안티바이러스 소프트웨어 | ||
{{{#!wiki style="margin:0 -10px -5px" {{{#!folding [ 펼치기 · 접기 ] {{{#!wiki style="margin:-6px -1px -11px" | <rowcolor=#333333,#dddddd> 엔진 | 백신 목록 |
V3 | <colbgcolor=#fff,#1f2023> V3 · V3 Lite | |
비트디펜더 | 비트디펜더 · 바이러스체이서 · 알약 · 터보백신 · nProtect · 바이로봇 · EMSISOFT | |
Avira | 아비라 · 엑소스피어 | |
ClamAV | ClamAV · ClamWin | |
어베스트 | AVG · 어베스트 | |
자체 엔진 | 트렌드마이크로 · Comodo · ESET · herdprotect · IKARUS · McAfee · 노턴 시큐리티 · 카스퍼스키 · 멀웨어바이트 · Panda Cloud Antivirus · Microsoft Defender · 키콤백신 · 앱체크 · 네이버 백신 |
마이크로소프트 디펜더 Microsoft Defender | |
[1] | |
<colbgcolor=#1E90FF><colcolor=#ffffff> 제작 | 마이크로소프트 |
엔진 | 자체 엔진 |
공식 홈페이지 |
1. 개요2. 기능3. 역사
3.1. 과거3.2. Windows Defender(Vista/7)3.3. Windows Live OneCare3.4. Microsoft Security Essentials / Forefront Security3.5. Windows Defender3.6. Windows 보안(구 Windows Defender 보안 센터)3.7. Windows Defender 오프라인 검사
4. 특징과 성능5. 문제점6. 사건사고[clearfix]
1. 개요
마이크로소프트 디펜더(Microsoft Defender), 구 명칭 윈도우 디펜더(Windows Defender)는 Microsoft Windows에 기본으로 탑재 및 제공되는 안티바이러스 소프트웨어이다. 설정에서 'Windows 보안(바이러스 및 위협 방지)' 탭을 클릭하여 확인할 수 있다.현재 디펜더는 Windows 뿐만 아니라 Mac, Android, iOS를 모두 지원한다. Linux의 경우 기업용 엔터프라이즈 버전(유료)으로만 제공되며 Windows가 아닌 플랫폼용 디펜더도 Microsoft 365 구독 자만 사용할 수 있다.
다만 Windows의 경우 Microsoft Defender는 Microsoft 365 구독자를 위한 보안 허브의 개념으로 제공되는 앱[2]의 명칭이며 백신 기능은 Windows 보안의 내부 기능으로 '바이러스 및 위협 방지'라는 명칭으로 들어가 있다.
2. 기능
2.1. Microsoft Windows
2.1.1. Windows 11
2.1.1.1. 바이러스 및 위협 방지[3]
- 실시간 보호맬웨어를 찾고 디바이스에서 설치되거나 실행하는 것을 방지합니다. 이 설정을 잠시 동안 끌 수 있습니다. 그러면 자동으로 다시 켜집니다.
타 백신의 실시간 검사 기능. 여타 백신처럼 완전히 끌 수 없으며, 적어도 다시 켜지는 시간을 미룰 수 있는 다른 백신과는 다르게 여기는 무조건 정해진 시간 후에 다시 켜진다. 실시간 검사를 완전히 끌려면 타 백신을 설치해야된다.
- 클라우드 전송 보호클라우드에 있는 최신 보호 데이터에 대한 액세스를 제공하여 보호를 강화하고 가속화합니다. 자동 샘플 전송이 켜져 있을 때 가장 효과적입니다.
타 백신의 클라우드 진단 기능. 번역이 살짝 이상하지만 클라우드로 전송하는 걸 보호하는 게 아니라 클라우드로 전송하여 보호(cloud-delivered protect)이므로 혼동하지 말자.
- 자동 샘플 전송잠재적 위협으로부터 보호하기 위해 샘플 파일을 Microsoft에 보냅니다. 필요한 파일에 개인 정보가 들어 있을 가능성이 있는지 확인하는 메시지가 표시됩니다.
위의 클라우드 전송 보호 데이터베이스를 점진적으로 보완하는 옵션. 수동으로 보낼 수도 있다. 보통 사용자의 데이터를 전송하지 않는다고 하는 다른 백신과는 다르게 개인 정보가 들어 있는지 확인하라 뜬다(...)
- 변조 보호중요한 보안 기능을 다른 사람이 변조할 수 없도록 합니다.
이것도 번역이 살짝 이상한데, 여기서 말하는 중요한 보안 기능은 Windows 보안이 아니라 자기 자신을 말한다. 타사 프로그램에 의해 설정이 변경되는 걸 방지하는 기능. - 제외Microsoft Defenser 바이러스 백신은 제외된 항목을 검사하지 않습니다. 제외된 항목에는 장치를 공격에 취약하게 만드는 위협이 포함되어 있을 수 있습니다.
말 그대로 검사 제외 옵션.
- 알림Microsoft Defender 바이러스 백신은 장치의 상태 및 보안에 대한 중요한 정보가 포함된 알림을 보냅니다. 중요하지 않은 알림 중에서 원하는 알림을 지정할 수 있습니다.Windows 보안에서 디바이스의 상태 및 보안에 대한 중요한 정보가 포함된 알림을 보냅니다. 원하는 정보 알림을 지정할 수 있습니다.[4]
Windows 자체 설정에서는 아예 끄고 키기만 되고 알림 카테고리 설정은 불가하기 때문에 알림 상세 설정을 하려면 여기서 해야 한다.
