Windows Defender는 윈도우 10과 11에 기본 탑재된 보안 소프트웨어입니다. 별도의 백신 프로그램 없이도 실시간으로 바이러스와 멀웨어를 차단하며, 2025년 8월 보안 인텔리전스 업데이트(버전 1.435.11.0)부터는 관리자 권한 없이도 서명 업데이트가 가능해져 업데이트 안정성이 크게 향상되었습니다. 수동 모드 검색 동작 개선과 변조 방지 처리 최적화로 시스템 리소스 사용도 효율적으로 개선되었습니다.
많은 사용자가 Windows Defender를 단순한 기본 보안 기능 정도로 생각하지만, 실제로는 실시간 보호, 정기 검사, 공격 표면 감소 등 강력한 기능을 제공합니다. 특히 기업용 Defender for Endpoint는 EDR(엔드포인트 탐지 및 대응)과 XDR(확장 탐지 및 대응) 기능까지 지원하여 고급 보안 위협에도 대응할 수 있습니다. 이 글에서는 Windows Defender의 핵심 기능과 효과적인 활용 방법을 단계별로 안내합니다.
실시간 보호 기능 활성화
Windows Defender의 실시간 보호는 파일 다운로드, 프로그램 실행, 웹 브라우징 등 모든 활동을 실시간으로 모니터링하여 위협을 즉시 차단합니다. 기본적으로 활성화되어 있지만, 일부 사용자가 성능 향상을 이유로 비활성화하는 경우가 있습니다. 하지만 실시간 보호를 끄면 악성코드 감염 위험이 급격히 증가하므로 반드시 켜두는 것이 안전합니다.
실시간 보호 설정은 Windows 설정의 ‘바이러스 및 위협 방지’ 메뉴에서 관리할 수 있습니다. 설정 앱을 열고 ‘업데이트 및 보안’ 또는 ‘개인정보 및 보안’으로 이동한 후 ‘Windows 보안’을 선택하면 됩니다. 여기서 ‘바이러스 및 위협 방지’ 항목을 클릭하고 ‘설정 관리’를 선택하면 실시간 보호 옵션이 표시됩니다. 토글 스위치를 켜두면 실시간 보호가 활성화되어 모든 파일과 프로그램을 자동으로 검사합니다.
실시간 보호는 클라우드 기반 보호와 자동 샘플 제출 기능과 연동되어 작동합니다. 클라우드 기반 보호를 활성화하면 Microsoft 클라우드의 최신 위협 정보를 활용하여 새로운 멀웨어도 빠르게 탐지할 수 있습니다. 자동 샘플 제출은 의심스러운 파일을 Microsoft에 자동으로 전송하여 분석하는 기능으로, 전 세계 사용자의 보안을 강화하는 데 기여합니다. 두 옵션 모두 기본적으로 활성화되어 있으며, 개인정보가 걱정된다면 자동 샘플 제출만 비활성화할 수 있습니다.
정기 검사 설정 및 실행
정기 검사는 시스템 전체를 주기적으로 점검하여 숨어있는 위협을 찾아냅니다. Windows Defender는 서명 업데이트 후 자동으로 바이러스 검사를 실행하도록 기본 설정되어 있습니다. 이 동작은 DisableScanOnUpdate 정책으로 제어할 수 있으며, 기업 환경에서는 그룹 정책을 통해 검사 일정을 세밀하게 조정할 수 있습니다.
빠른 검사와 전체 검사 두 가지 옵션을 제공합니다. 빠른 검사는 주로 악성코드가 숨기 쉬운 시스템 폴더와 실행 중인 프로그램만 점검하므로 5~10분 정도 소요됩니다. 전체 검사는 모든 드라이브와 파일을 검사하므로 시간이 오래 걸리지만 더 철저합니다. 일반적으로는 일주일에 한 번 빠른 검사를, 한 달에 한 번 전체 검사를 실행하는 것이 적절합니다.
