아이디어를 한 달 동안 다듬어 만든 앱이 심사 며칠 만에 "Guideline 4.3 Design Spam"이라는 한 줄짜리 메일로 거절되는 일이 흔합니다. Twinr가 집계한 2025년 자료에 따르면 App Store에 처음 제출되는 앱의 약 15%가 1차 심사에서 반려되며, Appcircle 분석에서는 최소 기능 부족(Minimum Functionality) 항목 하나만으로도 첫 제출의 99% 가까이가 한 번은 걸린다고 합니다.
출시 거절 고위험 카테고리를 조항 단위로 분해해 설계 전략을 잡는 흐름도
흥미로운 점은 이 거절이 무작위가 아니라는 것입니다. 특정 도메인에 속한 앱은 처음부터 통과 확률이 다른 앱보다 현저히 낮습니다. 한국 인디 커뮤니티에서 회자되는 여섯 분야인 건강, 매칭·점성술, 금융 데이터, 자동화·스크래핑, 확률형, 미성년자 대상 앱이 그렇습니다. Apple과 Google이 별도 조항으로 분리해서 다루는 이유는 명확합니다. 법적 책임, 시장 포화, 사회적 외부효과 세 가지가 한 분야에 동시에 걸려 있기 때문입니다.
이 문서는 단순히 "어렵다"가 아니라, 조항 번호와 법령 매핑, 해외 실제 거절 텍스트, 그리고 통과한 인디 사례의 차이점을 한 번에 정리합니다. 단순 회피가 아니라 어떤 설계 변경이 심사관의 판단을 뒤집는지가 핵심입니다.
1. 거절률이 높은 도메인을 가르는 세 가지 축
심사 리스크 3축: 외부 분쟁·시장 포화·법령 규제가 겹칠수록 리젝 확률이 급격히 올라갑니다.
앱 심사를 오래 추적해 보면, 위험 카테고리는 임의로 정해진 것이 아니라 세 축의 교집합이라는 것이 드러납니다. 첫째는 사후 분쟁이 외부에서 발생할 수 있는 분야입니다. 의료 사고, 데이트 폭력, 금융 손실은 스토어가 직접 통제할 수 없는 결과로 이어집니다. 둘째는 이미 시장이 포화돼 신규 앱의 가치 입증 부담이 큰 분야입니다. 셋째는 각국 법령이 별도의 인허가를 요구하는 분야로, 스토어 정책 위에 추가 규제층이 얹힌 영역입니다.
| 위험 축 | 대표 도메인 | 스토어가 요구하는 보호 장치 |
|---|---|---|
| 외부 분쟁 위험 | 건강·금융·매칭 | 법인 등록, 면책 문구, 책임 주체 명시 |
| 시장 포화 | 점성술·플래시라이트·만보기 | 차별화 입증, 4.3 조항 통과 |
| 추가 법령 규제 | 게임·VPN·아동 | 외부 심의 기관 승인, 연령 인증 |
이 세 축이 둘 이상 겹치는 분야가 바로 "개인 개발자가 출시하기 어려운 앱"으로 불리는 영역입니다. 예컨대 코인 시세 추적 앱은 외부 분쟁 위험과 법령 규제가 동시에 걸리고, 운세 앱은 외부 분쟁 위험과 시장 포화가 겹칩니다.
핵심 포인트: 위험 카테고리에 도전할 때는 "내 앱이 이 세 축 중 몇 개에 걸리는가"를 먼저 진단해야 합니다. 세 축이 모두 걸리는 앱은 사실상 법인 전환과 외부 인허가 없이는 출시가 불가능하므로, 기획 단계에서 한두 축을 떼어내는 설계가 핵심 우회 전략이 됩니다.
2. 헬스킷이 아닌 헬스 앱을 만든다는 발상
2.1. 조항이 실제로 막는 것
Apple 가이드라인 5.1.3은 흔히 "건강 앱 금지 조항"으로 알려져 있지만, 원문을 자세히 보면 차단 대상이 더 구체적입니다. 조항은 (i) 부정확한 데이터를 HealthKit이나 의학 연구 앱에 주입하는 행위, (ii) 건강 측정 정확도 주장의 방법론 미공개, (iii) 개인 건강 정보의 iCloud 저장, (iv) 광고 목적의 건강 데이터 활용 네 가지를 핵심 금지로 나열합니다.
