멀웨어 및 원치 않는 소프트웨어

Google은 웹사이트가 사용자 환경에 부정적인 영향을 미치는 소프트웨어 또는 다운로드 가능한 실행 파일을 호스트하는지 확인합니다. 멀웨어 및 원치 않는 소프트웨어는 웹사이트에서 실행되어 사이트 방문자에게 영향을 주는 다운로드 가능한 바이너리 또는 애플리케이션입니다. 보안 문제 보고서를 열면 내 사이트에서 호스팅하는 의심스러운 파일의 목록을 확인할 수 있습니다.

멀웨어란 무엇인가요?

멀웨어란 컴퓨터, 휴대기기, 실행 중인 소프트웨어 또는 사용자에게 피해를 주기 위해 설계된 소프트웨어 또는 모바일 애플리케이션입니다. 멀웨어는 사용자의 동의 없이 소프트웨어를 설치하거나 바이러스와 같은 유해한 소프트웨어를 설치하는 등 악의적인 방식으로 작동합니다. 간혹 다운로드 가능한 파일 일부가 멀웨어로 간주된다는 점을 웹사이트 소유자가 인지하지 못해 이러한 바이너리 파일이 예기치 않게 호스팅될 수 있습니다.

원치 않는 소프트웨어란 무엇인가요?

원치 않는 소프트웨어란 사용자를 속이거나, 예상할 수 없거나, 사용자의 탐색 및 컴퓨팅 사용 환경에 부정적인 영향을 미치는 활동에 관여하는 실행 파일 또는 모바일 애플리케이션입니다. 홈페이지 또는 기타 브라우저 설정을 원치 않는 설정으로 전환하는 소프트웨어나 사용자에게 제대로 알리지 않고 비공개 정보 및 개인 정보를 유출하는 앱을 예로 들 수 있습니다.

Google이 원치 않는 소프트웨어로부터 사용자를 보호하는 방법에 관한 자세한 내용은 Google의 온라인 보안 블로그의 위험한 다운로드 구분하기를 참고하세요.

문제 해결

사이트 또는 애플리케이션이 가이드라인을 준수하도록 한 다음 보안 문제 보고서에서 검토를 요청할 수 있습니다.

모바일 애플리케이션에 경고가 표시되면 이의 제기를 할 수 있습니다.

가이드라인

원치 않는 소프트웨어 정책을 위반하지 않도록 하고 여기 명시된 가이드라인을 따르세요. 여기에서 소개하는 동작은 앱이나 웹사이트에서 사용자가 다운로드하거나 방문하려고 할 때 경고가 표시되게 할 수 있는 동작의 일부입니다. 보안 문제 보고서를 열면 내 사이트에서 호스팅하는 의심스러운 파일의 목록을 확인할 수 있습니다.

내용을 허위로 표시해서는 안 됩니다

  • 사용자에게 소프트웨어의 목적과 의도를 정확하게 알립니다. 사용자는 다운로드 항목에 관해 명확하게 알리는 정확한 광고를 클릭하여 무엇이 다운로드되는지 정확히 아는 상태에서 의도적으로 소프트웨어를 다운로드할 수 있어야 합니다. 사용자의 다운로드를 유도하는 광고는 다음과 같이 사기성이 있거나 부정확해서는 안 됩니다.
    • 광고하는 소프트웨어가 무엇인지 정확히 표시하지 않고 '다운로드' 또는 '재생'이라는 단어만 포함하는 광고
    • 다운로드로 연결하는 '재생' 버튼
    • 게시자의 웹사이트 디자인을 모방하고 콘텐츠(예: 영화)를 제공하는 것처럼 위장하지만 관련 없는 소프트웨어로 연결하는 광고
    • Google의 온라인 보안 블로그에서 소셜 엔지니어링에 관해 알아보세요.
  • 광고대로 작동해야 합니다. 프로그램의 기능과 의도가 명확해야 합니다. 프로그램이 사용자 데이터를 수집하거나 사용자의 브라우저에 광고를 삽입하는 경우 이러한 동작에 관해 명확하게 알려야 하며 중요하지 않은 기능인 것처럼 표현하면 안 됩니다.
  • 소프트웨어에서 브라우저와 시스템을 어떻게 변경하는지 사용자에게 명확하게 설명합니다. 사용자가 중요한 모든 설치 옵션과 변경사항을 검토하고 승인할 수 있도록 허용해야 합니다. 프로그램의 기본 UI가 바이너리의 구성요소와 구성요소의 기본 기능을 명확히 나타내야 합니다. 바이너리는 사용자가 번들로 제공되는 구성요소 설치를 쉽게 건너뛰는 방법을 제공해야 합니다. 예를 들어 옵션을 숨기거나 거의 보이지 않는 텍스트를 사용하는 것은 좋은 방법이 아닙니다.
  • 승인된 경우에만 보증을 사용합니다. 승인되지 않은 방법으로 다른 회사의 로고를 사용하여 제품을 합법화하고 보증하면 안 됩니다. 정부 로고를 승인 없이 사용하면 안 됩니다.
  • 사용자에게 겁을 주면 안 됩니다. 소프트웨어가 시스템에 중대한 보안 문제가 있거나 바이러스에 감염되었다는 등 사용자에게 기계 상태를 허위로 표시하면 안 됩니다. 소프트웨어가 제공하지 않거나 제공할 수 없는 서비스(예: 'PC 속도 개선')를 제공한다고 주장해서는 안 됩니다. 예를 들어 '무료' 컴퓨터 클리너 및 최적화 도구라고 광고하면서 실제로 서비스 사용 요금이 무료가 아닌 경우에는 '무료'라고 광고해서는 안 됩니다.

