Microsoft Defender 백신 및 Application Guard 보안 역할과 기능

Microsoft Defender와 Microsoft Defender Application Guard는 Microsoft에서 윈도우(Windows)에서 사용이 가능하도록 제공하는 무료 보안 솔루션입니다. 서로 다른 역할과 기능을 가지고 있는데, 두 제품에 대한 유형을 설명하겠습니다.

Windows Defender Application Guard(WDAG) - Windows Security - Microsoft Learn

Microsoft Defender

1. 안티바이러스 및 악성 코드 탐지: Microsoft Defender는 기본적으로 Windows 운영 체제에 내장된 안티바이러스 및 악성 코드 탐지 솔루션입니다. 이것은 사용자의 컴퓨터를 악성 소프트웨어, 스파이웨어, 랜섬웨어 및 기타 악성 코드로부터 보호하는 데 사용됩니다.
2. 실시간 보호: Microsoft Defender는 사용자가 파일을 열거나 실행할 때 실시간으로 악성 코드를 탐지하고 차단하는 기능을 제공합니다.
3. 스캐줄링된 검사: Microsoft Defender는 사용자가 지정한 시간에 컴퓨터를 스캔하여 시스템을 보다 깊게 검사할 수 있도록 스캐줄링된 검사를 제공합니다.
4. 바이러스 백신 엔진 업데이트: 정기적으로 바이러스 백신 엔진을 업데이트하여 최신 보안 정의를 유지합니다.
5. 윈도우 보안 센터 통합: Microsoft Defender는 Windows 보안 센터에 통합되어 사용자에게 시스템의 보안 상태를 보고하고 관리할 수 있는 인터페이스를 제공합니다.

Microsoft Defender Application Guard

1. 웹 브라우저 보안: Microsoft Defender Application Guard는 악의적인 웹 사이트로부터의 공격을 방지하기 위해 웹 브라우징 활동을 격리된 환경에서 실행합니다.
2. 가상화 기술 사용: Application Guard는 Hyper-V 기반의 가상화 기술을 사용하여 엣지 웹 브라우저를 격리된 가상 환경에서 실행합니다.
3. 정책 설정: IT 관리자는 조직의 보안 정책에 따라 Microsoft Defender Application Guard를 구성할 수 있습니다. 특정 웹 사이트를 격리 환경에 강제로 실행하거나 예외 사항을 설정할 수 있습니다.
4. 안전한 웹 브라우징: 사용자가 악의적인 웹 사이트를 방문하더라도, Microsoft Defender Application Guard를 통해 해당 웹 사이트는 격리된 환경에서 실행되므로 사용자의 시스템에 액세스할 수 없습니다.

Microsoft Defender는 주로 엔드포인트 보호를 위해 설계되었으며, 사용자의 디바이스를 다양한 형태의 악성 코드로부터 보호합니다. 반면, Microsoft Defender Application Guard는 주로 웹 브라우징 보안에 중점을 둔 솔루션으로, 악의적인 웹 사이트로부터의 공격을 방지하고 사용자의 시스템을 안전하게 유지합니다.

Microsoft Defender 바이러스 백신 MpCmdRun 유틸리티 사용 설명

MpCmdRun 유틸리티는 Microsoft Defender 바이러스 백신의 다양한 기능을 명령줄에서 제어하는 데 사용할 수 있는 도구입니다. 이 유틸리티를 사용하면 바이러스 검사 수행, 정의 업데이트 확인, 격리된 항목 복원 등의 작업을 자동화할 수 있습니다.

 

사용 방법

1. 관리자 권한으로 명령 프롬프트를 실행합니다.
2. 다음 구문을 사용하여 MpCmdRun 유틸리티를 실행합니다.

   MpCmdRun.exe [command] [-options]

예시

• 전체 바이러스 백신 검사를 시작하려면 다음 명령을 사용합니다.

