본문 바로가기
운영체제 (LNX,WIN)

Microsoft Defender 백신 및 Application Guard 보안 역할과 기능

by 날으는물고기 2024. 4. 7.

Microsoft Defender 백신 및 Application Guard 보안 역할과 기능

Microsoft Defender와 Microsoft Defender Application Guard는 Microsoft에서 윈도우(Windows)에서 사용이 가능하도록 제공하는 무료 보안 솔루션입니다. 서로 다른 역할과 기능을 가지고 있는데, 두 제품에 대한 유형을 설명하겠습니다.

Windows Defender Application Guard(WDAG) - Windows Security - Microsoft Learn

Microsoft Defender

  1. 안티바이러스 및 악성 코드 탐지: Microsoft Defender는 기본적으로 Windows 운영 체제에 내장된 안티바이러스 및 악성 코드 탐지 솔루션입니다. 이것은 사용자의 컴퓨터를 악성 소프트웨어, 스파이웨어, 랜섬웨어 및 기타 악성 코드로부터 보호하는 데 사용됩니다.
  2. 실시간 보호: Microsoft Defender는 사용자가 파일을 열거나 실행할 때 실시간으로 악성 코드를 탐지하고 차단하는 기능을 제공합니다.
  3. 스캐줄링된 검사: Microsoft Defender는 사용자가 지정한 시간에 컴퓨터를 스캔하여 시스템을 보다 깊게 검사할 수 있도록 스캐줄링된 검사를 제공합니다.
  4. 바이러스 백신 엔진 업데이트: 정기적으로 바이러스 백신 엔진을 업데이트하여 최신 보안 정의를 유지합니다.
  5. 윈도우 보안 센터 통합: Microsoft Defender는 Windows 보안 센터에 통합되어 사용자에게 시스템의 보안 상태를 보고하고 관리할 수 있는 인터페이스를 제공합니다.

Microsoft Defender Application Guard

  1. 웹 브라우저 보안: Microsoft Defender Application Guard는 악의적인 웹 사이트로부터의 공격을 방지하기 위해 웹 브라우징 활동을 격리된 환경에서 실행합니다.
  2. 가상화 기술 사용: Application Guard는 Hyper-V 기반의 가상화 기술을 사용하여 엣지 웹 브라우저를 격리된 가상 환경에서 실행합니다.
  3. 정책 설정: IT 관리자는 조직의 보안 정책에 따라 Microsoft Defender Application Guard를 구성할 수 있습니다. 특정 웹 사이트를 격리 환경에 강제로 실행하거나 예외 사항을 설정할 수 있습니다.
  4. 안전한 웹 브라우징: 사용자가 악의적인 웹 사이트를 방문하더라도, Microsoft Defender Application Guard를 통해 해당 웹 사이트는 격리된 환경에서 실행되므로 사용자의 시스템에 액세스할 수 없습니다.

Microsoft Defender는 주로 엔드포인트 보호를 위해 설계되었으며, 사용자의 디바이스를 다양한 형태의 악성 코드로부터 보호합니다. 반면, Microsoft Defender Application Guard는 주로 웹 브라우징 보안에 중점을 둔 솔루션으로, 악의적인 웹 사이트로부터의 공격을 방지하고 사용자의 시스템을 안전하게 유지합니다.

Microsoft Defender 바이러스 백신 MpCmdRun 유틸리티 사용 설명

MpCmdRun 유틸리티는 Microsoft Defender 바이러스 백신의 다양한 기능을 명령줄에서 제어하는 데 사용할 수 있는 도구입니다. 이 유틸리티를 사용하면 바이러스 검사 수행, 정의 업데이트 확인, 격리된 항목 복원 등의 작업을 자동화할 수 있습니다.

 

사용 방법

  1. 관리자 권한으로 명령 프롬프트를 실행합니다.
  2. 다음 구문을 사용하여 MpCmdRun 유틸리티를 실행합니다.
    MpCmdRun.exe [command] [-options]

예시

  • 전체 바이러스 백신 검사를 시작하려면 다음 명령을 사용합니다.
    MpCmdRun.exe -Scan -ScanType 2
  • 특정 파일을 검사하려면 다음 명령을 사용합니다.
    MpCmdRun.exe -Scan -File C:\path\to\file.exe
  • 격리된 항목을 복원하려면 다음 명령을 사용합니다.
    MpCmdRun.exe -Restore -Path C:\path\to\file.exe

사용 가능한 명령 옵션

  • -? 또는 -h : MpCmdRun 도구에 사용 가능한 모든 옵션을 표시합니다.
  • -Scan : 악성 소프트웨어를 검색합니다.
  • -Trace : 진단 추적을 시작합니다.
  • -CaptureNetworkTrace : 네트워크 보호 서비스에 대한 모든 네트워크 입력을 캡처합니다.
  • -GetFiles : 지원 정보를 수집합니다.
  • -RemoveDefinitions : 설치된 보안 인텔리전스를 이전 백업 복사본 또는 기본 집합으로 복원합니다.
  • -SignatureUpdate : 새 보안 인텔리전스 업데이트를 확인합니다.
  • -Restore : 격리된 항목을 복원하거나 나열합니다.
  • -AddDynamicSignature : 동적 보안 인텔리전스를 로드합니다.
  • -ListAllDynamicSignatures : 로드된 동적 보안 인텔리전스를 나열합니다.
  • -RemoveDynamicSignature : 동적 보안 인텔리전스를 제거합니다.
  • -CheckExclusion : 경로가 제외되는지 여부를 확인합니다.
  • -ValidateMapsConnection : 네트워크가 Microsoft Defender 바이러스 백신 클라우드 서비스와 통신할 수 있음을 확인합니다.
  • -ResetPlatform : 플랫폼 이진 파일을 기본 설정으로 다시 설정합니다.
  • -RevertPlatform : 플랫폼 이진 파일을 이전 버전으로 되돌립니다.

