SDK 요구사항

앱 개발자는 앱의 주요 기능과 서비스를 통합하기 위해 SDK와 같은 서드 파티 코드를 사용하는 경우가 많습니다. 앱에 SDK를 포함할 때는 모든 취약점으로부터 사용자와 앱을 안전하게 보호할 수 있어야 합니다. 이 섹션에서는 기존 개인 정보 보호 및 보안 요구사항 중 일부가 SDK 측면에서는 어떻게 적용되고, 개발자가 SDK를 앱에 안전하게 통합하는 데 어떻게 도움이 되는지를 살펴봅니다.

앱에 SDK를 포함할 경우 서드 파티 코드와 관행으로 인해 앱이 Google Play 개발자 프로그램 정책을 위반하지 않도록 할 책임은 개발자에게 있습니다. 앱의 SDK가 어떻게 사용자 데이터를 처리하는지 인지해야 하며, 어떤 권한을 사용하고 어떤 데이터를 수집하며 그 이유는 무엇인지를 파악해야 합니다. SDK는 앱의 정책상 사용자 데이터 활용 방식에 부합하도록 해당 데이터를 수집하고 처리해야 합니다.

SDK 사용 시 정책 요구사항을 위반하지 않으려면 아래에 있는 다음 정책을 전체적으로 읽고 이해한 후 기존 요구사항 중 SDK와 관련된 내용을 참고하시기 바랍니다.

사용자 데이터 정책

사용자 데이터(예: 기기 정보를 포함하여 사용자로부터 수집하거나 사용자에 관해 수집한 정보)를 투명하게 처리해야 합니다. 이는 앱 사용자 데이터의 액세스, 수집, 사용, 처리, 공유에 관해 공개하고 데이터의 용도를 공개된 정책상 목적으로 제한한다는 의미입니다.

앱에 SDK와 같은 서드 파티 코드가 포함되는 경우 앱에 사용된 서드 파티 코드와 앱의 사용자 데이터와 관련된 해당 서드 파티의 관행이 Google Play 개발자 프로그램 정책을 준수하는지 확인해야 하며, 여기에는 사용 및 공개 요건이 포함됩니다. 예를 들어 SDK 제공업체가 앱의 개인 정보 및 민감한 사용자 데이터를 판매하지 않는지 확인해야 합니다. 이 요건은 사용자 데이터가 서버로 전송된 후 이전되는지 또는 앱에 서드 파티 코드를 삽입하는 방식인지 여부와 관계없이 적용됩니다.

개인 정보 및 민감한 사용자 데이터

  • 앱을 통해 획득한 개인 정보 및 민감한 사용자 데이터의 액세스, 수집, 사용, 공유는 사용자가 합리적으로 예상하는 앱 및 서비스 기능과 정책에 부합하는 목적으로 제한됩니다.
    • 광고 게재를 위해 개인 정보 및 민감한 사용자 데이터의 사용을 확장하는 앱은 Google Play의 광고 정책을 준수해야 합니다.
  • 전송에 최신 암호화 기술(예: HTTPS 연결)을 사용하는 등 모든 개인 정보 및 민감한 사용자 데이터를 안전하게 처리합니다.
  • 가능한 경우 Android 권한을 통해 관리되는 데이터에 액세스하기 전에 런타임 권한 요청을 사용합니다.

개인 정보 및 민감한 사용자 데이터의 판매

개인 정보 및 민감한 사용자 데이터를 판매하지 않습니다.

  • '판매'란 개인 정보 및 민감한 사용자 데이터를 금전적인 대가를 받고 교환하거나 제3자에게 전송하는 행위를 의미합니다.
    • 사용자가 개시한 개인 정보 및 민감한 사용자 데이터의 전송(예: 사용자가 앱의 기능을 사용해 제3자에게 파일을 전송하는 경우 또는 사용자가 조사 연구를 목적으로 하는 앱을 사용하기로 선택하는 경우)은 판매로 간주되지 않습니다.

명시적 공개 및 동의 요건

앱의 개인 정보 및 민감한 사용자 데이터 액세스, 수집, 사용 또는 공유가 해당 제품 또는 기능을 사용하는 사용자의 합리적인 기대 범위 내에 포함되지 않을 수 있는 경우 사용자 데이터 정책의 명시적 공개 및 동의 요건을 충족해야 합니다.