  MpCmdRun.exe -Scan -ScanType 2

• 특정 파일을 검사하려면 다음 명령을 사용합니다.

  MpCmdRun.exe -Scan -File C:\path\to\file.exe

• 격리된 항목을 복원하려면 다음 명령을 사용합니다.

  MpCmdRun.exe -Restore -Path C:\path\to\file.exe

사용 가능한 명령 옵션

• -? 또는 -h : MpCmdRun 도구에 사용 가능한 모든 옵션을 표시합니다.
• -Scan : 악성 소프트웨어를 검색합니다.
• -Trace : 진단 추적을 시작합니다.
• -CaptureNetworkTrace : 네트워크 보호 서비스에 대한 모든 네트워크 입력을 캡처합니다.
• -GetFiles : 지원 정보를 수집합니다.
• -RemoveDefinitions : 설치된 보안 인텔리전스를 이전 백업 복사본 또는 기본 집합으로 복원합니다.
• -SignatureUpdate : 새 보안 인텔리전스 업데이트를 확인합니다.
• -Restore : 격리된 항목을 복원하거나 나열합니다.
• -AddDynamicSignature : 동적 보안 인텔리전스를 로드합니다.
• -ListAllDynamicSignatures : 로드된 동적 보안 인텔리전스를 나열합니다.
• -RemoveDynamicSignature : 동적 보안 인텔리전스를 제거합니다.
• -CheckExclusion : 경로가 제외되는지 여부를 확인합니다.
• -ValidateMapsConnection : 네트워크가 Microsoft Defender 바이러스 백신 클라우드 서비스와 통신할 수 있음을 확인합니다.
• -ResetPlatform : 플랫폼 이진 파일을 기본 설정으로 다시 설정합니다.
• -RevertPlatform : 플랫폼 이진 파일을 이전 버전으로 되돌립니다.

 

자세한 내용

• Microsoft Defender 바이러스 백신 명령줄 도구: https://support.microsoft.com/ko-kr/windows
• Microsoft Defender 바이러스 백신 업데이트 및 기준: https://learn.microsoft.com/ko-kr/microsoft-365/security/defender-endpoint/microsoft-defender-antivirus-windows?view=o365-worldwide

Windows Defender의 과탐지(오진, False Positive) 해결 방법

Bria 응용 프로그램을 사용하는 경우 Windows Defender에서 트로잔(Trojan)으로 오인하는 과탐지(오진, False Positive) 문제가 발생할 수 있습니다. Microsoft와 협력하여 이 문제를 해결했지만 바이러스 정의가 최신 상태가 아니면 계속해서 Bria가 악성 프로그램으로 플래그가 발생할 수 있습니다.

 

해결 방법

1. 관리자 권한으로 명령 프롬프트 열기
2. 명령 프롬프트에서 다음 명령을 차례대로 실행하세요.
   • MpCmdRun.exe -removedefinitions -dynamicsignatures (캐시된 악성 프로그램 정의 삭제)
   • MpCmdRun.exe -SignatureUpdate (최신 바이러스 정의 업데이트)
3. 또는 Microsoft 웹사이트에서 최신 바이러스 정의를 직접 다운로드할 수도 있습니다.
   • Microsoft 악성 코드 제거 센터: https://www.microsoft.com/en-us/wdsi/definitions

참고

• 이 문서 앞 부분은 Microsoft Defender의 MpCmdRun 유틸리티 사용 방법에 대한 설명입니다.
• Bria에 대한 오탐지 문제 해결에 필요한 부분은 위에 제시된 명령어 실행이나 최신 바이러스 정의 다운로드입니다.

 

암호화된 압축 파일은 보안 및 개인 정보 보호를 위해 일반적으로 사용됩니다. 그러나 이러한 파일 형식은 때로는 보안 솔루션에 의해 탐지되어 취약할 수 있습니다. 보안 솔루션은 파일 내용을 분석하기 어렵거나 불가능할 때 파일 이름과 메타데이터를 기반으로 악성 코드를 탐지하려고 할 수 있습니다. 이로 인해 파일명으로 인한 오탐이 발생할 수 있습니다. 