2.1.1.1.1. 랜섬웨어 방지
랜섬웨어와 같은 위협으로부터 파일을 보호하고 공격이 발생할 경우 파일을 복원하는 방법을 확인하세요.
- 제어된 폴더 액세스[5]알려지지 않은 응용 프로그램의 무단 변경으로부터 장치의 파일, 폴더 및 메모리 영역을 보호합니다.
인증서가 없거나 데이터베이스 목록에 없는 프로그램이 데이터 액세스를 시도할 경우 그 시도를 차단한다. 특히 무슨 프로그램이던간에 콜 오브 듀티 시리즈같은 유명한 것이라 한들 무조건 틀어막아 버리기 때문에 보안 자체는 확실하지만 상당히 귀찮아지기 때문에 기본값으로는 꺼져 있으며, 화이트리스트에 일일이 프로그램 등록을 해야 한다. 그리고, 운영체제의 유저 문서 폴더들은 무조건 보호 폴더로 설정되어 있으며 지울 수 없으므로 내 문서에 데이터를 저장하는 게임이나 프로그램들은 화이트리스트 등록을 미리 해놓거나 하지 않으면 진행사항이 모조리 날라가는 골때리는 경험들을 할 수 있다.
- OneDrive 설정랜섬웨어 공격이 발생할 경우 복구 옵션으로 OneDrive를 설정하세요.
로컬 계정에서만 뜬다. 사실상 원드라이브 홍보 겸 MS계정 로그인 유도 옵션이다.
2.1.1.2. 계정 보호
계정 및 로그인에 대한 보안.
- 동적 잠금
2.1.1.3. 방화벽 및 네트워크 보호
네트워크에 액세스할 수 있는 사용자 및 대상을 설정합니다.
각 네트워크에서 들어오는 연결을 차단할 수 있다. 나머지 링크는 대부분 제어판으로 연결되어 있다.- 도메인 네트워크도메인에 가입된 작업 공간의 네트워크입니다.
이전 Windows의 회사 네트워크와 비슷한 위치. 회사 네트워크와는 달리 도메인에 가입되어 있을 때만을 인식한다.
- 개인 네트워크네트워크의 사용자와 디바이스를 알고 신뢰하며 디바이스가 검색 가능으로 설정되어 있는 가정과 회사의 네트워크입니다.
이전 Windows의 회사 네트워크가 개인 네트워크로 통폐합되었다.
- 공용 네트워크공항, 커피숍 등의 공용 장소에 있으며 디바이스가 검색 불가능으로 설정되어 있는 네트워크입니다.
2.1.1.4. 시스템 및 앱 보호
- 평판 기반 관리
스마트스크린, PUA 탐지 등의 블랙리스트 기능들을 조정할 수 있다.
- 스마트 앱 컨트롤
AI 기반 클라우드의 화이트리스트 및 서명된 앱만 실행을 허용한다. 공격표면을 획기적으로 줄여주지만 사용자가 임의로 화이트리스트 조정이 불가능하다는 단점이 있다. 3자 앱 중에서는 CyberLock(구 VoodooShield)이 유사한 개념을 가지고 있다.
- 취약점 방어
메모리 취약점을 방지해주는 기능들을 조정 가능하다. ASLR 등의 일부 기능들을 추가로 활성화하면 보안이 강화되지만 오래된 앱들의 호환성은 문제가 있을 수 있다.
- 코어 격리
Hyper-V를 활용하여서 보안에 민감한 앱/서비스들을 별도의 소형 가상머신에서 실행하며 CPU의 가상화 기능이 요구된다. - 메모리 무결성
높은 수준의 보안 프로세스에 악성코드가 삽입되는 것을 방지한다. 단 호환되지 않은 드라이버가 설치되어 있을 경우 켜지지 않으며 이를 해결하려면 해당 드라이버를 업데이트하거나 삭제해야 한다. - 커널 모드 하드웨어 기반 스택 보호
Windows 11 22H2 업데이트로 추가되었다. 메모리 무결성이 활성화되어 있어야 킬 수 있으며 커널 모드 메모리에서 반환 주소를 대체하여 ShellCode를 실행시키는 공격을 방지한다. 그런데 다수의 안티 치트와 충돌하여 블루스크린을 일으키는 원인이 되어 왠만해서는 키지 않는게 좋다. - Microsoft 취약 드라이버 차단 목록
마이크로소프트 측에서 지정한 보안 취약성이 있는 드라이버가 로드되는 것을 차단한다.
2.1.1.5. 고급기능
디펜더는 네트워크 보호, 공격 표면 감소(ASR), USB 실행 차단, 앱 화이트리스트 규칙 관리(SRP) 등의 숨겨진 기능들이 존재하며 레지스트리 및 그룹 정책 편집기를 통해 조정이 가능하다. MS의 공식 문서를 읽고 조정하거나 제3자 앱들을 통해 해당 기능들을 활성화시킬 수 있다.Hard Configurator
DefenderUI
디펜더 고급 기능 활성화 스크립트 및 상세설명
2.2. macOS
macOS에서는 Windows에서와 같은 백신 프로그램으로서 작동한다. 정보2.3. Android와 iOS
- 안드로이드 앱은 웹보호 기능과 함께 백신으로서의 역할도 겸한다. 접근성 기능을 활용해 SMS에 대한 탐지도 지원한다고 한다. 정보 다만 안드로이드는 앱이 다른 앱의 작동 상황을 파악하는 것이 가능하기에 VPN 방식은 사용하지 않는다.