반대로 말하면 HealthKit을 건드리지 않고 정확도 주장을 하지 않으며 광고 타게팅에 데이터를 쓰지 않는 앱은 5.1.3 자체에 걸리지 않습니다. 한국에서 "개인은 건강 앱 못 올린다"는 말이 도는 이유는 의료기기법 제2조에 따라 질병 진단·예방·치료를 표방하면 의료기기 인허가 대상이 되기 때문이지, 스토어 정책 자체가 개인을 차단하는 것은 아닙니다.
2.2. 통과한 인디 헬스 앱의 공통 설계
2025년 이후 App Store에서 1인 개발자가 출시에 성공한 건강 관련 앱을 살펴보면 공통점이 보입니다.
- 측정이 아니라 기록으로 기능을 한정합니다. 카메라·센서로 무언가를 추정하는 순간 정확도 입증 요구가 따라옵니다.
- HealthKit 쓰기 권한 대신 읽기 권한만 요청합니다. 데이터 손상 위험이 사라지면서 5.1.3(i) 충돌이 없어집니다.
- 앱 설명과 스크린샷에서 "진단", "치료", "개선" 같은 의료 표현을 전부 "기록", "추적", "확인"으로 치환합니다.
- Google Play의 경우 Health Connect 권한 사용 시 별도 검토 양식을 제출해야 하며, 개인정보처리방침에 데이터 보관 기간과 삭제 절차를 명시해야 통과합니다.
- 한국 식약처 의료기기 분류에서 "일반 웰니스 제품"으로 해석될 수 있는 범위(생활 습관 기록, 운동 동기 부여)에만 머무릅니다.
3. 디자인 스팸이 운세·매칭 앱을 잡는 이유
거절 메일 신호 5가지: Specifically, Unable to find, Similar apps, Legal entity, Resolution Center 패턴을 먼저 확인하세요.
Apple은 가이드라인에서 포화 카테고리를 직접 거명한 적이 있습니다. Medium의 Andriy Gordiychuk가 정리한 4.3 거절 메일 원문과 Hacker News 토론에 따르면, 심사관이 명시적으로 거론하는 포화 분야는 방귀음, 트림, 플래시라이트, 운세, 데이트, 음주 게임, 카마수트라 일곱 가지입니다. 2020년 Struck라는 점성술 앱이 9회 연속 4.3 거절을 당한 사건이 알려지면서, 운세 카테고리는 사실상 개인 신규 출시가 막혔다는 인식이 굳어졌습니다.
4.3은 두 갈래로 나뉩니다. 4.3(a)는 비슷한 앱을 대량으로 올리는 도배형 스팸이고, 4.3(b)는 이미 포화된 카테고리에 새 가치 없이 진입하는 것입니다. 인디 개발자가 한 번 4.3(b) 거절을 받으면 개발자 계정 자체에 플래그가 붙어 후속 앱 심사도 까다로워진다는 보고가 Solar2D 포럼과 r/iOSProgramming 다수 게시물에서 반복됩니다.
3.1. 통과 사례에서 추출한 차별화 패턴
매칭·운세 카테고리에서 4.3을 뚫은 앱들의 공통 전략은 "카테고리를 옮긴다"입니다.
- 운세를 저널링·자기 성찰 도구로 재정의하면 라이프스타일 카테고리로 이동 가능합니다. 사주 데이터를 그대로 보여주지 않고, 사용자가 자신의 하루를 회고하는 질문 트리거로 활용하는 식입니다.
- 매칭을 취미·관심사 커뮤니티로 재설계합니다. 1대1 프로필 스와이프가 아니라 그룹 활동 기반 만남으로 구조를 바꾸면 4.3(b) 회피와 동시에 사용자 안전 이슈도 줄어듭니다.
- 한국어 외 시장을 먼저 공략합니다. 일본·동남아 매칭 카테고리는 미국·한국만큼 포화되지 않아 같은 코드 베이스로 출시 성공률이 올라간다는 사례가 r/iosdev에서 자주 보고됩니다.
- 첫 제출 시 App Review Notes에 경쟁 앱 5개와의 비교표를 직접 작성해 첨부합니다. 심사관이 차별점을 찾는 수고를 덜어주는 방식이 통과율을 높입니다.
