화면에 남는 지문 흔적으로 패턴이 노출될 수 있어 상대적으로 취약하다.

지문 인식과 얼굴 인식은 편의성과 보안을 동시에 제공한다. Android의 Biometric API는 생체 정보를 기기의 보안 하드웨어(TrustZone 또는 Secure Enclave)에 격리 저장하며, 서버로 전송하거나 앱이 직접 접근할 수 없다. 다만 얼굴 인식은 일부 기기에서 사진으로 해제될 수 있으므로 민감한 환경에서는 지문 또는 강력한 PIN과 병행 사용이 권장된다.

2025년 신기능: Identity Check. Android 15와 함께 Google이 출시한 Identity Check 기능은 신뢰할 수 있는 위치(예: 자택, 직장) 밖에서 민감한 설정을 변경할 때 생체 인식을 추가로 요구한다.^[2] 보호 대상 작업에는 Google 비밀번호 관리자 접근, 화면 잠금 변경, 기기 초기화, Find My Device 비활성화 등이 포함된다. 설정 → 보안 → Identity Check에서 활성화할 수 있으며, 2025년 1월 기준 Pixel 및 삼성 Galaxy One UI 7 기기에 먼저 배포되었다.

Android 7.0(Nougat)부터 파일 기반 암호화(File-Based Encryption, FBE)가 기본 활성화되어 있다.^[3] FBE는 파일마다 개별 암호화 키를 사용하여 부팅 직후에도 일부 기능(알람, 전화 수신 등)을 이용할 수 있으면서 개인 데이터는 잠금 해제 전까지 보호하는 방식이다. 이전 방식인 전체 디스크 암호화(FDE)와 달리 FBE는 Direct Boot를 지원하여 편의성과 보안을 함께 확보한다.

암호화의 실질적 효과는 화면 잠금 강도에 달려 있다.^[3] 잠금 해제 PIN이나 비밀번호가 약하면 암호화 키를 도출하는 데 필요한 시간이 크게 줄어든다. 따라서 강력한 PIN 또는 비밀번호 설정이 암호화 보안의 전제 조건이다.

최신 Android 기기는 별도의 설정 없이 암호화가 적용된다. 오래된 기기(Android 5~6)는 설정 → 보안 → 휴대전화 암호화를 수동으로 활성화해야 하는 경우가 있으나, 현재 출시되는 기기에서는 해당 항목이 보이지 않는 것이 정상이다. AOSP 기반의 커스텀 ROM을 사용하는 경우 암호화 지원 여부를 별도로 확인해야 한다.

Google Play Protect는 기기에 설치된 앱을 주기적으로 검사하여 악성 코드, 스파이웨어, 개인정보 침해 행위를 탐지하는 Android의 내장 보안 서비스다.^[1] 설정 → 보안 → Google Play 프로텍트에서 상태를 확인하고 수동 검사를 실행할 수 있다.

Google Play Protect는 기본적으로 활성화되어 있으며, 다음과 같은 기능을 제공한다.

• 앱 검사: 설치 전·후 모두 앱 코드를 분석하여 위험 앱 경고 또는 자동 삭제
• 유해 앱 차단: 알려진 악성 URL과 앱을 자동으로 차단
• 출처 불명 앱 검토: Google Play 스토어 외부에서 APK를 설치할 때 Google에 파일을 전송해 안전성 평가

출처를 알 수 없는 앱(사이드로딩)은 Android의 대표적인 보안 위험 요소다.^[4] Android 8.0(Oreo)부터는 앱별로 출처 불명 설치 권한을 부여하는 방식으로 변경되었다. 설정 → 앱 → 특별한 앱 액세스 → 출처를 알 수 없는 앱 설치에서 불필요한 권한이 부여된 앱을 확인하고 비활성화해야 한다. 공식 Google Play 스토어 외 경로로 앱을 설치할 경우, 앱이 진짜 개발사가 배포한 파일인지 반드시 검증해야 한다.

