EA, 루카스아츠 등의 회사에서 일하고 자신이 만든 앱 게임 벤쳐회사인 Mika Mobile에서 RPG Battleheart로 성공한 Noah Bordner가 최근 안드로이드로 포팅하고 몇 주간 판매후 느낀 점들을 밝혔습니다.
장점
안드로이드에서 가장 좋은 점은 승인 프로세스가 없다는 것이다. 이것은 버그나 호환성에 문제가 있다는 보고를 받게되면 버그 수정후에 승인까지 대기할 필요없이 바로 고쳐서 업데이트할 수 있다는 것이다.
그리고 플랫폼의 수익에 대한 가능성에 대해서도 꽤 놀랐다. 아직은 iOS보다 작은 시장이기는 하지만 유료 앱들을 통해 수익이 충분히 만들어진다. 나는 왜 안드로이드에서는 무료 광고앱만이 수익을 만들 방법이라고 생각되는지 잘 모르겠다.. 아마도 앵그리버드에서의 Rovio의 결정 때문인지도 모르겠다. 안드로이드에서의 Battleheart의 수익은 iOS에서의 수익에 80% 정도는 된다. 물론 이 결과에는 여러가지 전제가 필요하긴 하다.
1) 안드로이드용 Battleheart는 안드로이드 차트에서 꽤 높은 순위에 있고(top 50), iOS용 Battleheart는 더이상 top 200에도 포함되어 있지 않지만 iOS에서 여전히 더 많이 팔리고 있다. 확실히 iOS의 앱 시장의 규모가 큰 것은 사실이다.
2) 애플에서의 추천(앱스토어 메인에 뜨는 추천앱)으로 인해 첫 두 달정도의 결과는 iOS용 Battleheart가 ‘압도적’으로 높고 그 이후로 판매는 점차 줄었다. 안드로이드용 Battleheart도 시간이 흐름에 따라 비슷하게 줄어들 것이다. 그리고 만약 출시한 달만을 비교한다면, iOS가 안드로이드 버전을 20배의 규모로 압도한다.
비록 이런 점들이 있지만 안드로이드용 Battleheart는 충분히 의미있는 수익원이며 시간의 낭비가 아니었음을 증명했다. 그리고 안드로이드 마켓의 퀄리티 기준이 꽤 낮기 때문에 세련되고 퀄리티 높은 앱은 iOS보다 안드로이드에서 더 주목받을 수 있다고 생각된다. 흥미로운 데이터가 있는데 iOS에서 사용자 평점은 꽤 괜찮은 4.5점이다(4000여개의 평가). 안드로이드에서는 놀라운 4.8점이다(1000여개의 평가). 더 높은 점수를 받았을 뿐 아니라 리뷰도 더 자주 이루어 졌고 많은 퍼센티지의 안드로이드 사용자들이 앱을 평가하는데 시간을 투자해줬다. 경쟁의 부족이 퀄리티 있는 앱들을 정말 뛰어나보이게 하며 앱에 굶주린 안드로이드 사용자들의 열렬한 지지를 이끌어내는 것 같다.
안드로이드에서의 수치들은 더 놀라운 것이 이 앱은 마켓정면에서 어떠한 무료 마케팅도 되지 않았고(마켓 메인에 뜨는 추천앱이 아니었다는 거죠) 우리도 전혀 프로모션을 하지 않았다는 것이다. Battleheart가 iOS에서 성공했던 가장 큰 이유는 처음에는 New and Noteworthy 리스트, 나중에는 Game of the Week로 앱스토어에 눈에 띄게 추천되어졌다는 것이다. 안드로이드 버전의 성공은 순전히 입소문으로 이루어진 것이다.
수정: 이 글을 적는 동안 Battleheart는 안드로이드 마켓의 추천 태블릿앱으로 등장했고 매출은 뛰었다. 어쨌거나 위의 주장들은 여전히 유효하다.