4. 금융 데이터 앱과 5.2.1·5.0의 이중 장벽
주식·코인 시세 API를 끌어와 차트를 그려주는 앱은 두 개의 장벽을 동시에 넘어야 합니다. 첫째는 Apple Distribute 페이지에 명시된 "은행, 보험, 의료, 항공, 통신 등 일부 카테고리는 법인 자격으로만 제출 가능"이라는 조항입니다. 둘째는 가이드라인 5.2.1 지식재산권 항목으로, 데이터 제공처와의 계약서 사본을 제출 요청받을 수 있다는 점입니다.
특히 한국 시장에서는 KRX 시세, 코스콤 데이터, 거래소 코인 가격이 모두 유료 라이선스 대상입니다. 무료로 보이는 야후 파이낸스·CoinGecko API도 약관을 읽어보면 상업적 재배포 시 별도 계약을 요구하는 조항이 들어 있습니다. 계약 없이 데이터를 노출하다 적발되면 스토어 제거에 더해 민사 손해배상 청구가 가능합니다.
4.1. 금융 앱 카테고리별 진입 난도
| 세부 분야 | 추가 인허가 | 개인 가능성 | 비고 |
|---|---|---|---|
| 시세 단순 조회 | 데이터 공급 계약 | 매우 낮음 | 라이선스 비용 월 단위 청구 |
| 가계부·자산 기록 | 없음 | 가능 | 단순 입력 기반이면 통과 |
| 거래·송금 | 전자금융업·은행 제휴 | 불가 | 법인+금융감독원 신고 필수 |
| 신용·대출 비교 | 마이데이터 사업자 | 불가 | 본인신용정보관리업 허가 |
| 코인 지갑 | 가상자산사업자 신고 | 불가 | 특정금융정보법 적용 |
Fintech Law Blog가 정리한 사례에 따르면, 암호화폐 지갑 앱이 App Store 승인을 받기까지 평균 6~8주의 추가 심사가 진행되며, 회사명이 "crypto", "wallet", "bitcoin"을 포함하면 5.2.1 사명 일치 조항으로 거절될 확률이 급격히 올라갑니다.
5. 자동화·크롤링 앱이 양대 스토어에서 동시에 막히는 이유
Apple 5.2.2는 "다른 회사의 서비스나 콘텐츠를 표시하는 앱은 해당 회사의 명시적 허가가 있어야 한다"고 규정합니다. 같은 맥락에서 2.5.2는 원격으로 실행 가능한 코드를 다운로드하는 행위를 금지합니다. 두 조항이 결합되면, 웹사이트를 긁어와 화면에 띄우거나 외부 스크립트로 자동 동작하는 모든 앱이 차단 대상이 됩니다.
Google Play 쪽은 더 직접적입니다. AccessibilityService API를 장애인 보조 외 용도로 쓰는 앱은 정책 위반으로 제거되며, 2024년부터는 "자율적으로 행동을 계획·실행하는 자동화"가 명시적 금지 항목에 추가되었습니다. 매크로 앱, 자동 클릭 앱, 화면 녹화 기반 자동화 앱이 차례로 퇴출된 배경입니다.
자동화 앱을 살리려면 두 가지 길이 있습니다. 하나는 공식 API가 열려 있는 영역으로 축소하는 것입니다. 예를 들어 캘린더 일정 자동 정리는 EventKit과 Google Calendar API라는 합법 통로가 있습니다. 다른 하나는 iOS Shortcuts 또는 Android의 사용자 정의 자동화 인텐트를 활용해 사용자가 직접 동작을 트리거하도록 설계하는 방식입니다. 사용자 명시 동작이 들어가면 자동화의 정의에서 벗어나기 때문입니다.
6. 사행성·아동 대상 앱의 한국형 추가 규제
사행성 앱은 단순히 5.3 조항만 문제가 아닙니다. 한국에서 게임 요소가 들어간 모바일 앱을 출시하려면 게임물관리위원회 또는 자체등급분류 사업자의 등급 분류를 받아야 합니다. 게임위 공식 절차는 신청 후 평균 10~15일이 걸리며, 확률형 아이템이 포함되면 별도의 확률 공시 의무가 2024년 게임산업진흥법 개정으로 신설되었습니다. 개인 신청도 가능하지만 사업자 등록증 사본이 요구되므로 사실상 사업자 등록이 선행되어야 합니다.
