질문을 이해하는데 시간이 좀 걸렸습니다. 아직 제대로 이해한건지 100% 확신은 서지 않지만요.
님이 원하시는 건 님이 작업하신 안드로이드 앱이 님의 서버에 있는 API를 호출하는데, 다른 앱이나 사람이 중간에서 네트워크 데이터를 가로채지 않도록 하는 방법을 알고 싶다는 걸로 이해했습니다.
다음 사항만 지키신 다면 다른 앱이 님의 네트워킹 데이터를 들여다 보거나 가로챌 일은 없는 것으로 압니다.
1. 무조건 https를 사용하세요. http는 보안에 취약합니다. 그리고 https 서버에 공인인증된 certificate(인증서)를 사용하세요.
2. 구글이 권장하는 대로 앱을 sigining 하세요. 기존 앱은 님이 직접 sigining을 해서 apk를 만들 수 있지만, 새로운 앱은(언제 기준인지는 정확하게 기억나지 않음) app bundle이라는 포맷을 사용하여 Playstore에서 최종적인 signing을 하게 됩니다.
https://developer.android.com/studio/publish/app-signing
3. 릴리즈 빌드라면 Obfuscation(한국말로는 뭔지 모르겠네요)을 수행하세요. R8이라는 툴이 기본 탑재되어 있기 때문에 이걸 그냥 이용하시면 됩니다.
https://developer.android.com/build/shrink-code
4. network_security_config를 설정하세요.
https://developer.android.com/training/articles/security-config
5. 가능하다면 SSL pinning을 하세요.
https://mailapurvpandey.medium.com/ssl-pinning-in-android-90dddfa3e051
https://developer.android.com/training/articles/security-ssl
그리고 이외에도 여러가지 보안을 강화하기 위한 방법들이 존재합니다. 구글을 통해 찾아 보셔서 가능한 걸 적용하시면 좋을 것 같습니다. 위에 있는 것들만 제대로 적용하셔도 님의 앱에는 문제가 없을 겁니다. 님이 앱에서 일부러 proxy 툴들을 허용하는 코드를 집어넣지 않는 한 말이죠.
추가적으로, 앱도 앱이지만 서버 쪽의 보안이 얼마나 잘 적용되어 있는지가 더 중요할 거라고 봅니다. 예를 들면 앱과 세션이 없는 방법으로 토큰을 사용해서 통신을 한다던가, 사용자 ID나 비밀번호의 교환은 최소로 하되 암호화를 해서 통신한다던가, Email, Push notification같은 multi factor authentication을 이용한다던가 하는 등등, 서버 쪽이 훨씬 고려해야할 것이 많을 것 같습니다.