소프트웨어 가이드라인

  • 프로그램이 Chrome 설정을 변경하는 경우 Google Settings API를 사용합니다. 사용자의 기본 검색 설정, 시작 페이지 또는 새 탭 페이지에 관한 모든 변경은 Chrome Settings Override API를 통해 이루어져야 합니다. Chrome Settings Override API를 사용하려면 Chrome 확장 프로그램을 사용하고 확장 프로그램 설치 절차를 준수해야 합니다.
  • 브라우저 및 운영체제 대화상자가 의도한 대로 사용자에게 알리도록 허용합니다. 브라우저 또는 운영체제에서 사용자에게 알림을 표시하지 못하도록 차단하면 안 됩니다. 특히 브라우저 또는 OS의 변경사항을 사용자에게 알리는 경고를 차단하면 안 됩니다.
  • 코드에 서명하는 것이 좋습니다. 서명되지 않은 바이너리라고 해서 해당 바이너리를 원치 않는 소프트웨어로 신고해야 하는 것은 아닙니다. 하지만 확인 가능한 게시자 정보를 제공하는 코드 서명 기관에서 발급한 유효하고 인증된 코드 서명이 프로그램에 있는 것이 좋습니다.
  • TLS/SSL 연결로 제공되는 보안 및 보호 방법 수준을 낮추면 안 됩니다. 애플리케이션이 루트 인증 기관 인증서를 설치하지 않을 수도 있습니다. 전문가가 소프트웨어를 디버깅하거나 조사하도록 디자인되지 않은 한 애플리케이션이 SSL/TLS 연결을 차단하지 않을 수도 있습니다. 더 자세한 내용은 관련 Google 보안 블로그 게시물을 참고하세요.
  • 사용자 데이터를 보호합니다. 모바일 앱 등의 소프트웨어는 앱의 기능과 관련 있는 비공개 사용자 데이터만을 서버로 전송해야 합니다. 또한 데이터 전송 시 사용자에게 알려야 하며 전송은 암호화된 형태로 진행되어야 합니다.
  • 피해를 주지 않아야 합니다. 바이너리는 사용자의 인터넷 탐색 환경을 존중해야 하며 피해를 주어서는 안 됩니다. 다운로드 가능한 바이너리가 다음 일반적인 정책을 준수하는지 확인하세요.
    • 브라우저의 재설정 기능을 중단하지 않습니다. Chrome의 브라우저 설정 재설정 버튼을 알아보세요.
    • 설정 변경을 위해 브라우저나 운영체제의 UI 컨트롤을 우회하거나 차단하지 않습니다. 프로그램이 브라우저에서 발생하는 설정 변경과 관련해 사용자에게 적절한 알림과 제어 권한을 제공해야 합니다. Settings API를 사용하여 Chrome 설정을 변경하세요(Chromium 블로그 게시물 참고).
    • 다른 프로그램 방식을 통해 브라우저 동작을 변경하기보다 확장 프로그램을 사용하여 Chrome 기능을 변경합니다. 예를 들어 브라우저 내에 광고를 삽입하기 위해 프로그램이 DLL(동적 링크 라이브러리)을 사용해서는 안 되며, 트래픽을 가로채는 프록시를 배포해서도 안 됩니다. 또한 LSP(계층화된 서비스 제공업체)를 사용하여 사용자 작업을 가로채거나 Chrome 바이너리를 패치하여 모든 웹페이지에 새로운 UI를 삽입해서도 안 됩니다.
    • 제품 및 구성요소 설명에 사용자에게 겁을 주는 내용이나 허위 또는 오해의 소지가 있는 주장이 포함되면 안 됩니다. 예를 들어 제품에서 시스템에 중대한 보안 문제가 있거나 바이러스에 감염되었다는 등의 내용을 허위로 표시하면 안 됩니다. 또한 레지스트리 클리너와 같은 프로그램에서 사용자의 컴퓨터나 기기에 관해 사용자에게 경고 메시지를 표시하고 사용자의 PC를 최적화할 수 있다고 주장하면 안 됩니다.
    • 제거 절차를 쉽게 찾을 수 있고 간단하며 위협적이지 않게 만듭니다. 프로그램에서 브라우저 또는 시스템을 이전 설정으로 복원하는 방법을 명시해야 합니다. 제거 프로그램은 모든 구성요소를 삭제해야 하며 사용자가 제거 절차를 포기하도록 유도해서는 안 됩니다. 예를 들어 소프트웨어를 제거할 경우 사용자의 시스템이나 개인 정보 보호에 부정적인 영향을 미칠 수 있다고 주장해서는 안 됩니다.
  • 신뢰할 수 있는 회사가 되도록 합니다. 소프트웨어가 다른 소프트웨어 구성요소와 번들로 제공되는 경우 모든 관련 구성요소가 권고사항을 준수하도록 할 책임은 개발자 본인에게 있습니다.