수동 검사를 실행하려면 Windows 보안 센터에서 ‘바이러스 및 위협 방지’로 이동한 후 ‘검사 옵션’을 선택합니다. 여기서 원하는 검사 유형을 선택하고 ‘지금 검사’ 버튼을 클릭하면 됩니다. 사용자 지정 검사를 선택하면 특정 폴더나 드라이브만 검사할 수 있어 USB 드라이브나 다운로드 폴더만 빠르게 점검할 때 유용합니다. 검사가 진행되는 동안에도 컴퓨터를 정상적으로 사용할 수 있지만, 시스템 리소스를 많이 사용하므로 작업이 없을 때 실행하는 것이 좋습니다.
보안 인텔리전스 업데이트 관리
보안 인텔리전스는 Windows Defender가 위협을 식별하는 데 사용하는 바이러스 정의 파일입니다. 2025년 8월 업데이트부터는 관리자 권한 없이도 공유 서명 업데이트가 가능해져 일반 사용자 계정에서도 자동으로 최신 보안 정의를 유지할 수 있습니다. 이는 보안 업데이트 적용률을 크게 향상시켜 전체적인 시스템 보안을 강화하는 데 기여합니다.
Windows Update를 통해 자동으로 업데이트되지만, 수동으로 최신 버전을 확인하고 싶다면 Windows 보안 센터에서 ‘바이러스 및 위협 방지’로 이동한 후 ‘보호 업데이트’를 선택합니다. 여기서 ‘업데이트 확인’ 버튼을 클릭하면 즉시 최신 보안 인텔리전스를 다운로드하고 적용합니다. 보안 인텔리전스 버전과 마지막 업데이트 시간을 확인할 수 있으며, 정기적으로 확인하여 최신 상태를 유지하는 것이 중요합니다.
| 업데이트 항목 | 설명 | 빈도 |
|---|---|---|
| 보안 인텔리전스 | 바이러스 정의 파일 | 매일 여러 차례 |
| 엔진 업데이트 | 검사 엔진 개선 | 월 1-2회 |
| 플랫폼 업데이트 | 기능 추가 및 버그 수정 | 분기별 |
기업 환경에서는 WSUS(Windows Server Update Services)나 SCCM(System Center Configuration Manager)을 통해 업데이트를 중앙에서 관리할 수 있습니다. 이를 통해 네트워크 대역폭을 절약하고 업데이트 적용 시점을 제어할 수 있습니다. 일반 사용자는 자동 업데이트를 활성화하고 정기적으로 Windows Update를 실행하는 것만으로도 충분한 보안을 유지할 수 있습니다.
공격 표면 감소 규칙 적용
공격 표면 감소(Attack Surface Reduction, ASR)는 악성코드가 시스템을 공격하는 경로를 차단하는 고급 보안 기능입니다. 2025년 업데이트에서는 IoC(손상 지표) 처리 성능이 향상되었고 Smart App Control 신뢰 파일 처리 속도도 개선되었습니다. ASR 규칙은 매크로 기반 공격, 스크립트 실행, 의심스러운 프로세스 생성 등 다양한 공격 기법을 차단합니다.
Windows 10 1709 버전 이상과 Windows 11에서 사용할 수 있으며, Windows 보안 센터의 ‘앱 및 브라우저 컨트롤’ 메뉴에서 일부 규칙을 관리할 수 있습니다. 하지만 모든 ASR 규칙을 활용하려면 그룹 정책이나 PowerShell을 사용해야 합니다. 기업 사용자는 Microsoft Defender for Endpoint를 통해 중앙 관리 콘솔에서 ASR 규칙을 설정하고 모니터링할 수 있습니다.
주요 ASR 규칙에는 Office 애플리케이션의 실행 파일 생성 차단, 난독화된 스크립트 실행 방지, 자식 프로세스 생성 차단 등이 있습니다. 각 규칙은 감사 모드와 차단 모드로 설정할 수 있는데, 감사 모드에서는 차단하지 않고 로그만 기록하여 정상적인 프로그램이 영향을 받는지 확인할 수 있습니다. 충분한 테스트 후 차단 모드로 전환하면 실제 공격을 효과적으로 방어할 수 있습니다.