앱이 개인 정보 및 민감한 사용자 데이터를 기본적으로 수집하도록 만들어진 서드 파티 코드(예: SDK)를 통합하는 경우 Google Play에서 요청을 받은 후 2주 이내에(또는 Google Play가 요청에서 더 긴 기간을 제공한 경우 해당 기간 내에), 서드 파티 코드를 통한 데이터 액세스, 수집, 사용 또는 공유 관련 요건을 비롯하여 앱이 본 정책의 명시적 공개 및 동의 요건을 준수한다는 사실을 보여주는 충분한 증거를 제공해야 합니다.

SDK 등의 서드 파티 코드 사용으로 인해 앱이 사용자 데이터 정책을 위반하지 않도록 해야 합니다.

명시적 공개 및 동의 요건에 관한 자세한 내용은 이 고객센터 도움말을 참고하세요.

SDK로 인한 위반의 예

  • 앱이 SDK를 통해 개인 정보 및 민감한 사용자 데이터를 수집하지만 이러한 데이터를 이 사용자 데이터 정책, 액세스, 데이터 처리(허용되지 않는 판매 포함), 명시적 공개 및 동의 요건의 대상으로 취급하지 않습니다.
  • 앱에 통합된 SDK가 기본적으로 개인 정보 및 민감한 사용자 데이터를 수집하면서 이 정책의 사용자 동의 및 명시적 공개에 관한 요건을 위반합니다. 
  • 앱에 사용된 SDK가 앱에서 사기 및 악용 방지 기능을 제공할 목적으로만 개인 정보 및 민감한 사용자 데이터를 수집한다고 주장하지만 SDK에서 수집한 데이터가 광고 또는 분석을 위해 제3자와 공유됩니다. 
  • 명시적 공개 가이드라인 및/또는 개인정보처리방침 가이드라인을 준수하지 않고 사용자가 설치한 패키지 정보를 전송하는 SDK가 앱에 포함되어 있습니다. 

개인 정보 및 민감한 정보 액세스에 관한 추가 요구사항

아래 표에는 특정 활동에 관한 요구사항이 설명되어 있습니다.

활동  요구사항
앱이 영구적인 기기 식별자(예: IMEI, IMSI, SIM 일련번호 등)를 수집하거나 이에 연결하는 경우

영구적인 기기 식별자는 다음 용도를 제외하고는 다른 개인 정보 및 민감한 사용자 데이터 또는 재설정 가능한 기기 식별자와 연결할 수 없습니다.

  • SIM 아이덴티티와 연결된 전화 통신(예: 이동통신사 계정과 연결된 Wi-Fi 통화)
  • 기기 소유자 모드를 사용하는 기업 기기 관리 앱

이러한 용도는 사용자 데이터 정책에 명시된 대로 사용자에게 명확하게 공개되어야 합니다.

다른 고유 식별자에 관해 알아보려면 이 리소스를 참고하세요.

Android 광고 ID에 관한 추가 가이드라인은 광고 정책에서 확인하세요.
앱이 아동을 대상으로 하는 경우 앱에는 아동 대상 서비스에 사용할 수 있도록 자체 인증한 SDK만 포함할 수 있습니다. 정책 전문 및 요구사항은 가족용 자체 인증 광고 SDK 프로그램을 참고하세요. 

 

SDK로 인한 위반의 예

  • 앱에서 사용하는 SDK가 Android ID 및 위치를 연결합니다. 
  • 앱에서 사용하는 SDK가 AAID를 광고 또는 분석 목적으로 영구적인 기기 식별자에 연결합니다. 
  • 앱에서 사용하는 SDK가 분석 목적으로 AAID 및 이메일 주소를 연결합니다.

데이터 보안 섹션

모든 개발자는 앱마다 사용자 데이터의 수집, 사용, 공유에 관한 자세한 설명을 포함하여 데이터 보안 섹션을 명확하고 정확하게 작성해야 합니다. 여기에는 앱에 사용된 서드 파티 라이브러리 또는 SDK를 통해 수집되고 처리되는 데이터가 포함됩니다. 개발자는 라벨을 정확히 작성하고 정보를 최신 상태로 유지할 책임이 있습니다. 해당하는 경우 데이터 보안 섹션은 앱의 개인정보처리방침에 공개된 내용과 일치해야 합니다.

데이터 보안 섹션 작성에 관한 추가 정보는 이 고객센터 도움말을 참고하세요.

