무죄가 입증될 때까지 유죄로 간주하는 접근 방식이 CPU 사이클을 절약할 수 있습니다.
Windows 11 22H2를 통해 Microsoft는 보안 제품군에 새로운 구성 요소인 Smart App Control(SAC)을 도입하여 악성 애플리케이션을 예방하는 것을 목표로 했습니다. 이 기능은 Microsoft Defender와 연동하여, 신뢰할 수 없거나 알려지지 않은 코드가 사전에 실행되는 것을 차단합니다. Microsoft는 업데이트된 블로그 게시물에서 이 기능을 홍보하며 기존 AV 솔루션 대비 성능 향상을 주장하지만, 해당 기능 사용을 위해서는 Windows를 새로 설치해야 한다는 조건이 명시되어 있습니다.
Microsoft Defender와 같은 전통적인 안티바이러스 소프트웨어는 "무죄 추정의 원칙(Innocent until proven guilty)"에 기반을 둡니다. 이러한 솔루션들은 주로 반응적(reactive)이며, 프로그램의 행동이 의심스러운 패턴을 보일 때 경고를 발생시킵니다. Microsoft Defender는 서명 기반 탐지(signature-based detection), 행위 기반 분석(heuristics) 체크, 그리고 클라우드 보호를 활용하여 시스템의 악성 소프트웨어를 방어합니다. 서명 검사를 우회할 수 있는 제로데이 악성코드나 다형성 위협에 직면했을 때, Defender는 휴리스틱 방식을 사용해 악성코드의 행동을 관찰하고 의심스러운 패턴을 포착합니다.
반면, Smart App Control은 "유죄 추정의 원칙(Guilty until proven innocent)"을 바탕으로 능동적인(proactive) 방법론을 사용합니다. SAC는 Microsoft의 Intelligence Security Graph(클라우드 기반 평판 서비스)를 통해 애플리케이션의 보안성을 사전에 검증합니다. 이 테스트 결과가 불확실할 경우, 애플리케이션의 디지털 서명을 검증하여 신뢰할 수 있는 개발사에서 출처했는지 확인하는 절차를 거칩니다. 만약 첫 번째 검사에서 악성으로 예측되거나, 두 번째 검사에서 서명이 없는 경우 Windows Security에 의해 해당 애플리케이션은 차단됩니다.
Microsoft는 이를 통해 Windows 11의 성능, 안정성, 업데이트 측면에서 큰 개선이 있을 것으로 기대하고 있습니다.
본질적으로 SAC는 오직 검증된 애플리케이션만이 시스템에서 실행되도록 보장함으로써 전통적인 행위 기반 분석 체크를 우회합니다. 비록 Microsoft가 Smart App Control이 기존 안티바이러스 솔루션보다 성능 향상을 제공한다고 주장하지만, SAC는 Windows Defender와 병렬로 작동하도록 설계되었습니다. 중요한 점은, SAC가 특정 프로그램을 악성으로 판단할 경우, Windows Defender와 달리 이를 오탐(false positive)으로 분류하거나 화이트리스트에 등록할 수 없다는 것입니다. 따라서 SAC는 기술적인 조정이 빈번하게 발생하는 고급 사용자나 개발자에게는 적합하지 않을 수 있으며, 엔터프라이즈 환경이나 기술에 덜 익숙한 일반 사용자에게 더 적합할 것으로 보입니다.
이러한 기능 간의 충돌을 방지하기 위해, Microsoft는 Smart App Control을 평가 단계(evaluation phase)를 거쳐 사용자의 일상적인 활동에 방해가 될지 여부를 판단합니다. 이는 일방통행의 원칙을 따릅니다. SAC가 시스템에 부적합하다고 판단되면 비활성화되며, 재활성화하려면 Windows를 재설치해야만 합니다. 마찬가지로, 사용자가 직접 기능을 비활성화하더라도 단순히 다시 켤 수는 없습니다.
최신 뉴스, 분석 및 리뷰를 받아보려면 Tom's Hardware를 Google News에서 팔로우하세요. 팔로우 버튼을 클릭하는 것을 잊지 마십시오.