변조 방지 기능 이해
변조 방지(Tamper Protection)는 악성코드나 공격자가 Windows Defender 설정을 무단으로 변경하지 못하도록 보호하는 기능입니다. 2025년 업데이트에서는 변조 방지 처리가 최적화되어 시스템 성능에 미치는 영향이 줄어들었습니다. 이 기능이 활성화되면 레지스트리, 그룹 정책, PowerShell을 통한 보안 설정 변경이 차단되며, Windows 보안 센터를 통해서만 설정을 수정할 수 있습니다.
기본적으로 Windows 11과 Windows 10 버전 1903 이상에서 활성화되어 있습니다. 변조 방지 설정을 확인하려면 Windows 보안 센터의 ‘바이러스 및 위협 방지’로 이동한 후 ‘바이러스 및 위협 방지 설정 관리’를 클릭합니다. 여기서 ‘변조 방지’ 항목을 찾을 수 있으며, 토글 스위치로 켜거나 끌 수 있습니다. 특별한 이유가 없다면 항상 활성화 상태를 유지하는 것이 안전합니다.
일부 레거시 소프트웨어나 시스템 관리 도구가 변조 방지와 충돌할 수 있습니다. 이 경우 특정 애플리케이션을 제외 목록에 추가하거나 일시적으로 변조 방지를 비활성화할 수 있지만, 작업 완료 후에는 즉시 다시 활성화해야 합니다. 기업 환경에서는 Microsoft Endpoint Manager를 통해 변조 방지 정책을 중앙에서 관리하고 적용할 수 있습니다.
제외 항목 설정 시 주의사항
제외 항목은 Windows Defender가 검사하지 않을 파일, 폴더, 프로세스를 지정하는 기능입니다. 개발 환경이나 특정 애플리케이션이 오탐지되어 정상 작동하지 않을 때 유용하지만, 잘못 설정하면 보안 위험이 증가합니다. 악성코드가 제외 항목으로 지정된 위치에 숨어들면 탐지되지 않기 때문입니다.
제외 항목을 추가하려면 Windows 보안 센터의 ‘바이러스 및 위협 방지’에서 ‘설정 관리’를 클릭한 후 ‘제외 추가 또는 제거’를 선택합니다. 파일, 폴더, 파일 형식, 프로세스 네 가지 유형의 제외를 설정할 수 있습니다. 개발자가 빌드 폴더를 제외하거나 가상 머신 이미지 파일을 제외하는 경우가 일반적입니다. 하지만 제외 항목은 최소한으로 유지하고 신뢰할 수 있는 경로만 추가해야 합니다.
절대로 전체 드라이브나 시스템 폴더를 제외 항목에 추가해서는 안 됩니다. 특히 다운로드 폴더, 임시 폴더, 사용자 문서 폴더 등 외부 파일이 저장되는 위치는 제외하지 않는 것이 안전합니다. 만약 특정 프로그램이 오탐지된다면 해당 실행 파일만 정확히 지정하여 제외하고, 주기적으로 제외 항목을 검토하여 불필요한 항목은 제거하는 것이 좋습니다.
주요 업데이트 내역
2025년 2월에는 긴급(Critical) 2건과 중요(Important) 8건의 보안 취약점이 수정되었습니다. 이러한 정기 보안 업데이트는 새로운 취약점을 지속적으로 패치하여 시스템을 안전하게 유지합니다. Windows Update를 통해 자동으로 적용되므로 사용자는 별도의 조치 없이도 최신 보안 패치를 받을 수 있습니다.
2025년 8월 보안 인텔리전스 업데이트(버전 1.435.11.0)는 여러 주요 개선 사항을 포함합니다. 관리자 권한 없이 공유 서명 업데이트가 가능해져 일반 사용자도 최신 바이러스 정의를 자동으로 받을 수 있게 되었습니다. 수동 모드 검색 동작이 개선되어 다른 백신 프로그램과 함께 사용할 때도 효율적으로 작동하며, 변조 방지 처리가 최적화되어 시스템 성능에 미치는 영향이 줄어들었습니다.