사용자 데이터 정책 전문을 확인하세요.
민감한 정보에 액세스하는 권한 및 API 정책

민감한 정보 액세스 권한 및 API에 관한 요청은 사용자가 이해할 수 있어야 합니다. Google Play 등록정보에서 홍보된 앱의 현재 기능 또는 서비스를 구현하는 데 필요한 민감한 정보 액세스 권한 및 API만 요청할 수 있습니다. 공개, 구현 또는 허용되지 않은 기능이나 목적을 위해 사용자 또는 기기 데이터에 액세스하는 민감한 정보 액세스 권한 또는 API를 사용해서는 안 됩니다. 민감한 정보에 액세스하는 권한 또는 API를 통해 액세스한 개인 정보 또는 민감한 정보는 절대로 판매하거나 판매를 촉진할 목적으로 공유할 수 없습니다.

민감한 정보에 액세스하는 권한 및 API 정책 전문을 확인하세요.

SDK로 인한 위반의 예

  • 앱에 포함된 SDK가 허용되지 않거나 공개되지 않은 목적으로 백그라운드에서 위치 정보를 요청합니다. 
  • 앱에 포함된 SDK가 사용자의 동의 없이 read_phone_state Android 권한에서 파생된 IMEI를 전송합니다.
멀웨어 정책

Google은 Google Play 스토어를 포함한 Android 생태계와 사용자 기기에는 악의적 행위(즉, 멀웨어)가 없어야 한다는 단순 명료한 멀웨어 정책을 견지합니다. 이 기본적인 원칙을 통해 사용자와 Android 기기를 위한 안전한 Android 생태계를 조성하고자 노력하고 있습니다.

멀웨어란 사용자, 사용자 데이터 또는 기기를 위험에 노출할 수 있는 모든 코드를 말합니다. 멀웨어는 잠재적으로 위험한 애플리케이션(PHA), 바이너리 또는 프레임워크 수정을 포함하되 이에 국한되지 않으며 트로이 목마, 피싱, 스파이웨어 앱과 같은 카테고리로 이루어집니다. Google은 지속적으로 새로운 카테고리를 업데이트 및 추가하고 있습니다.

멀웨어 정책 전문을 확인하세요.

SDK로 인한 위반의 예

  • 앱이 Android 권한 모델을 위반하거나 다른 앱에서 OAuth 토큰과 같은 사용자 인증 정보를 탈취합니다.
  • 앱이 제거 또는 중단되지 않도록 기능을 악용합니다.
  • 앱이 SELinux를 사용 중지합니다.
  • 앱에 포함된 SDK가 공개되지 않은 목적으로 기기 데이터에 액세스하여 승격된 권한을 획득하는 방식으로 Android 권한 모델을 위반합니다.
  • 휴대전화 청구를 통해 콘텐츠를 구독하거나 구매하도록 사용자를 속이는 코드가 SDK와 함께 앱에 포함되어 있습니다.

사용자 권한 없이 기기를 루팅하는 권한 에스컬레이션 앱은 루팅 앱으로 분류됩니다.
원치 않는 모바일 소프트웨어 정책

투명한 행동과 명확한 공개

모든 코드는 사용자에게 약속한 내용을 전달해야 합니다. 앱은 안내한 모든 기능을 제공해야 하며 사용자의 혼란을 유도하지 않아야 합니다. 

위반 예시:

  • 광고 사기
  • 소셜 엔지니어링

사용자 데이터 보호

개인 정보 및 민감한 사용자 데이터의 액세스, 사용, 수집, 공유에 관해 명확하고 투명하게 공개합니다. 사용자 데이터 사용 시에는 적용되는 모든 관련 사용자 데이터 정책을 준수하고 데이터 보호를 위한 모든 예방 조치를 취해야 합니다.

위반 예시:

  • 데이터 수집(스파이웨어 참고)
  • 제한된 권한 악용

원치 않는 모바일 소프트웨어 정책 전문을 확인하세요.
기기 및 네트워크 악용 정책

사용자의 기기, 기타 기기 또는 컴퓨터, 서버, 네트워크, 애플리케이션 프로그래밍 인터페이스(API), 서비스(기기에 설치된 기타 앱, Google 서비스, 승인된 이동통신사 네트워크를 포함하되 이에 국한되지 않음)를 방해하거나, 작동에 지장을 주거나, 손상하거나, 무단으로 액세스하는 앱은 허용되지 않습니다.