단점, 그리고 못난점
안드로이드를 지원하는 기술적인 측면은 나쁘지 않은데 골칫거리들이 좀 있다. 95%의 빡신 작업들은 우리가 앱을 개발할 때 사용하는 엔진인 Unity에 의해 처리가 된다. 사실 게임을 포팅하는게 하루정도 걸렸다. 하지만 여전히 몇몇 장치들은 우리의 쉐이더들을 제대로 처리하지 못하고, 몇몇 장치는 특별한 이유없이 크래쉬가 발생한다. 그래도 이러한 이슈들은 적은 편이긴하고 가장 신경써야할 부분은 다양한 화면과 횡종비에서 제대로 돌아가도록 하는 것이었는데 지금까지 많이 해왔던 일이라 크게 어렵진 않았다.
안드로이드에서 개발할 때 가장 불만스러웠던 부분은 문의 메일의 홍수를 처리하는 것이었다. 게다가 대부분은 앱자체에서 어떻게 할 수도 없는 설치나 다운로드 이슈라서 안드로이드 OS와 마켓이 지닌 태생적인 기술 문제들이다. “안드로이드에서 앱을 다운로드 받을 수 없음”과 같은 이슈로 구글링을 해보면 이 문제는 모든 장치와 모든 OS 버전에서 발생하는 만연적인 이슈임을 볼 수 있다.내가 매일 받는 메일의 양으로 보면 다운로드 문제는 구매자의 1~2%정도, 현실적인 용어로 2에서 3 shit-load 사이이다.(잘 모르는 표현이네요) 나는 대부분의 일반적인 문제에 대한 답을 제공하는 FAQ를 포스팅했지만 많은 사람들은 읽기 전에 환불을 요구하는 메일을 보낸다.
그리고 이것은 나의 또다른 중요한 불만으로 이끈다– 바로 구글 체크아웃. 안드로이드 개발자는 모든 거래가 이루어지는 구글 체크아웃에 판매자로 등록되어야한다. 이것은 다시 말해 모든 거래 이슈에 대해 스스로 처리해야 한다는 것이다. iOS 게임들에서는 환불을 하는 사람이 거의 없긴 하지만(tiny handful of people.. 자랑해?) 거래 관련이나 환불은 모두 애플에서 이루어지기 때문에 전혀 신경 쓸일이 없다. 안드로이드에서는 신경을 써야하며 정말, 전혀, 그러고 싶지 않다. 나는 게임만 만들고 싶지, 사람들이 앱이 어떻게 설치가 안되고(10에 9은 사용자 실수다) 환불을 위해 주어진 15분의 윈도우를 어떻게 놓쳤거나 아니면 아예 그런게 있는지 몰랐다던가(바로 그들이 손에 들고 있는 f***ing hand에 있는 장치로 보내지는 구매 영수증에 눈에 띄게 노출되지만. 맞다 이 부분에서 나의 인내심을 바닥을 치고 있다) 이런 징징대는 소리를 듣고 싶지 않다.
한때는 모든 것을 관두고 싶었던 때가 있었는데 그건 12살짜리들(혹은 그 수준의 사람들)이 자신이 얼마나 부당한 취급을 받았고 내가 왜 3달러를 환불해줘야하는지 나를 설득시키는 것에 지쳤기 때문이었다. 하지만 나는 그저 사용자 평가들을 보면 그런 문제를 가진 사람들은 소수라고 스스로 상기시키면서 목욕물을 버리면서 아기를 버리는 짓은 하지 않으려고 한다. (원치 않는 것을 버리기위해 소중한 것을 버리지 않겠다는 말)
그저께 발견 되었던 ClientLogin 프로토콜로 인한 안드로이드의 보안이슈에 대해 구글에서 서버쪽에서 문제를 수정하기로 했다고 합니다. 확실히 수없이 많을 안드로이드 폰을 수정하는 것보단 이것이 현명한 방법이군요. 수정은 어제 이루어졌다고 하며 모든 사용자에게 적용될려면 몇일 걸릴 것이라고 합니다. (사용자가 해야할 일은 없습니다.)