Android 6.0(Marshmallow)에서 도입된 런타임 권한 모델은 앱이 카메라, 마이크, 위치, 연락처 등 민감한 리소스에 접근할 때 사용자의 명시적 동의를 요구한다.^[5] Android 12부터는 개인정보 보호 대시보드가 추가되어 최근 24시간 동안 어떤 앱이 카메라·마이크·위치에 접근했는지 타임라인 형태로 확인할 수 있다.

권한 관리 핵심 원칙:

• 최소 권한 원칙 적용: 앱이 요청하는 권한이 기능에 비해 과도하다면 거부하거나 "이번 한 번만 허용"을 선택한다.
• 백그라운드 위치 접근 제한: 대부분의 앱은 앱 사용 중 위치만 허용해도 정상 작동하며, 백그라운드 위치 접근은 배터리 소모와 프라이버시 위험을 동시에 높인다.
• 권한 자동 취소: Android 11부터 오랫동안 사용하지 않은 앱의 권한이 자동으로 초기화된다. 설정 → 개인정보 보호 → 권한 관리자에서 전체 현황을 점검할 수 있다.
• 마이크·카메라 표시등: Android 12부터 상단 상태바에 마이크나 카메라가 활성화될 때 녹색 표시등이 나타나며, 빠른 설정 타일에서 즉시 차단할 수 있다.

Android 15에서는 [[private-space|Private Space]] 기능이 추가되었다.^[5] 이는 별도 PIN이나 생체 인식으로 잠그는 격리된 공간으로, 민감한 앱과 데이터를 기본 프로필과 분리 보관할 수 있다.

공개 Wi-Fi는 중간자 공격(MITM Attack)의 주요 경로다.^[6] 커피숍, 공항, 호텔 등 공용 네트워크에 연결할 때는 다음 조치를 취해야 한다.

Wi-Fi 보안 설정:

• 자동 연결 비활성화: 이미 접속했던 네트워크에 자동으로 재연결되는 기능은 악의적인 동명 핫스팟(Evil Twin Attack)을 통한 공격에 노출될 수 있다. 설정 → 네트워크 및 인터넷 → Wi-Fi → 저장된 네트워크에서 불필요한 네트워크를 삭제한다.
• [[wpa3|WPA3]] 우선 선택: 가능한 경우 WPA3 암호화를 지원하는 네트워크에 연결한다. WPA2도 적절히 설정하면 안전하지만, 오래된 WEP는 매우 취약하다.
• [[https|HTTPS]] 확인: 브라우저 주소창에서 잠금 아이콘과 HTTPS를 확인한다. 공개 Wi-Fi에서도 HTTPS 트래픽은 암호화되어 있다.

[[vpn|VPN]] 활용:

신뢰할 수 있는 가상 사설망(VPN) 서비스는 기기와 VPN 서버 사이의 트래픽을 암호화하여 같은 네트워크의 도청자가 접속 내용을 볼 수 없게 한다.^[6] Android는 설정 → 네트워크 및 인터넷 → VPN에서 항상 켜기(Always-on VPN) 모드를 지원하며, VPN 연결이 끊길 때 인터넷 접속 자체를 차단하는 Kill Switch 기능도 포함한다. 무료 VPN은 오히려 사용자 데이터를 수집하거나 광고에 활용할 위험이 있으므로, 투명한 개인정보 처리 방침을 가진 유료 서비스 선택이 권장된다.

[[2단계-인증|2단계 인증(2FA)]] 강화:

기기 보안과 함께 2단계 인증(Two-Factor Authentication, 2FA)을 모든 주요 계정에 설정해야 한다.^[6] SIM 스와핑 공격에 취약한 SMS 기반 2FA 대신, Google Authenticator, Authy 같은 인증 앱(TOTP)이나 패스키(Passkey)를 사용하는 것이 더 안전하다.