- iOS는 기본적으로 서드파티 앱이 시스템에 접근하는 것이 불가능 하며 혹 iOS 내에 해커 등을 통한 악성 프로그램이 설치 되어 있다 하더라도 서드파티 앱(즉 백신 앱)이 이를 탐지하는 것 자체가 불가능 하므로 백신기능은 없고 웹보호 기능만 제공한다. 다만 iOS는 앞서 말했듯 서드파티 앱이 시스템 또는 타 앱의 작동에 관여하거나 작동 상황을 파악하는 것이 불가능 하므로 VPN 방식을 사용한다.(MS는 이를 서버가 없고 Defender 앱이 서버 역할을 하므로'로컬VPN'으로 명명) 다만 VPN은 기술상의 제한(타 앱의 작동 상황 파악이 불가능)을 우회하기 위해 부득이 사용하는 것으로 흔히 말하는 VPN은 아니다. 정보
- iOS의 '로컬VPN'이 아닌 우리가 알고 있는 VPN 서비스도 제공하는데 이를 이용하려면 영국과 미국 그리고 미국령 현지에서 Android 또는 iOS 기기로 접속해야 하며 월 50GB까지 트래픽 제공, 이후에는 QOS로 속도조절을 통해 제공된다고 한다.
2.4. Linux
리눅스용은 Microsoft 365 구독으로는 사용이 불가능하며 엔드포인트용 Microsoft Defender Plan 1, 2 중 하나를 구독해야만 이용이 가능하다. 정보 데스크탑용으로 제공되는 것이 아니며 전형적인 서버용 프로그램이다.3. 역사
3.1. 과거
Windows 7까지는 스파이웨어의 탐지 및 차단만 가능했으나, Windows 8부터는 안티바이러스(악성코드 탐지 및 제거) 기능도 수행하여 시중에 있는 다른 백신 프로그램 못지않은 기능을 고루 갖추게 되었다. 과거 Windows 7에서는 해당 기능을 Microsoft Security Essentials(시큐리티 에센셜)이 가지고 있고 마이크로소프트 사이트에서 별도로 설치해야 했다.3.2. Windows Defender(Vista/7)
윈도우는 점유율 높은 대중적인 운영체제이니만큼 여러 컴퓨터 바이러스와 해킹툴 등이 만들어진 운영 체제이기도 했다. 이에 많은 보안 전문 기업들은 각양각색의 안티바이러스 프로그램들을 내놓았는데 이 프로그램들은 사용자가 선택해야만 설치되고 작동될 수 있을뿐더러 유료였고 몇몇은 오히려 백신을 사칭하여 악성 프로그램을 심거나 운영 체제를 이상하게 꼬아버리는 등의 문제가 있어서 소비자들은 좀 더 신뢰성 있는 백신 프로그램을 요구했다.이에 마이크로소프트는 항상 맬웨어 문제에 시달려 열 받은 빌 게이츠의 주도하에 이른바 'Windows Malicious Software Removal Tool(윈도우 악성 소프트웨어 제거 도구)', 줄여서 'Malicious Removal Tool/MRT(악성 제거 도구)'란 것을 개발하여 내놓고 이것을 주기적인 업데이트를 통해 제공하는 방식으로 해결해보려고 하였다. 그러나 이 방식은 오로지 윈도우의 업데이트를 제공하는 Windows 업데이트와 인터넷 다운로드를 통해서만 제공되었기 때문에 사용자가 Windows 업데이트를 꺼두었거나 수동으로 다운받도록 설정한 경우에는 직접 패치를 다운받는 노력을 하지 않는다면 패치를 해줄 수 없다는 단점이 있었다.[6]
결국 좀 더 본격적으로 사용자의 운영 체제를 관리할 수 있는 백신 프로그램의 필요성을 절감한 마이크로소프트는 2003년경 루마니아의 보안 전문 업체 GeCAD를 인수하여 RAV Antivirus의 모든 권한을 확보하게 된다.인수공지 당시 RAV 안티바이러스는 빠른 속도, 높은 검진율, 낮은 오진율이라는 삼박자를 모두 갖춘 제품이었기 때문이다. 다만 마이크로소프트가 GeCAD를 인수하게 되면서 RAV 안티바이러스는 서비스가 종료되어 역사 속으로 사라지게 되었다. 이후 RAV Antivirus라는 이름의 백신이 설치되었다는 글들이 간혹 보이는데, 이는 치트 엔진 혹은 인증받지 않은 프로그램들을 설치 시 사용자의 허락을 받지 않고 자신들 멋대로 설치되는 안티바이러스 백신이므로, 마이크로소프트의 윈도우 디펜더와는 완전히 다른 프로그램이란 걸 명심하자.
그리고 이후 2004년경 마이크로소프트는 보안 프로그램 전문 업체 GIANT Company Software를 인수하여 2005년 'Microsoft AntiSpyware'라는 백신을 베타 버전으로 출시하였다. 이후 개발을 진행한 끝에 드디어 2006년 이름을 지금의 '윈도우 디펜더'로 변경하여 Windows Vista 이상의 운영 체제에 기본으로 탑재시켜 마이크로소프트가 모든 사용자들의 운영 체제의 보안을 관리할 수 있는 기반을 마련하게 되었다.