아동 대상 앱은 다른 차원의 복잡성을 갖습니다. Apple은 2025년 한 해에만 키즈 카테고리에서 5,000건 이상의 앱을 거절했다고 공식 발표했고, 2026년 6월 호주·베트남에서 연령 등급 체계가 다시 개편됩니다. 미국에서는 2025년 텍사스·루이지애나·유타 주가 앱 다운로드마다 부모 동의를 받아야 하는 법을 발효시켰고, 연방 차원에서도 비슷한 입법이 추진 중입니다.
6.1. 키즈 카테고리 진입 전 점검 항목
- 타사 광고 SDK 사용 시 광고 콘텐츠가 사전 검토되었는지 확인합니다. Apple은 키즈 카테고리에서 행동 기반 타게팅 광고를 완전히 금지합니다.
- 외부 링크·결제·소셜 네트워크 연결은 부모 게이트(parental gate)를 거쳐야 합니다. 단순 "동의" 버튼은 부모 게이트로 인정되지 않으며, 곱셈 문제나 길게 누르기 같은 어린이가 우연히 통과하기 어려운 장치가 필요합니다.
- 한국 정보통신망법상 만 14세 미만 개인정보 수집 시 법정대리인 동의가 필수이며, 위반 시 과징금이 매출의 3%까지 부과됩니다.
- COPPA 적용 대상이면 13세 미만 사용자에 대해 영구 식별자(IDFV, 광고 ID) 수집이 금지됩니다.
7. 실제 거절 메일에서 읽어야 할 다섯 가지 신호
통과 설계 순서: 리스크 진단 → 카테고리 재정의 → 증빙 자료 → 심사 노트 순으로 제출 품질을 고정합니다.
해외 인디 개발자들이 공유한 거절 메일 수백 건을 분석해 보면, 같은 4.3이나 5.1.3 거절이라도 본문 표현에 따라 통과 가능성이 달라집니다. 다섯 가지 신호가 자주 등장합니다.
첫째, "Specifically"로 시작하는 문장이 있으면 구체적 수정 포인트가 적시된 것이므로 그 부분만 고치면 됩니다. 둘째, "We were unable to find"는 심사관이 기능을 찾지 못한 것이므로 데모 영상이나 App Review Notes 보강이 답입니다. 셋째, "similar to other apps"는 4.3(b) 포화 거절로 차별화 서술이 필요합니다. 넷째, "requires a legal entity"는 개인 계정으로는 영구히 통과 불가하므로 사업자 등록이 답입니다. 다섯째, 답장 메일이 아니라 Resolution Center로 통하는 회신 양식을 사용하는 것이 처리 속도가 훨씬 빠르다는 점도 r/iOSProgramming에서 반복 확인됩니다.
8. 마무리
위에서 살펴본 출시 어려운 앱 카테고리의 핵심 내용을 정리하면 다음과 같습니다.
핵심 요약:
- 위험 카테고리는 외부 분쟁 위험, 시장 포화, 추가 법령 규제 세 축의 교집합으로 정의되며, 어느 축에 걸리는지 먼저 진단해야 합니다.
- 건강 앱은 측정이 아니라 기록으로 설계하고 HealthKit 쓰기 권한을 피하면 개인 개발자도 충분히 통과 가능합니다.
- 운세·매칭 앱은 카테고리를 옮기고 차별점 비교표를 직접 제출하는 방식이 4.3 통과율을 높입니다.
- 금융 시세 앱은 데이터 라이선스 계약과 법인 등록이라는 이중 장벽이 있어 개인 단독 출시가 사실상 불가능합니다.
- 자동화 앱은 공식 API 범위로 축소하거나 사용자 트리거 기반 설계로 전환해야 살아남습니다.
- 사행성·아동 앱은 스토어 정책 외에 게임위 등급 분류와 COPPA·정보통신망법 같은 외부 법령을 동시에 통과해야 합니다.
새 앱 기획을 시작할 때는 코드 한 줄 쓰기 전에 가이드라인 조항 번호로 위험 진단을 먼저 끝내고, 통과 가능한 설계로 범위를 좁힌 뒤 개발에 들어가는 순서가 시간과 비용을 가장 크게 아낄 수 있는 길입니다.