 

최근 파일명에 의한 오탐 사례가 다수 발생이 되고 있었는데, 파일명이나 메타데이터를 기반으로만 악성 코드를 탐지하는 경우로 발생합니다. 이러한 과정에서 파일명이 일종의 신호로 활용될 수 있으며, 특히 파일의 MD5 해시값이 파일명으로 사용된다면 이는 보안 솔루션에서 잠재적으로 악성 코드로 오인할 수 있습니다.

 

이에 대해서, 실제로 파일명을 변경하는 것으로 이러한 문제를 해결할 수 있습니다. 다음과 같은 이유로 가능합니다.

1. MD5 해시 충돌: MD5 해시 함수는 특정한 데이터에 대해 고정된 길이의 해시값을 생성합니다. 그러나 해시 함수의 특성상 두 개 이상의 입력 데이터가 같은 해시값을 가질 수 있는 "충돌"이 발생할 수 있습니다. 따라서 두 개의 파일이 서로 다른 내용을 가지더라도 동일한 MD5 해시값을 가질 수 있습니다.
2. 파일명 변경: 파일명을 변경하면 MD5 해시값도 변경됩니다. 이 경우 보안 솔루션은 해당 파일을 다른 파일로 간주하고, 이전에 발생했던 오탐 문제를 해결할 수 있습니다.

이러한 사례는 악성 코드가 아닌 파일이 보안 솔루션에 의해 잘못 분류되어 오탐되었을 때 발생할 수 있습니다. 파일 제작자는 보다 효과적인 파일명을 선택하여 이러한 문제를 예방할 수 있습니다. 또한 보안 솔루션 제공 업체들도 MD5 해시값만을 파일 신원 확인의 유일한 수단으로 사용하지 않도록 업데이트하여 이러한 문제를 방지할 수 있습니다.

 

파일명으로만 머신러닝을 사용하여 악성 코드를 판별하는 것은 비효율적이고 정확성이 낮을 수 있습니다. 파일명은 사용자가 지정하므로 악성 코드의 존재 여부를 정확하게 나타내지 않을 수 있습니다. 그러나 이러한 방식은 보안 솔루션 개발자가 실시간으로 파일 내용을 분석하는 것보다 더 빠르고 경제적일 수 있습니다.

 

따라서, 파일 제작자가 오탐을 방지하고자 할 때 파일명 관점에서 주의해야 할 사항은 다음과 같습니다.

1. 의미 없는 파일명 피하기: 악성 코드를 포함하지 않은 파일도 악성 코드로 오인될 수 있습니다. 따라서 파일명은 명확하고 의미가 있어야 합니다.
2. 파일명의 일반적 패턴 피하기: 보안 솔루션은 특정 패턴을 갖는 파일명을 탐지하여 악성 코드로 판단할 수 있습니다. 따라서 일반적인 패턴을 피하고 유니크한 파일명을 선택하는 것이 좋습니다.
3. 오탐을 피하기 위한 명확한 파일 설명: 파일명에 파일의 내용이나 용도를 명시적으로 설명함으로써 오탐을 방지할 수 있습니다.
4. 암호화 및 보안 강화: 파일을 보호하기 위해 암호화 및 보안 기술을 사용하여 파일의 내용을 외부로부터 보호하는 것이 좋습니다.
5. 백신 및 보안 솔루션 테스트: 파일을 제작한 후에는 다양한 보안 솔루션에서 테스트하여 오탐 여부를 확인할 수 있습니다.

암호화된 압축 파일을 사용할 때는 파일명뿐만 아니라 파일 내용과 압축 해제된 파일도 보호되어야 합니다. 사용자와 파일 제작자는 보안을 강화하고 오탐을 방지하기 위해 파일명 관점과 내용 관점에서 모두 주의해야 합니다.