3.3. Windows Live OneCare
바로 위에서 설명한 RAV 안티바이러스의 엔진으로 제작한 백신이었다. 구독제 유료 소프트웨어였으며 후술할 Microsoft Security Essential이 나오면서 지원이 중단되었다.3.4. Microsoft Security Essentials / Forefront Security
한편 윈도우 디펜더 개발 이후 마이크로소프트는 아예 보안 전문 프로그램 장사도 할 겸 정품 운영 체제 사용 권장 차원에서 기업에게는 유료, 일반인에겐 무료로 제공되는 백신 프로그램 개발에 몰두하기 시작했다. 상기한 윈도우 디펜더도 있긴 했으나 윈도우 디펜더는 모든 사용자들에게 기본 제공할 것을 상정하고 만들어졌기 때문에 매우 기초적인 기능만 수행할 수 있어서 본격적인 보안용으로는 적합치 않았고 이에 별도의 프로그램 개발을 시작한 것이다.그리하여 2008년 이른바 '프로젝트 모로(Morro)'란 이름으로 그 존재가 세상에 공개되었고 2009년 경 드디어 Microsoft Security Essentials이란 이름으로 공개되었다. 상기한 대로 이 프로그램은 기업 사용자에겐 유료, 일반 사용자에겐 무료로 제공되나 사용자들은 반드시 정품 인증을 거쳐야만 이 프로그램을 사용할 수 있도록 해놓았다. 기업 버전은 '포어프론트 시큐리티'란 이름으로 제공된다. 특징은 실시간 감시를 지원하며 XP, Vista/7(32/64bit) 운영 체제를 지원한다.
문제는 이 프로그램은 기본 제공이 아니라는 점이었다. 2009년은 윈도우 7이 출시된 해로 MSE는 윈도우 7이 출시되자마자 개발이 완료되어 첫 선을 보였기 때문에 아직 이게 어떤지 검증도 안 된 터라 모든 운영 체제에 기본 탑재되지 못하였고 사용자들이 알아서 다운받아 쓰는 방식으로 제공되는 게 한계였다. 게다가 이때 즈음엔 무료 백신이 우후죽순으로 등장하면서 사람들이 이 신생 백신을 믿고 써야 할지 말아야 할지 고민을 하던 시기인지라 선택률이 그닥 좋지 않았다. 또한 이 프로그램은 결국 기본 탑재되어 있었던 윈도우 디펜더와 역할이 겹치기 때문에 MSE를 설치하면 윈도우 디펜더를 사용할 수 없게 비활성화된다.
윈도우 디펜더가 별도 프로그램으로 제공될 당시 가장 큰 단점은 자가 보호 기능이 없었다는 것이다. 즉 MSE를 직접 공격해 한번 뚫리면 답이 없다. 그리고 해커들이 다른 백신보다 더 우선적으로 뚫기 때문에 보안적으로 취약하다. 이후 자가 보호 부분이 어느 정도 보완됐다고 하지만 프로세스 강제 종료에 맥없이 꺼진다. 사실 MSE 2.0에서는 프로세스 종료에 대한 대비는 되어 있다. 관련 프로세스가 강제 종료되면 경고 창이 나오고 여기서 서비스를 다시 시작할 수 있다. 글에 따르면 총 2개의 프로세스가 있는데 1개는 종료와 상관없이 실시간 감시는 작동되게끔 되어 있는 듯하다. 해당 글은 Windows XP에서 테스트된 결과이다.
하지만 윈도우 8에 기본 장착되면서 윈도우 디펜더는 프로세스가 아니라 서비스 방식으로 작동하게 되어 프로세스 종료에 따른 불안이 줄어들었다. 윈도우 8에서는 서비스 종료로 윈도우 디펜더를 종료시킬 수 있었지만 윈도우 8.1부터는 관리자 권한으로도 윈도우 디펜더의 서비스 종료를 할 수 없도록 조정하였다. 이후 Windows 7용 MSE도 업데이트를 통해 해제가 불가능하도록 바뀌었다.
4.5 버전부터 Windows XP를 지원하지 않고, Windows 7은 2023년 후반까지 지원할 예정이라고 한다. 참고
3.5. Windows Defender
3.6. Windows 보안(구 Windows Defender 보안 센터)
2024년 기준[7] | 구버전 |
'바이러스 및 위협 방지'에서는 기존의 윈도우 디펜더에서의 안티바이러스, 안티 스파이웨어 기능을 가져와 바이러스 스캔을 할 수 있다. 윈도우 디펜더 이외의 안티바이러스 프로그램을 사용하지 않는다면 윈도우 디펜더의 검색된 항목 및 수행한 조치를 볼 수 있고 윈도우 디펜더 이외의 안티바이러스 프로그램을 사용한다면 그 안티바이러스 프로그램을 바로 실행할 수 있다.
'디바이스 성능 및 상태'에서는 최신 Windows 업데이트, 드라이버, 배터리와 저장소 상태 등의 정보를 정리된 상태로 보여준다. 추가적으로 깨끗한 상태로 부팅할 수 있게 Refresh Windows 기능이 위치한다. 이 기능은 개인 파일과 Windows 설정들을 유지하면서 깨끗한 상태로 부팅하기 위해 대부분의 프로그램을 제거하여 퍼포먼스 향상을 돕는다.