 

자세한 내용

Windows Defender의 과탐지(오진, False Positive) 해결 방법

Bria 응용 프로그램을 사용하는 경우 Windows Defender에서 트로잔(Trojan)으로 오인하는 과탐지(오진, False Positive) 문제가 발생할 수 있습니다. Microsoft와 협력하여 이 문제를 해결했지만 바이러스 정의가 최신 상태가 아니면 계속해서 Bria가 악성 프로그램으로 플래그가 발생할 수 있습니다.

 

해결 방법

  1. 관리자 권한으로 명령 프롬프트 열기
  2. 명령 프롬프트에서 다음 명령을 차례대로 실행하세요.
    • MpCmdRun.exe -removedefinitions -dynamicsignatures (캐시된 악성 프로그램 정의 삭제)
    • MpCmdRun.exe -SignatureUpdate (최신 바이러스 정의 업데이트)
  3. 또는 Microsoft 웹사이트에서 최신 바이러스 정의를 직접 다운로드할 수도 있습니다.

참고

  • 이 문서 앞 부분은 Microsoft Defender의 MpCmdRun 유틸리티 사용 방법에 대한 설명입니다.
  • Bria에 대한 오탐지 문제 해결에 필요한 부분은 위에 제시된 명령어 실행이나 최신 바이러스 정의 다운로드입니다.

 

암호화된 압축 파일은 보안 및 개인 정보 보호를 위해 일반적으로 사용됩니다. 그러나 이러한 파일 형식은 때로는 보안 솔루션에 의해 탐지되어 취약할 수 있습니다. 보안 솔루션은 파일 내용을 분석하기 어렵거나 불가능할 때 파일 이름과 메타데이터를 기반으로 악성 코드를 탐지하려고 할 수 있습니다. 이로 인해 파일명으로 인한 오탐이 발생할 수 있습니다. 

 

최근 파일명에 의한 오탐 사례가 다수 발생이 되고 있었는데, 파일명이나 메타데이터를 기반으로만 악성 코드를 탐지하는 경우로 발생합니다. 이러한 과정에서 파일명이 일종의 신호로 활용될 수 있으며, 특히 파일의 MD5 해시값이 파일명으로 사용된다면 이는 보안 솔루션에서 잠재적으로 악성 코드로 오인할 수 있습니다.

 

이에 대해서, 실제로 파일명을 변경하는 것으로 이러한 문제를 해결할 수 있습니다. 다음과 같은 이유로 가능합니다.

  1. MD5 해시 충돌: MD5 해시 함수는 특정한 데이터에 대해 고정된 길이의 해시값을 생성합니다. 그러나 해시 함수의 특성상 두 개 이상의 입력 데이터가 같은 해시값을 가질 수 있는 "충돌"이 발생할 수 있습니다. 따라서 두 개의 파일이 서로 다른 내용을 가지더라도 동일한 MD5 해시값을 가질 수 있습니다.
  2. 파일명 변경: 파일명을 변경하면 MD5 해시값도 변경됩니다. 이 경우 보안 솔루션은 해당 파일을 다른 파일로 간주하고, 이전에 발생했던 오탐 문제를 해결할 수 있습니다.

이러한 사례는 악성 코드가 아닌 파일이 보안 솔루션에 의해 잘못 분류되어 오탐되었을 때 발생할 수 있습니다. 파일 제작자는 보다 효과적인 파일명을 선택하여 이러한 문제를 예방할 수 있습니다. 또한 보안 솔루션 제공 업체들도 MD5 해시값만을 파일 신원 확인의 유일한 수단으로 사용하지 않도록 업데이트하여 이러한 문제를 방지할 수 있습니다.

 

파일명으로만 머신러닝을 사용하여 악성 코드를 판별하는 것은 비효율적이고 정확성이 낮을 수 있습니다. 파일명은 사용자가 지정하므로 악성 코드의 존재 여부를 정확하게 나타내지 않을 수 있습니다. 그러나 이러한 방식은 보안 솔루션 개발자가 실시간으로 파일 내용을 분석하는 것보다 더 빠르고 경제적일 수 있습니다.

 

따라서, 파일 제작자가 오탐을 방지하고자 할 때 파일명 관점에서 주의해야 할 사항은 다음과 같습니다.

  1. 의미 없는 파일명 피하기: 악성 코드를 포함하지 않은 파일도 악성 코드로 오인될 수 있습니다. 따라서 파일명은 명확하고 의미가 있어야 합니다.
  2. 파일명의 일반적 패턴 피하기: 보안 솔루션은 특정 패턴을 갖는 파일명을 탐지하여 악성 코드로 판단할 수 있습니다. 따라서 일반적인 패턴을 피하고 유니크한 파일명을 선택하는 것이 좋습니다.
  3. 오탐을 피하기 위한 명확한 파일 설명: 파일명에 파일의 내용이나 용도를 명시적으로 설명함으로써 오탐을 방지할 수 있습니다.
  4. 암호화 및 보안 강화: 파일을 보호하기 위해 암호화 및 보안 기술을 사용하여 파일의 내용을 외부로부터 보호하는 것이 좋습니다.
  5. 백신 및 보안 솔루션 테스트: 파일을 제작한 후에는 다양한 보안 솔루션에서 테스트하여 오탐 여부를 확인할 수 있습니다.

암호화된 압축 파일을 사용할 때는 파일명뿐만 아니라 파일 내용과 압축 해제된 파일도 보호되어야 합니다. 사용자와 파일 제작자는 보안을 강화하고 오탐을 방지하기 위해 파일명 관점과 내용 관점에서 모두 주의해야 합니다.

728x90

댓글