그런데 캘린더와 연락처에서는 문제가 수정되는데 Picasa 동기화에 대해서는 여전히 문제가 된다고 합니다. 이전에 안드로이드 2.3.4 폰에서 수정된 내용도 Picasa에는 문제가 남아있었지요.
어쨌든 현실적으로 모든 안드로이드폰들의 OS 업데이트란 불가능에 가까우니 서버쪽에서 문제가 해결이 되어서 다행입니다.
The Register에 올라온 글로 독일의 Ulm 대학의 연구에 의하면 안드로이드 장치의 99%가 공격자에 의해 쉽게 계정 해킹이 가능하다고 합니다.
안드로이드는 ClientLogin이라는 인증 프로토콜을 제공하는데 트위터, 페이스북, 구글 캘린더와 연락처 등이 이 프로토콜을 이용하고 있습니다.
이 프로토콜을 이용해 로그인을 했을 때 얻어진 인증 토큰은 암호화되지 않은 평문(cleartext)이라고 하며 해당 토큰을 얻은 후에는 14일동안 해당 서비스를 이용할 수 있다고 합니다.
따라서 이 토큰을 공격자들이 얻게 되면 사용자의 계정에 접속할 수 있게 되는 것이지요. (좀 더 설명을 드리자면 처음에 아이디와 비밀번호를 입력해 서비스에 접속을 하면 인증 토큰을 받고 그 이후부터는 인증 토큰으로 서비스를 이용하게 되는 것입니다.)
연구자들은 이런 공격으로 구글 서비스를 해킹하는게 가능한지 알기위해 연구를 시작하였고 이것이 가능하며 매우 간단했다고 밝혔습니다.
실험자들은 먼저 T-Mobile, attwifi, starbucks와 같은 일반적인 SSID로 와이파이 액세스 포인트를 만들었고
(우리나라로 치면 Nespot, ollehWiFi, T wifi zone 등으로 생각하면 됩니다)
안드로이드 폰들은 이미 알고있는 네트워크에 대해서는 자동 접속을 하고 동기화를 시작하게 됩니다.
이때 공격자는 동기화를 시도하는 각 서비스에 대해 인증 토큰을 수집하면 끝입니다.
ClientLogin을 사용하는 앱들은 당장 암호화된 https 경로를 이용해야한다고 연구자들은 밝혔습니다. 또 가장 안정된 인증 프로토콜로 알려진 oAuth도 이 공격을 막을 수 있지만 동기화 데이터 또한 수집되는 것을 막을려면 https가 사용되어야 합니다.
또 구글이 인증토큰이 유효한 기간(현재는 14일)을 줄이고 http 접속을 통한 인증 요청은 거부해야한다고 제안했습니다.
안드로이드 2.3.4부터 인증토큰이 암호화되어 전송되는데 이 버전을 지원하는 단말이 1%밖에 없어 99%는 위험성에 노출되어 있습니다. 또 수정된 이 버전(2.3.4)에서도 Picasa 웹 앨범 동기화에서는 민감한 데이터들이 암호화되지않고 전송이되는 문제가 있다고 합니다. 구글도 이 문제를 알고 있고 수정중이라고 합니다.
생각해보면 지금 당장이라도 Nespot이나 T Wifi Zone, iptime 등으로 AP만들고 자동접속하는 단말들의 계정정보를 얻는게 가능한데 심각한 문제로 보입니다.
현재로썬 이 문제를 방지하려면 와이파이에 자동으로 접속하지 않도록 하고 공개된 비보안 와이파이를 사용하지 않는게 최선으로 보입니다. 안드로이드는 많은 단말들이 OS 업데이트의 혜택을 받지 못하는 문제가 있는데 새 버전에서의 기능추가뿐만 아니라 보안에서의 취약점을 해결하지 못하는 것은 지속적으로 문제가 될 것 같습니다. 현재 업데이트 지원이 끝나버린 스마트폰들이 수두록한데 이 폰들은 계속 위험을 가지고 사용을 해야한다는 거죠. 구글이 따로 설치가능한 패치를 제공해야하지 않을까 싶네요.