'방화벽 및 네트워크 보호'에서는 네트워크 연결과 Windows 방화벽 설정에 대한 정보를 제공하고 네트워크 문제 해결 기능을 연결한다.
'앱 및 브라우저 컨트롤'에서는 앱과 브라우저에서 사용자에서 정보를 알리고 감염된 사이트에 접속하였을 때나 알 수 없는 프로그램이나 파일을 인터넷을 통해 다운로드할 때 경고를 표시하기 위한 Windows SmartScreen[9] 활동 설정 기능을 설정할 수 있다.
'가족 옵션'에서는 가족 설정에 쉽게 온라인으로 접속할 수 있게 해준다. 부모의 제어, 사용 시간 설정 옵션, 자녀의 온라인 활동 기록에 대한 정보를 연결해 주고 앱과 게임의 결제를 통제할 수 있다. 또한 가족의 장치의 성능과 안전에 대해 볼 수 있다.[10]
윈도우 10 인사이더 프리뷰 16232 버전에서 랜섬웨어 보호 폴더 기능과 메모리 변조와 데이터 변조를 방지하는 익스플로잇 방지 기능이 추가되었다. 다만 랜섬웨어 보호 폴더 기능은 기본적으로 시스템 폴더(바탕화면, 윈도우 폴더, 내 문서, 내 사진, 기본 다운로드 폴더 등등)가 기본에 수정 불가능으로 되어 있고, 상당히 민감한 편인 앱체크보다도 보호 기능이 매우 강하기 때문에 불편할 수도 있다. 설치 프로그램으로 프로그램을 설치한 후 바로가기를 만들 때 바탕화면에 액세스한다고 막혀버릴 정도이다.
Windows 10 1803에서 관리 애플릿의 명칭이 'Windows 보안'으로 변경되었으며 핵심 프로세스를 가상 환경으로 분리하여 악성코드로부터 보호하는 '코어 격리'라는 기능이 생겼다. 당연히 가상화 기술을 사용하기에 BIOS/UEFI에서 가상화를 활성화(svm 모드: enable)시켜줘야 하고 Windows 11부터 기본적으로 활성화되어 있다. 다만 Hyper-V를 이용하기에 사용하면 타 소프트웨어는 가상화 기술을 사용하지 못한다.[11]
Defender 제품군이 Windows 뿐 아니라 Mac, Linux 및 모바일도 포함함에 따라 2020년 5월 14일부터 안티바이러스 플랫폼의 명칭이 'Windows Defender'에서 'Microsoft Defender'로 변경되었다.
3.7. Windows Defender 오프라인 검사
컴퓨터에 침투한 바이러스의 정도가 매우 심하여 윈도우 디펜더가 온전히 작동하기 어려운 환경에서 사용하는 것을 목적으로 제작된 베리에이션으로 윈도우 디펜더 보안 센터에서는 통합되었다. 오프라인이라는 이름에서 보이듯이 인터넷 연결은 필요없다. CD-ROM/DVD-ROM이나 USB 메모리에 설치해 별도로 부팅하는 방식이다(iso 파일로 만들기도 지원). 이렇게 되면 이미 바이러스가 장악한 운영 체제를 구동하지 않고 외부에서 개입하는 방식이기에 조금 더 바이러스의 치료가 확실해진다는 장점이 있다. 일단 바이러스도 운영 체제가 작동해야 활동을 할 수 있는데 그 운영 체제 자체가 작동하지 않으니 방해를 할 수 없는 것이다.
32비트용 윈도우 디펜더 Offline 설치 프로그램으로 만든 디스크/메모리는 32비트 윈도우에서만 작동하고 64비트용 윈도우 디펜더 Offline 설치 프로그램으로 만든 디스크/메모리는 64비트 윈도우에서만 작동한다. 예를 들어 32비트 윈도우가 실행 중인 데스크탑에서 윈도우 디펜더 Offline 메모리를 만들었다면 64비트 윈도우가 실행 중인 노트북의 바이러스를 치료하려고 할 수 없다. 즉 비트 수를 가리기 때문에 사용할 컴퓨터에 맞도록 디스크를 만들어야 한다.
비슷한 프로그램으로는 Avast!에서 제공하는 '복구 디스크' 기능이 있다. Avast 백신을 설치할 때 '복구 디스크' 항목을 체크 해제하지만 않았다면 'Avast 메인 → 도구 → 복구 디스크' 경로를 통해 복구 디스크를 만들 수 있다. 이쪽도 CD-ROM과 DVD-ROM 그리고 USB 메모리 설치와 iso 파일 만들기를 제공한다.
참고로 실행 시 표시되는 창을 닫는 순간 경고 없이 검사가 중단되며, 컴퓨터는 다시 시작되니 주의. 또한 실행 결과 제거할 맬웨어 등이 없으면 보호 기록에 아무것도 남지 않는다.