Chrome 확장 프로그램 가이드라인

  • 모든 확장 프로그램은 공개되어야 하며 정책을 준수하도록 Chrome에 설치되어야 합니다. 확장 프로그램은 Chrome 웹 스토어에서 호스팅되어야 하고, 기본적으로 사용 중지 상태여야 하며, Chrome 웹 스토어 정책(단일 목적 정책 포함)을 준수해야 합니다. 프로그램에서 설치된 확장 프로그램은 승인된 Chrome 확장 프로그램 설치 절차를 사용해야 합니다. 이 절차를 사용하면 Chrome 내에서 사용 설정하라는 메시지가 사용자에게 표시됩니다. 확장 프로그램에서 사용자에게 설정 변경을 알리는 Chrome 대화상자를 차단하지 않을 수도 있습니다.
    확장 프로그램 설치 승인을 요청하는 Chrome 팝업
  • 사용자에게 Chrome 확장 프로그램을 삭제하는 방법을 안내합니다. 좋은 사용자 환경에서는 사용자가 프로그램을 제거하면 프로그램과 함께 설치되었던 모든 항목이 삭제됩니다. 제거 절차에 사용자가 직접 확장 프로그램을 사용 중지하고 삭제하는 방법을 포함합니다.
  • 바이너리에서 브라우저 부가기능을 설치하거나 기본 브라우저 설정을 변경하는 경우에는 브라우저에서 지원하는 설치 절차와 API를 따라야 합니다. 예를 들어 바이너리가 Chrome 확장 프로그램을 설치하는 경우 Chrome 웹 스토어에 호스팅되어야 하며 Chrome 개발자 프로그램 정책을 준수해야 합니다. 바이너리가 Chrome 대체 확장 프로그램 배포 옵션 정책을 위반하여 Chrome 확장 프로그램을 설치하는 경우 멀웨어로 인식됩니다.

모바일 애플리케이션 가이드라인

  • 사용자에게 사용자의 데이터를 수집하는 의도를 알립니다. 휴대기기에 저장된 타사 계정, 이메일, 전화번호, 설치된 앱, 파일에 관한 데이터를 비롯하여 기기에서 데이터를 수집하고 전송하기 전에 사용자가 자신의 데이터 수집에 동의할 기회를 제공하세요. 개발자가 수집하는 개인 정보 또는 민감한 사용자 데이터는 최신 암호화(예: HTTPS를 통해)를 사용하여 전송하는 등 안전하게 처리해야 합니다. Play 앱이 아닌 경우, 앱 내에서 사용자에게 데이터 수집을 공개해야 합니다. Google Play 앱은 Play 정책에 따라 데이터 수집을 공개해야 합니다. 게시된 애플리케이션의 목적에서 벗어난 데이터를 수집하지 마세요.

  • 다른 브랜드 또는 앱을 사칭해서는 안 됩니다. 사용자가 혼동할 수 있는 방식으로 다른 브랜드나 앱과 유사한 부적절하고 승인되지 않은 이미지 또는 디자인을 사용하면 안 됩니다.
  • 모든 콘텐츠는 앱의 내용과 관련이 있어야 합니다. 앱이 다른 앱과 기기의 사용성을 방해해서는 안 됩니다. 앱에서 사용자에게 충분한 설명에 기반한 사전 동의를 받지 않고 광고가 표시되는 모든 위치에 광고 소스의 저작자를 명확히 표시하지 않은 채 사용자에게 앱 자체의 내용이나 기능에서 벗어난 추가 콘텐츠나 광고를 표시해서는 안 됩니다.
  • 앱은 사용자와의 약속을 이행해야 합니다. 광고된 모든 기능을 사용자가 앱에서 사용할 수 있어야 합니다. 앱은 앱 콘텐츠를 업데이트할 수 있으나 사용자에게 충분한 설명에 기반한 동의를 받지 않은 상태로 추가 앱을 다운로드해서는 안 됩니다.
  • 투명성을 확보합니다. 명시된 목적에 부합하지 않는 한 특정 앱에서 다른 앱이나 다른 앱의 바로가기를 제거하거나 교체해서는 안 됩니다. 제거는 명확하고 완전하게 이뤄져야 합니다. 앱은 기기 OS나 다른 앱의 메시지를 모방해서는 안 됩니다.

Google Play를 통해 배포되는 앱은 개발자 프로그램 정책개발자 배포 계약의 추가 요구사항을 준수해야 합니다.

Search Console 사용자이며, 사이트에 지속적이거나 해결할 수 없는 보안 문제가 있는 경우 Google에 알려 주세요.

보안 문제 신고하기