The Worst Thing Ever on Android – Gizmodo
이런 자극적인 제목의 글이 기즈모도에 떠서 보니 푸쉬 알림 기반 광고.
기존의 광고는 앱을 사용중인 액티브(active) 사용자만을 대상으로 하는데
이 솔루션은 앱을 사용하고 있지 않는 인액티브(inactive) 사용자까지 광고를 보여준다면서 개발자들을 유혹하고 있는데,
이런 생각을 하다니! 싶은 참신한 아이디어이긴하다.
하지만 넘어서는 안될 선을 넘은 듯?
위의 멘트대로 앱을 받았다는 이유로 사용자는 앱을 사용하지 않아도 광고를 수시로 받아보는 상황이 되는거다.
만약 그런앱이 하나가 아니라 여러개라면?
수시로 폰은 울려대는데 보면 광고인 상황이 계속되는 아주 짜증스러운 스마트폰이 되겠지.
말하자면 광고를 보여주는 대신에 $25 할인해서 판매하는 킨들처럼 되는 것이 아닐까 싶다.
저 글에서는 개발자가 고수익을 추구하는 게 문제냐는 반론도 제기되면서 논쟁이 계속되고 있다.
요즘 무료앱은 광고를 통해 수익을 얻는게 대세인데
특히 안드로이드의 경우는 앱의 불법복제가 용이하기 때문에 앵그리 버드처럼 아예 유료앱을 포기하고 광고를 포함한 무료앱으로 수익을 얻고자 하는 경우가 많다.
그런데 사실 주변의 안드로이드 폰을 살펴보았을때 광고가 없는 앵그리 버드를 쉽게 볼 수 있는데, 이 광고조차 없앤 앱을 카페 등에서 쉽게 구할 수 있기 때문이다.
수익을 추구하는 개발자와 거저 먹을려는 사용자의 싸움이 계속된다면 개발자는 앱 개발을 그만두거나 다른 돈되는 플랫폼으로 갈아탈수 밖에 없기 때문에 결국 손해보는 것은 사용자가 될 수 밖에 없다.
이런 과정에서 어떻게든 수익을 얻을려는 결과가 이런 푸쉬 광고가 된 것이 아닐까 싶다.
물론 저런 광고를 차용한 앱이 등장한다면 사용자 또한 안쓰면 그만이다. (앵그리버드나 카카오톡 같은 메이저앱이면 좀 난감하겠지만..)
그리고 안드로이드는 푸쉬앱이 없어서 잘 모르겠지만 iOS에서는 앱별로 푸쉬 알림을 켜고 끄는게 가능하므로 푸쉬 알림을 꺼버리면 그만일수도 있다.
(하지만 카카오톡이라면 알림없이 쓸 바엔 안쓰는게 낫겠지..)
뭐랄까, 열어서는 안될 판도라의 상자 같은 느낌.
사실 메이저 개발사들은 돈을 많이 번다는 뜻이니 저런 극단적인 선택을 할리는 없을 것 같고
저런 방식을 도입한다는 것은 수익에 쪼들리고 있는 영세한 개발사들일텐데 그런 앱들은 충분히 대용품을 구할 수 있을테니
실제로 저런게 사용자를 괴롭힐 일은 없을 것 같은 느낌은 든다.
그래도 고생하고 있을 앱 개발자들을 생각해서 왠만하면 앱을 구입하고 광고를 봐주는 게
서로 윈윈하는 길이 아닐까 싶다.
왠만한 앱은 비싸다한들 카페에서 사먹는 커피한잔 값도 안하는 경우가 많다.
매번 업데이트 될때마다 크랙버전 찾아다니는 노력대신에 한번 지르고 오래 즐기는게 자신에게도 득이 아닐까 싶다.