4. 특징과 성능
윈도우에 기본으로 탑재가 되어 있어서 바로 사용할 수 있다. 정품 인증이 된 사용자는 무료로 사용 가능한 무료 백신이다. 정품 인증을 하지 않아도 기능이 꺼지는 것은 아니므로 Windows가 설치된 시스템이라면 누구나 윈도우 디펜더의 보호를 받을 수 있다. 기업도 사용 가능하다.[12] 사용자가 아무것도 안 해도 바로 알아서 운영 체제를 보호해 주니 굳이 다른 백신 구하려고 노력할 필요성이 줄며, 한편으로는 허위 백신을 설치하는 경우를 줄일 수 있다. 업데이트 또한 자체 업데이트는 물론 윈도우에 기본 내장된 Windows 업데이트 프로그램으로도 업데이트가 진행된다.기본 내장된 백신이기 때문에 어떤 백신이 MS 디펜더보다 성능이 떨어질 경우 굳이 다운받을 이유가 없기에 그 백신은 존재 가치가 없어진다. 즉 상용 백신에게는 성능의 마지노선. 못해도 이 정도 이상은 해내야 하고 그렇지 못하면 제대로 된 백신으로 인정받지 못한다. 반대로 바이러스 입장에서도 디펜더를 뚫지 못한다면 효과를 얻지 못하기때문에 반드시 디펜더 백신을 넘어서게 만든다.[13] 특히 대한민국은 Kimsuky, Lazarus 등 한국에만 특화된 해킹그룹이 판을 치기때문에 정부 및 기업체에서는 보조 백신을 사용하는 경우가 많다.
다른 백신이 설치되면 안정성을 위해 안티바이러스 기능이 자동 비활성화된다. 반대로 다른 백신이 무력화되거나 삭제된 경우 안티바이러스 기능이 재활성화된다. 아무리 마이크로소프트에서 개발한 안티바이러스 프로그램이라 하더라도 상용 백신과 동시에 사용하면 충돌이 발생할 가능성이 높다.
윈도우 기본 내장된 백신이기에 안전성만큼은 우수한 편이며 타사 백신들과 달리 업데이트 후 시스템에 문제가 생겨 윈도우 전체적으로 느리게 한다든가 블루 스크린이 나오게 한다든가 프로그램이나 게임에 문제가 생기는 알 수 없는 오류를 내는 경우가 원칙적으로 발생하지 않는다.
타사의 백신을 설치하게 되면 예전 윈도우 시리즈의 보안 센터처럼 추가 설치된 백신의 엔진의 최신 여부와 방화벽, 업데이트 상태 모니터링 같은 역할을 수행하게 된다. 이 상태에서도 아래쪽의 옵션에서 '주기적 검사'를 켜면 MS 디펜더를 활성화시킬 수 있는데 이렇게 하면 실시간 감시 기능을 사용하지 않은 채로 주기적 검사 및 수동 검사만 켜져 MS 디펜더를 보조 백신처럼 타사 프로그램과 같이 사용할 수 있게 된다.
MS에서 밝힌 바에 의하면 빅데이터와 머신러닝의 도입으로 제로데이 공격이 파악되면 0.435초만에 분석해 키로거가 맞을 경우 7초 만에 차단한다고 한다.
어쨌든 기본 백신으로서 Windows 사용자들에게 필요없는 프로그램으로 취급을 받고 있었는데 2017년 2월 이후 AVTEST에서 믿기 힘들 정도로 놀라운 성능을 보여줘 시장에 큰 충격을 선사했다.
2017년 1월 26일에는 Mozilla 출신의 개발자인 로버트 오캘러핸(Robert O'Callahan)이 개인 블로그를 통해 "안티바이러스 프로그램이 오히려 보안의 취약성으로 작용하는 경우가 많기 때문에 윈도우 디펜더를 제외한 모든 안티바이러스 SW를 삭제해야 한다"라는 주장을 한 바가 있다. 이런 주장과 맞물려 윈도우 디펜더만 있으면 다른 백신 프로그램을 굳이 깔 필요가 없다는 일명 '백신 무용론'이 나오고 있다.
2019년 마이크로소프트사의 발표에 따르면 너무 많은 보안 솔루션(백신, 방화벽 등)이 중첩되면서 보안이 오히려 취약해지고 있다고 지적했다. # 그러나 단계별로 보안 솔루션을 두는 것이 반드시 나쁜 것은 아니고 보안에 꼭 필요하기 때문에 보안 솔루션이 늘어나면 보안이 취약해지지만 또 그걸 안 할 수는 없는 모순된 상황이라고 한다. 이 때문에 MS는 타사의 보조 백신을 설치하는 것을 권장하고 있다.
윈도우 에디션에 따라서 탐지 기능이 달라진다. 윈도우 홈, 프로, 에듀케이션 버전과 다르게 엔터프라이즈 버전에서는 PUP 탐지 기능이 작동하게 된다. 그 외 버전들에서는 PUP 탐지 기능이 작동하지 않지만 레지스트리 수정으로 강제로 실행할 수도 있다. 2020년 5월 업데이트인 2004 버전부터 홈, 프로 버전도 PUP 차단 기능이 기본으로 들어간다.
2020년 6월 개인용 윈도우 AV-TEST에서는 3개 부문 모두 6점 만점을 받았다. 카스퍼스키, 안랩의 V3, 트렌드마이크로, F-Secure, 맥아피, 노턴 안티바이러스와 불가드 등 MS 디펜더를 포함하여 단 8개만이 만점을 받았다. 2022년 6월에도 만점을 받고 있다.#
이후 9월자 테스트를 보면 온라인 방어율은 98.1%로 여전히 좋지만 오진 19개가 나와 최고 등급을 받는데 실패한다. 다만 단발성 결과이므로, 이런 오진이 계속 발생하는지는 향후 테스트를 지켜봐야 한다.