런타임에 로드되는(예: 앱에 패키징되지 않음) 인터프리트 언어(자바스크립트, Python, Lua 등)가 포함된 앱 또는 서드 파티 코드(예: SDK)에서 잠재적인 Google Play 정책 위반을 허용해서는 안 됩니다.

보안 취약점을 야기하거나 악용하는 코드는 허용되지 않습니다. 개발자에게 신고된 최근 보안 문제에 관해 알아보려면 앱 보안 개선 프로그램을 확인하세요.

기기 및 네트워크 악용 정책 전문을 확인하세요.

SDK로 인한 위반의 예

  • 제3자에게 프록시 서비스를 제공하는 앱은 사용자를 대상으로 이러한 기능을 제공하는 것이 앱의 주된 목적인 경우에만 서비스를 제공할 수 있습니다.
  • 앱에 포함된 SDK가 dex 파일, 네이티브 코드 등 Google Play 외 소스의 실행 코드를 다운로드합니다.
  • 앱에 포함된 SDK에 WebView가 있으며, 이 WebView에는 신뢰할 수 없는 웹 콘텐츠(예: http:// URL) 또는 신뢰할 수 없는 출처에서 획득한 확인되지 않은 URL(예: 신뢰할 수 없는 인텐트에서 가져온 URL)을 로드하는 자바스크립트 인터페이스가 추가되어 있습니다.
  • 앱에 포함된 SDK에 자체 APK를 업데이트하는 데 사용하는 코드가 포함되어 있습니다.
  • 앱에 포함된 SDK가 안전하지 않은 연결을 통해 파일을 다운로드하여 사용자를 보안 취약점에 노출시킵니다.
  • 앱에서 사용하는 SDK에 Google Play 외부의 알 수 없는 소스에서 애플리케이션을 다운로드하거나 설치하는 코드가 포함됩니다.
사기 행위 정책

앱이 사용자를 속이려고 시도하거나 부정행위를 조장해서는 안 됩니다. 여기에는 기능적으로 불가능하도록 제작된 앱을 포함하되 이에 국한되지 않습니다. 앱은 메타데이터의 모든 부분에서 앱의 기능을 정확하게 공개하고 설명하며, 기능에 관한 이미지/동영상을 제공해야 합니다. 앱이 운영체제나 다른 앱의 기능 또는 경고를 모방하려고 해서는 안 됩니다. 기기 설정을 변경하려면 사용자에게 알린 후 동의를 받아야 하며, 변경된 설정을 사용자가 되돌릴 수 있어야 합니다.

전체 사기 행위 정책을 확인하세요.

동작의 투명성

앱의 기능은 사용자에게 충분히 명확하게 전달되어야 하며, 숨겨진 기능, 비활성 기능 또는 문서화되지 않은 기능이 앱에 포함되어서는 안 됩니다. 앱 리뷰를 회피하는 기법은 허용되지 않습니다. 사용자의 안전, 시스템 무결성, 정책 준수를 보장하기 위해 앱에 관한 추가적인 세부정보를 제공해야 할 수도 있습니다.

SDK로 인한 위반의 예

  • 앱에 앱 리뷰를 회피하는 기법을 사용하는 SDK가 포함되어 있습니다.

일반적으로 어떤 Google Play 개발자 정책이 SDK로 인한 위반과 관련되어 있나요?

앱에서 사용하는 모든 서드 파티 코드가 Google Play의 개발자 프로그램 정책을 준수하도록 하려면 다음 정책을 전부 참고하시기 바랍니다.

이러한 정책과 관련해 문제가 발생하는 경우가 더 일반적이기는 하지만 부적합한 SDK 코드로 인해 앱이 위에 참조되지 않은 다른 정책을 위반할 수도 있다는 점에 주의해야 합니다. SDK가 정책을 준수하는 방식으로 앱 데이터를 처리하도록 하는 것은 앱 개발자의 책임이므로 모든 정책을 전부 검토하고 최신 정보를 알아두시기 바랍니다.

자세한 내용은 고객센터를 참고하세요.

도움이 되었나요?

어떻게 하면 개선할 수 있을까요?

도움이 더 필요하신가요?

다음 단계를 시도해 보세요.

문의하기 자세히 알려주시면 도움을 드리겠습니다.
true
검색
검색어 지우기
검색 닫기
기본 메뉴
5909739408508690224
true
도움말 센터 검색
true
true
true
true
true
92637
false
false