Windows Defender의 "자동 샘플 제출" 및 "클라우드 기반 보호"는 어떻게 작동합니까?

Windows 10의 통합 Windows Defender 바이러스 백신에는 다른 최신 바이러스 백신 응용 프로그램과 같은 몇 가지 "클라우드" 기능이 있습니다. 기본적으로 Windows는 의심스러운 파일을 자동으로 업로드하고 의심스러운 활동에 대한 데이터를 보고하므로 새로운 위협 요소를 최대한 빨리 감지하고 차단할 수 있습니다.

관련: Windows 10용 최고의 바이러스 백신은 무엇입니까? (Windows Defender로 충분합니까?)

이러한 기능은 Windows 10에 포함된 바이러스 백신 도구인 Windows Defender의 일부입니다. Windows Defender를 대체할 타사 바이러스 백신 응용 프로그램 도구를 설치하지 않는 한 Windows Defender는 항상 실행됩니다.

이 두 기능은 기본적으로 활성화되어 있습니다. Windows Defender 보안 센터를 시작하여 현재 활성화되어 있는지 확인할 수 있습니다. 시작 메뉴에서 "Windows Defender"를 검색하거나 앱 목록에서 "Windows Defender 보안 센터"를 찾아 찾을 수 있습니다. 바이러스 및 위협 방지 > 바이러스 및 위협 방지 설정으로 이동합니다.

원하는 경우 여기에서 클라우드 기반 보호와 자동 샘플 제출을 모두 비활성화할 수 있습니다. 그러나 이러한 기능은 활성화된 상태로 두는 것이 좋습니다. 그들이 하는 일은 다음과 같습니다.

클라우드 기반 보호

Windows Defender Security Center 인터페이스에 따르면 클라우드 기반 보호 기능은 "클라우드의 최신 Windows Defender 바이러스 백신 보호 데이터에 액세스하여 더 빠르고 향상된 보호 기능을 제공합니다."

이것은 MAPS라고도 하는 최신 버전의 Microsoft Active Protection Service의 새 이름으로 보입니다. 이전에는 Microsoft SpyNet으로 알려졌습니다.

이것을 보다 발전된 휴리스틱 기능이라고 생각하십시오. 일반적인 바이러스 백신 휴리스틱을 사용하면 바이러스 백신 응용 프로그램이 프로그램이 시스템에서 수행하는 작업을 감시하고 해당 작업이 의심스러운지 여부를 결정합니다. 이 결정은 전적으로 귀하의 PC에서 합니다.

클라우드 기반 보호 기능을 통해 Windows Defender는 의심스러운 이벤트가 발생할 때마다 Microsoft 서버("클라우드")로 정보를 보낼 수 있습니다. PC에서 사용 가능한 정보로 전적으로 결정을 내리는 대신 Microsoft의 연구 시간, 기계 학습 논리 및 대량의 최신 원시 데이터에서 사용할 수 있는 최신 맬웨어 정보에 액세스하여 Microsoft 서버에서 결정을 내립니다. .

Microsoft 서버는 거의 즉각적인 응답을 보내 Windows Defender에 파일이 위험할 수 있으므로 차단해야 한다고 알리고 추가 분석을 위해 파일 샘플을 요청하거나 Windows Defender에 모든 것이 정상이고 파일이 정상적으로 실행되어야 한다고 알려줍니다.

기본적으로 Windows Defender는 Microsoft의 클라우드 보호 서비스로부터 응답을 받기 위해 최대 10초 동안 기다리도록 설정되어 있습니다. 이 시간 내에 응답하지 않으면 의심스러운 파일이 실행됩니다. 인터넷 연결이 괜찮다고 가정하면 충분한 시간 이상이어야 합니다. 클라우드 서비스는 종종 1초 이내에 응답해야 합니다.

자동 샘플 제출

Windows Defender 인터페이스는 클라우드 기반 보호가 자동 샘플 제출이 활성화된 상태에서 가장 잘 작동한다는 점에 주목합니다. 그 이유는 클라우드 기반 보호가 파일 샘플을 요청할 수 있기 때문입니다. 파일이 의심스러운 것 같으면 이 설정을 사용하도록 설정한 경우 Windows Defender가 자동으로 파일을 Microsoft 서버에 업로드합니다.

이 기능은 시스템에서 Microsoft 서버로 파일을 우연히 업로드하지 않습니다. .exe 및 기타 프로그램 파일만 업로드합니다. 개인 데이터를 포함할 수 있는 개인 문서 및 기타 파일은 업로드하지 않습니다. 파일에 개인 데이터가 포함될 수 있지만 의심스러운 경우(예: 잠재적으로 위험한 매크로가 포함된 Word 문서 또는 Excel 스프레드시트) Microsoft로 보내기 전에 메시지가 표시됩니다.

파일이 Microsoft 서버에 업로드되면 서비스는 파일과 파일의 동작을 신속하게 분석하여 파일이 위험한지 여부를 식별합니다. 파일이 위험한 것으로 확인되면 시스템에서 차단됩니다. 다음에 Windows Defender가 다른 사람의 PC에서 해당 파일을 발견하면 추가 분석 없이 차단할 수 있습니다. Windows Defender는 파일이 위험하다는 것을 인식하고 모든 사람을 위해 차단합니다.

Microsoft 웹 사이트의 맬웨어 분석을 위해 파일 제출 페이지로 이동하는 "샘플 수동으로 제출" 링크도 있습니다. 여기에서 의심스러운 파일을 수동으로 업로드할 수 있습니다. 그러나 기본 설정을 사용하면 Windows Defender가 잠재적으로 위험한 파일을 자동으로 업로드하고 거의 즉시 차단할 수 있습니다. 파일이 업로드되었는지조차 알 수 없습니다. 위험한 경우 몇 초 안에 차단됩니다.

이러한 기능을 활성화 상태로 두어야 하는 이유

맬웨어로부터 PC를 보호하려면 이러한 기능을 활성화된 상태로 두는 것이 좋습니다. 맬웨어는 매우 빠르게 나타나고 확산될 수 있으며 안티바이러스는 바이러스 정의 파일을 차단할 만큼 자주 다운로드하지 않을 수 있습니다. 이러한 유형의 기능은 안티바이러스가 새로운 맬웨어 전염병에 훨씬 더 빠르게 대응하고 균열을 통과할 수 있는 이전에 본 적이 없는 맬웨어를 차단하는 데 도움이 됩니다.

Microsoft는 최근 Windows 사용자가 새 맬웨어 파일을 다운로드한 실제 사례를 자세히 설명하는 블로그 게시물을 게시했습니다. Windows Defender는 파일이 의심스럽다고 판단하고 클라우드 기반 보호 서비스에 추가 정보를 요청했습니다. 8초 이내에 서비스는 업로드된 샘플 파일을 수신하여 맬웨어로 분석하고 바이러스 백신 정의를 만들고 Windows Defender에 PC에서 파일을 제거하도록 지시했습니다. 해당 파일은 새로 생성된 바이러스 정의 덕분에 다른 Windows PC에서 발견될 때마다 차단되었습니다.

이것이 이 기능을 활성화된 상태로 두어야 하는 이유입니다. 클라우드 기반 보호 서비스와 분리된 Windows Defender는 정보가 충분하지 않을 수 있으며 스스로 결정을 내려야 했기 때문에 위험한 파일이 실행될 가능성이 있습니다. 클라우드 기반 보호 서비스를 사용하여 파일에 맬웨어라는 레이블이 지정되었으며 나중에 Windows Defender로 보호되는 모든 PC에서 해당 파일이 위험한 파일임을 알게 됩니다.