5. 문제점
수동 검사가 매우 느리다. 기본적으로 압축 파일도 무조건 검사하도록 되어 있는데, 이게 용량 제한도 없을뿐더러 다중 압축(압축 파일 안에 또다른 압축 파일이 있는 경우)도 전부 검사하도록 되어 있는 구조라서 더더욱 느려질 수밖에 없다. 실제로 이를 악용하여 더미 파일을 잔뜩 심어놓는 식으로 Microsoft Defender를 뻗게 만드는 악성 파일도 존재한다. 압축 파일 검사 관련 옵션은 그룹 정책 편집기를 통해 해제가 가능하지만, Home 에디션에서는 불가능하며, 압축 파일 검사를 해제하고 검사를 해도 느리다. 결국 기초적인 검사 속도가 느리다. 전체 검사를 하는데 넉넉히 5시간 정도는 잡아줘야 한다. 현재는 여러 업데이트로 개선되어 5시간에서 3시간 전후로 단축되었지만 여전히 타사 백신에 비하면 굉장히 느리다. 실제로 도스 바이러스를 1000개씩 다운받으면 렉이 걸려서 컴퓨터가 작동을 안하는 현상을 볼 수 있다(...).또한 백그라운드 검사 시 메모리를 한계까지 끌어 쓰는 경우가 생기는데 이때는 다른 앱들이 메모리 부족으로 이유 없이 다운되기 시작한다. Microsoft Defender 수동 검사를 끝마치면 정상으로 되돌아간다. CPU 점유율이 치솟으며 시스템 전체가 버벅이는 문제도 있다. 심하면 컴퓨터가 뻗을 수도 있다. 엣지로 다운로드 작업을 할때도 갑자기 cpu와 메모리가 치솟는다. 특히 7z 압축이 된걸 받고 난 뒤에 검사에 들어갔을때가 그런데, 이는 7z 파일 자체가 압축률 향상을 위해 매크로를 도배해놓았기 때문에 처리속도가 느려서 그렇다. 요새는 업데이트 되면서 많이 나아진듯.
부팅 후 HDD 안의 폴더를 처음 열었을 때 '폴더 내 파일들을 인식하는 속도'가 이상하게 느린 문제가 있다. 'gpedit.msc (로컬 그룹 정책) → 컴퓨터 구성 → 관리 템플릿 → Windows 구성 요소 → Microsoft Defender 바이러스 백신 → 실시간 보호 → Configure monitoring for incoming and outgoing file and program activity(들어오는/나가는 파일 및 프로그램 작업에 대한 모니터링 구성)' 항목의 옵션을 '들어오는 파일만 검사(열린 쪽 사용 안함)'으로 설정하면 해결된다. 이건 윈도우 프로 이상 버전부터 가능한 방법이다.
임시 파일 정리, USB 자동 실행 방지 등의 기능이 Microsoft Defender에는 없다. 이 때문에 국산 백신을 사용하다 Microsoft Defender로 갈아타면 은근히 불편해진다. 이는 CCleaner 같은 최적화 프로그램을 구해다 놓으면 금방 해결된다. 아니면 Windows 자체에서 제공하는 디스크 정리와 USB 자동 실행 방지 기능을 사용해도 된다. 임시 파일 정리는 디스크 정리를 통해 하면 된다. 위치는 '시작 → 모든 앱 → Windows Tools → 디스크 정리'이다. USB 자동 실행 방지는 작업 표시줄에 있는 검색 창에다가 '자동 실행 설정'이라고 입력해서 진입하면 된다.
Microsoft Defender가 설치된 폴더를 검사 시 CPU와 하드 점유율 100%를 찍는 모습을 보인다. 그만큼 내부 파일이 암호화가 잘 되어 있기 때문이기도 하다. 이렇다보니 그냥 예외 항목에 Microsoft Defender가 설치된 폴더를 추가하는 유저들도 많다.
Windows 업데이트가 자동으로 설정되어 있지 않으면 패턴 역시 자동으로 업데이트되지 않는다. 이유는 패턴 업데이트가 Windows 업데이트에 통합되어 있기 때문이다. 그래서인지 Windows 10부터는 정상적인 방법으로 Windows 업데이트를 비활성화할 수 없게 바뀌었다.
그리고 생각보다 랜섬웨어에 많이 취약한 편이다. 랜섬웨어에 감염이 되기 쉬운 환경에 있거나 그러한 작업들을 한다면 꼭 앱체크나 랜섬웨어 대응이 가능한 다른 백신을 설치하는 걸 권장한다. 미국 마이크로소프트 기술 지원에 디펜더의 랜섬웨어 대응 능력으로 문의할 경우 랜섬웨어 부분에 대해서는 마이크로소프트 공식 입장상 타 백신을 사용하는 걸 권장하는 답변을 하고 있다.
