iOS가 일본에서 대체 브라우저 엔진을 허용 시작

• iOS 26.2 이상에서 일본 사용자용 앱은 WebKit 이외의 브라우저 엔진을 사용할 수 있으며, 전체 브라우저 앱과 임베디드 브라우저 엔진을 사용하는 앱 두 종류가 허용됨
• Apple은 승인된 개발자에게 JIT 컴파일, 멀티프로세스 지원 등 고성능 브라우저 엔진 구현을 위한 시스템 기술 접근 권한을 제공함
• 보안 위험을 이유로, Apple은 엄격한 보안·프라이버시 요건을 충족하고 지속적인 보안 업데이트를 약속한 개발자에게만 권한을 부여함
• 브라우저 앱과 인앱 브라우징 앱 모두 테스트 통과율, 메모리 안전성, 취약점 대응, 쿠키 차단 정책 등 세부 기준을 충족해야 함
• 이번 조치는 일본 시장에서 브라우저 엔진 선택의 폭을 확대하면서도 사용자 보안을 유지하려는 정책 변화로 평가됨

iOS 26.2에서의 대체 브라우저 엔진 허용 개요

• iOS 26.2 이상 버전에서 일본 내 사용자용으로 WebKit 외의 브라우저 엔진 사용이 허용됨
  • 허용 대상은 두 가지 유형의 앱:
    1. 전용 브라우저 앱(전체 웹 브라우징 경험 제공)
    2. 브라우저 엔진 관리자가 제공하는 인앱 브라우징 앱(임베디드 엔진 사용)
• Apple은 승인된 개발자에게 JIT 컴파일, 멀티프로세스 지원 등 핵심 시스템 기술 접근 권한을 부여함
• 브라우저 엔진은 악성 콘텐츠와 민감한 사용자 데이터에 노출되므로, Apple은 특정 기준을 충족하고 지속적 보안 요건을 이행하는 개발자만 승인함

Web Browser Engine Entitlement (전용 브라우저 앱용)

• 이 권한을 통해 대체 브라우저 엔진을 사용하는 브라우저 앱을 개발 가능
  • 신청 전 요건 검토 후 Apple에 요청 제출 필요
  • 기술 참고 자료로 BrowserEngineKit, BrowserEngineCore, 기본 브라우저 설정 가이드 제공

자격 요건

• 앱은 일본 내 iOS 전용 배포여야 하며, 시스템 제공 엔진을 사용하는 다른 앱과 별도 바이너리로 구성
• Default Browser Entitlement를 보유해야 함
• 기능 요건:
  • Web Platform Tests 90% 이상, Test262 80% 이상 통과
  • JIT 비활성화 상태(예: Lockdown Mode)에서도 동일 기준 충족

보안 요건

• 보안 개발 프로세스 채택 및 공급망 취약점 모니터링
• 취약점 공개 정책 URL 제공 및 제3자 보고 채널 확보
• 30일 내 취약점 완화 조치 등 신속 대응 의무
• 해결된 취약점 공개 페이지 운영
• 루트 인증서 정책 공개 및 CA/Browser Forum 참여
• TLS 최신 프로토콜 지원 필수

프로그램 보안 요건

• 메모리 안전 언어 또는 안전 기능 사용
• Pointer Authentication Codes(PAC) , Memory Integrity Enforcement(MIE) 등 최신 완화 기술 적용
• 프로세스 분리 및 IPC 검증, 취약점 우선 해결
• 보안 업데이트 중단된 라이브러리 사용 금지

프라이버시 요건

• 서드파티 쿠키 기본 차단, 사용자 동의 시만 허용
• 사이트별 스토리지 분리 및 교차 사이트 접근 차단
• 앱 간 상태 동기화 금지, 명시적 사용자 허가 시만 허용
• 기기 식별자 공유 금지, App Privacy Report 라벨링 필수
• PII 접근 API는 사용자 활성화 및 동의 필요

Embedded Browser Engine Entitlement (인앱 브라우징용)

• 앱 내에서 대체 브라우저 엔진을 임베드해 웹 콘텐츠 표시 가능
  • 인앱 브라우징은 웹 브라우저에서 접근 가능한 콘텐츠 표시 목적에 한정
  • UI는 화면 대부분을 차지, 기본 브라우저로 열기 버튼, 도메인/URL 표시 필요

자격 요건

• 신청자는 브라우저 엔진 관리 주체(browser engine steward) 여야 함
  • 엔진의 운영·보안 대응 책임을 직접 지는 조직
  • 독립적 아키텍처와 Web API 지원을 가진 별도 엔진이어야 함

앱 요건

• 일본 내 iOS 전용 배포, 기본 브라우저 권한 보유 금지
• Web Platform Tests 90% , Test262 80% 이상 통과
• JIT 비활성화 상태에서도 동일 기준 충족

보안 및 프로그램 요건

• 보안 개발 프로세스, 취약점 공개 정책, 30일 내 대응, TLS 지원 등 전용 브라우저 앱과 동일
• 메모리 안전 언어 사용, 최신 보안 완화 기술 적용, 취약점 우선 해결 의무
• 보안 업데이트 중단된 라이브러리 사용 금지

프라이버시 요건

• 서드파티 쿠키 차단, 사이트별 스토리지 분리, 기기 식별자 공유 금지
• App Privacy Report 라벨링 및 PII 접근 시 사용자 동의 필요

추가 요건

• 앱 제출 시 임베디드 엔진 이름과 버전 명시
• 엔진 새 버전 공개 후 15일 이내 앱 업데이트 제출

개발자 참고 자료 및 보안 가이드

• Secure SDLC: 위협 모델링, 코드 감사, 퍼징 테스트 등 보안 중심 개발 권장
• Memory Safety: Swift의 기본 메모리 안전성, C/C++의 std::span, -fbounds-safety 옵션 등 활용
• Vulnerability Management: CVE-ID 기반 공개 취약점 관리, 신속한 패치 배포 필요
• Network Security: iOS SDK의 Network framework, SecTrust API 사용 권장
  • TLS 1.2, 1.3 지원 필수, 구버전 프로토콜 사용 시 사용자 경고 필요

관련 문서 및 계약서

• Embedded Browser Engine Entitlement Addendum for Apps in Japan
• Web Browser Engine Entitlement Addendum for Apps in Japan