기기를 분실하거나 도난당했을 때를 대비해 Google Find My Device를 미리 활성화해야 한다.^[7] 설정 → Google → 내 기기 찾기에서 켤 수 있으며, 위치 서비스가 활성화되어 있어야 한다.

Find My Device가 활성화된 기기는 [android.com/find](Aandroid.google.com(새 탭에서 열림) 또는 다른 Android 기기의 Find My Device 앱에서 다음 작업을 수행할 수 있다.

2024년 도난 방지 신기능. Google은 Android 10 이상을 대상으로 세 가지 도난 방지 기능을 추가했다.^[2]

• 도난 감지 잠금(Theft Detection Lock): AI와 센서를 활용해 강제로 빼앗기는 움직임 패턴을 감지하면 자동으로 화면 잠금
• 오프라인 기기 잠금: 인터넷이 끊긴 상태에서도 일정 시간 후 자동 잠금
• 원격 잠금: 기기를 분실했을 때 전화번호와 보안 문제만으로 임시 잠금 가능 (Find My Device 접근이 어려운 상황 대비)

기업 환경에서는 모바일 기기 관리(MDM) 솔루션을 통해 원격 초기화 정책을 중앙에서 적용할 수 있다.

Android 기기 보안은 기기 자체 설정만으로 완결되지 않는다.^[1] 대부분의 데이터는 Google 계정과 연동되어 Google Drive, Gmail, Google 포토 등에 동기화되므로, 계정 보안이 기기 보안만큼 중요하다.

Google 계정 보안 체크리스트:

• 강력한 비밀번호: 다른 서비스와 중복되지 않는 고유 비밀번호 사용. Google 비밀번호 관리자 또는 비밀번호 관리 앱 활용
• [[2단계-인증|2단계 인증]] 활성화: [myaccount.google.com/security](Mmyaccount.google.com(새 탭에서 열림) 설정. Google Prompt, 인증 앱, 하드웨어 보안 키 순으로 강도가 높아짐
• 연결된 앱 검토: Google 계정에 접근 권한을 가진 서드파티 앱을 주기적으로 확인하고, 더 이상 사용하지 않는 앱의 권한 취소
• 보안 체크업: Google 계정 → 보안 → 보안 체크업에서 약한 비밀번호, 의심스러운 접근 기록 등을 점검
• 비밀번호 유출 알림: Google 계정은 저장된 비밀번호가 알려진 데이터 침해에서 발견되면 알림을 제공한다.^[2]

• 안드로이드 (운영체제) — Android 플랫폼 구조와 역사
• AOSP — Android 오픈 소스 프로젝트 및 커스텀 ROM 보안 고려사항
• 암호화 — 파일 기반 암호화와 전체 디스크 암호화 개념
• iOS — Apple 기기의 대응 보안 모델 비교
• Google — Google 계정 및 Android 생태계 운영

^[1] Electronic Frontier Foundation, "How to: Get to Know Android Privacy and Security Settings", Surveillance Self-Defense. Sssd.eff.org(새 탭에서 열림)

^[2] Google Security Blog, "Android enhances theft protection with Identity Check and expanded features" (2025년 1월). Ssecurity.googleblog.com(새 탭에서 열림)

^[3] Android Open Source Project, "File-Based Encryption". Ssource.android.com(새 탭에서 열림)

^[4] New Jersey Cybersecurity and Communications Integration Cell (NJCCIC), "Guide to Accessing Your Android Device's Security & Privacy Settings". Wwww.cyber.nj.gov(새 탭에서 열림)

^[5] The Hacker News, "Android's New Identity Check Feature Locks Device Settings Outside Trusted Locations" (2025년 1월). Tthehackernews.com(새 탭에서 열림)

^[6] NordVPN, "Android security: A complete guide to protect your device". Nnordvpn.com(새 탭에서 열림)

^[7] Prey Project, "Android remote wipe: how to secure your data instantly". Ppreyproject.com(새 탭에서 열림)