출처: AV-Comparatives |
타사 상용 백신에 비해 상세 설정이 표면에 드러나 있지 않으며 사용자가 원하는대로 설정을 조정하기가 힘들다. 그룹 정책 편집기를 사용하면 다른 상용 백신과 마찬가지로 세세한 조정이 가능하나, Home 에디션에서는 그룹 정책 편집기를 사용할 수 없다. 일반 사용자에게는 딱히 건드릴 일이 없는 옵션들일것 같지만, Microsoft Defender의 기본 설정이 그다지 최적화가 되어 있지 못하다 보니 이를 조정해야하는 경우가 있다. 특히 위에서도 말한 압축 파일 관련 옵션은 거의 무조건 손봐줘야 하는 수준이다. 다른 백신 프로그램들은 용량이나 다중 압축 횟수 등의 검사를 제한하는 설정을 기본으로 지원하지만, Microsoft Defender는 기본 설정이 제한 없음이며 이마저도 그룹 정책 편집기를 통해서만 수정이 가능하다.
디펜더의 기계학습(클라우드) 진단으로 오진이 자주 발생하는 문제(특히 자주 보고되는 Wacatac 계열 진단(Wacatac.?!ml))가 있으며, 만약 오진이 발생했을 경우 관련 파일을 마이크로소프트 보안 인텔리전스 페이지의 파일 제출을 통해 진단 예외를 신청해주면 해결할 수 있다.
6. 사건사고
- 2021년 12월 MS 오피스 파일을 포함하여 여러 멀쩡한 파일들을 Emotet으로 오진하는 사태가 벌어졌다.#
- 2022년 9월 4일[14] MS 디펜더 최신 업데이트 이후 Chromium과 Electron 기반으로 만들어진 프로그램[15]을 Behavior:Win32/Hive.ZY라는 악성코드로 오진하는 사건이 전 세계에서 동시다발적으로 발생하였다.#1, #2 바로 며칠 전 발생했던 2022년 알약 랜섬웨어 오진 사태와는 달리 위험 요소를 처리했다는 알림이 수시로 떠서 성가신 것 뿐으로 멀쩡한 파일의 손상이나 부팅이 불가능해지는 등의 심각한 문제는 발생하지 않았으며 다음날 오전 새 업데이트가 배포되며 완전히 해결되었다.
- 2023년 3월 22일 파이어폭스 실행시 높은 CPU 사용량을 유발하는 버그가 수정되었다. 이 버그는 2018년부터있던 것으로 파이어폭스를 실행하면 Antimalware Service Executable가 CPU 사용량을 크게 증가시켰다.
[1]
초창기 버전에는 아이콘이 회색 벽돌 벽이었다.[2] 이 앱에서 Android, iOS 등 타 기기에 설치된 Microsoft Defender를 통한 기기 보안 상태 확인을 제공한다.[3] 구 바이러스 및 위협 보호[4] 두 원문 모두 크게 다르진 않은데 번역은 상이하다(...)[5] 명백한 오역. 폴더 액세스 통제가 더 적절하다.[6] 당시 사용자들은 대부분이 귀차니즘으로 인해 업데이트를 꺼 놓고 있었다.[7] 24H2 기준.[8] 1709까지는 C:\\Program Files\\Windows Defender\\MSASCui.exe를 실행함으로써 기존 스타일을 그대로 사용할 수 있었다.[9] [10] Windows Blog[11] Hyper-V가 활성화된 상태에서 CPU-Z에서 확인해보면 분명 가상화를 지원함에도 명령어 목록에서 VT(인텔) 또는 AMD-V/SVM(AMD)가 나오지 않는 걸 볼 수 있다.[12] 다만, Microsoft Azure 또는 Microsoft 365 솔루션 구매 후 사용할 것을 권장한다.[13] 따라서 바이러스의 수명은 신규 제작 이후부터 디펜더의 탐지망에 걸리고 다시 모든 PC에 데이터베이스가 업데이트 될때까지로 한정되는 경우가 많다.[14] 한국 시간 기준 오후 6시 30분 무렵부터.[15] 크롬, Microsoft Edge, 웨일, 디스코드, 스포티파이 등.
초창기 버전에는 아이콘이 회색 벽돌 벽이었다.[2] 이 앱에서 Android, iOS 등 타 기기에 설치된 Microsoft Defender를 통한 기기 보안 상태 확인을 제공한다.[3] 구 바이러스 및 위협 보호[4] 두 원문 모두 크게 다르진 않은데 번역은 상이하다(...)[5] 명백한 오역. 폴더 액세스 통제가 더 적절하다.[6] 당시 사용자들은 대부분이 귀차니즘으로 인해 업데이트를 꺼 놓고 있었다.[7] 24H2 기준.[8] 1709까지는 C:\\Program Files\\Windows Defender\\MSASCui.exe를 실행함으로써 기존 스타일을 그대로 사용할 수 있었다.[9] [10] Windows Blog[11] Hyper-V가 활성화된 상태에서 CPU-Z에서 확인해보면 분명 가상화를 지원함에도 명령어 목록에서 VT(인텔) 또는 AMD-V/SVM(AMD)가 나오지 않는 걸 볼 수 있다.[12] 다만, Microsoft Azure 또는 Microsoft 365 솔루션 구매 후 사용할 것을 권장한다.[13] 따라서 바이러스의 수명은 신규 제작 이후부터 디펜더의 탐지망에 걸리고 다시 모든 PC에 데이터베이스가 업데이트 될때까지로 한정되는 경우가 많다.[14] 한국 시간 기준 오후 6시 30분 무렵부터.[15] 크롬, Microsoft Edge, 웨일, 디스코드, 스포티파이 등.
본 문서의 2015년 이전 기여 내역은 이곳에서 확인할 수 있습니다. |