기업용 Defender for Endpoint는 엔드포인트 탐지 및 대응(EDR)과 확장 탐지 및 대응(XDR) 기능을 제공합니다. 이를 통해 고급 지속 위협(APT)과 제로데이 공격에도 대응할 수 있으며, 중앙 관리 콘솔에서 모든 엔드포인트의 보안 상태를 실시간으로 모니터링할 수 있습니다. 중소기업이나 개인 사용자도 Microsoft 365 구독을 통해 일부 고급 기능을 사용할 수 있습니다.
자주 묻는 질문 (FAQ)
❓ Windows Defender만으로도 충분한가요?
Windows 10과 11에서는 Windows Defender만으로도 충분한 보안을 제공합니다. 실시간 보호, 클라우드 기반 위협 분석, 정기 업데이트를 통해 대부분의 악성코드를 차단할 수 있습니다. 다만 인터넷 뱅킹이나 중요 업무용으로 사용한다면 방화벽 설정과 브라우저 보안 기능을 함께 활성화하는 것이 좋습니다. 추가로 정기적인 백업과 Windows Update를 통한 시스템 패치만 꾸준히 유지하면 별도의 유료 백신 없이도 안전하게 사용할 수 있습니다.
❓ 실시간 보호가 자동으로 꺼지는 이유는?
변조 방지 기능이 비활성화되어 있거나 악성코드가 Windows Defender 설정을 변경했을 가능성이 있습니다. Windows 보안 센터에서 변조 방지를 활성화하고 전체 검사를 실행하여 시스템을 점검하세요. 일부 시스템 최적화 프로그램이나 레지스트리 클리너도 실시간 보호를 비활성화할 수 있으므로 이러한 도구 사용을 중단하는 것이 좋습니다. 문제가 계속되면 Windows 복구 옵션을 사용하여 시스템을 이전 상태로 복원하거나 SFC /scannow 명령으로 시스템 파일 무결성을 검사해야 합니다.
❓ Windows Defender 업데이트가 실패할 때 해결 방법은?
먼저 인터넷 연결을 확인하고 Windows Update 서비스가 정상적으로 실행되고 있는지 점검하세요. 서비스 관리자(services.msc)에서 Windows Update와 Windows Defender Antivirus Service를 찾아 실행 중인지 확인하고 중지되어 있다면 시작합니다. 그래도 해결되지 않으면 명령 프롬프트를 관리자 권한으로 실행한 후 'Update-MpSignature' PowerShell 명령으로 수동 업데이트를 시도할 수 있습니다. 프록시나 방화벽이 Microsoft 서버 접속을 차단하고 있는지도 확인하세요.
❓ 빠른 검사와 전체 검사의 차이는?
빠른 검사는 악성코드가 주로 숨는 시스템 폴더와 실행 중인 프로그램만 점검하므로 5~10분 정도 소요됩니다. 시작 프로그램, 레지스트리, 메모리에 로드된 프로세스 등 위험도가 높은 영역을 우선적으로 검사합니다. 전체 검사는 모든 드라이브의 모든 파일을 검사하므로 시간이 오래 걸리지만 숨어있는 위협까지 찾아낼 수 있습니다. 일반적으로 일주일에 한 번 빠른 검사를, 한 달에 한 번 전체 검사를 실행하는 것이 적절합니다. 의심스러운 파일을 다운로드했거나 바이러스 감염 증상이 있다면 즉시 전체 검사를 실행하세요.
❓ 제외 항목 설정 시 주의할 점은?
제외 항목은 최소한으로 유지하고 신뢰할 수 있는 경로만 추가해야 합니다. 전체 드라이브나 다운로드 폴더, 임시 폴더처럼 외부 파일이 저장되는 위치는 절대 제외하지 마세요. 개발 환경의 빌드 폴더나 특정 프로그램 실행 파일처럼 오탐지가 확실한 경우에만 정확한 경로를 지정하여 추가합니다. 제외 항목으로 지정된 위치는 악성코드가 숨기 좋은 장소가 되므로 주기적으로 검토하고 불필요한 항목은 제거하는 것이 중요합니다. 특히 변조 방지를 활성화하여 악성코드가 제외 항목을 추가하지 못하도록 보호하세요.