구글이 건전한 인터넷을 목표로 제창했던 새로운 웹 표준인 WEI(Web Environment Integrity) 추진을 포기하고 있는 게 안드로이드팀에 의해 밝혀졌다. 또 범위를 안드로이드 웹뷰(Android WebView)로 좁혀 안드로이드 보안과 프라이버시 보호 성능 향상으로 이어지는 안드로이드 엡뷰 미디어 인터그리티 API(Android WebView Media Integrity API) 시험 운용을 2024년 초부터 실시할 예정이라고 한다.
안드로이드에선 앱에 미디어를 삽입할 때 웹뷰 API가 사용된다. 안드로이드팀에 따르면 웹뷰 API는 유연성이 높고 보안과 프라이버시 보호 지속적 개선은 최우선 사항이라고 한다. 웹 개발자와 SDK 공급자는 사용자 개인 정보를 보호하면서 앱 서버 요청을 확인할 수 있는 플레이 인터그리티 API(Play Integrity API), 파이어베이스 앱 체크(Firebase App Check) 같은 구성 인증 서비스를 포함한 솔루션을 제공하며 미디어가 신뢰활 수 있는 안전한 환경에서 재생되고 있는 걸 임베드한 미디어 제공자가 확인할 수 있도록 하고 있다.
하지만 현행 프로세스는 단순한 게 아니며 확장성도 없기 때문에 2024년 초를 목표로 일부 임베디드 미디어 공급자를 대상으로 안드로이드 웹뷰 미디어 인터그리티 API 시험 운영을 시작할 예정이다.
인터그리티 API라는 명칭은 구글이 지난 7월 제창한 새로운 웹 표준인 WEI를 떠올리게 하지만 안드로이드팀에 따르면 다양한 피드백을 얻은 결과 크롬팀은 WEI 검토를 포기했다고 한다.
한편 안드로이드 웹뷰 미디어 인터그리티 API는 앱에 포함된 웹뷰만을 대상으로 하는 것이다. 구글 모바일 서비스가 설치된 안드로이드 기기 기존 기능을 확장하기만 하면 되며 스트리밍 영상과 오디오 같은 포함된 미디어나 안드로이드 웹뷰 범위를 넘어서는 제공은 계획하고 있지 않다.
안드로이드팀이 웹뷰 과제로 생각하는 건 유연성이 높지만 앱 개발자가 웹 콘텐츠에 액세스해 사용자 조작을 읽거나 변경할 수 있기 때문에 사기나 부정에 사용할 가능성이 있다는 것. 앱이 자체 웹 콘텐츠를 삽입할 때 이점이 되지만 악의적 공격자가 콘텐츠를 변경할 수 있다.
안드로이드 웹뷰 미디어 인터그리티 API는 기기와 앱 무결성 결정을 포함한 응답을 지원해 임베디드 미디어 제공자는 내장 앱이 어떤 앱스토어에서 설치됐는지에 관계없이 스트림을 안전하고 신뢰할 수 있는 환경에서 실행되는지 확인할 수 있다. 이런 결정에는 사용자나 장치 식별자는 포함되지 않는다.
안드로이드 웹뷰 미디어 인터그리티 API 목표는 안드로이드 앱 미디어 콘텐츠 생태계 유지에 도움을 주는 것으로 2024년 초부터 시작되는 조기 액세스 프로그램에 참여하는 미디어 콘텐츠 제공자르 모집하고 있다. 관련 내용은 이곳에서 확인할 수 있다.