Windows 10이나 11을 쓰면서 "유료 백신을 따로 설치해야 하나?"라고 고민한 적이 있을 것이다. 결론부터 말하면, 운영체제에 기본 탑재된 Microsoft Defender만으로도 상당 수준의 보안을 확보할 수 있다. AV-TEST 2025년 평가에서 보호 기능 6점 만점, 탐지율 99% 이상을 기록할 정도로 성능이 검증되었기 때문이다.
문제는 대부분의 사용자가 Defender를 제대로 활용하지 못한다는 데 있다. 실시간 보호, SmartScreen, 방화벽, 랜섬웨어 방지, 오프라인 검사 같은 핵심 기능을 켜 놓기만 하고 세부 설정은 건드리지 않는 경우가 많다. 심지어 CPU 점유율 문제로 아예 꺼버리는 사용자도 적지 않다.
이 글에서는 Defender의 모든 주요 기능을 항목별로 정리하고, 켜기·끄기·예외 설정·성능 최적화까지 실무에서 바로 적용 가능한 구체적인 방법을 다룬다. SmartScreen 차단 해제법, 보안 인텔리전스 업데이트 오류 대처, 유료 백신과의 성능 비교 데이터까지 포함했다.
| 항목 | 핵심 내용 |
|---|---|
| 정식 명칭 | Microsoft Defender 바이러스 백신 (구 Windows Defender) |
| 지원 OS | Windows 10, Windows 11, Android, iOS, macOS |
| 비용 | Windows 내장 무료 / 개인용 앱은 Microsoft 365 구독 필요 |
| AV-TEST 점수 | 보호 6/6, 성능 5.5 - 6/6, 사용 편의 6/6 (2025년 기준) |
| 주요 기능 | 실시간 보호, SmartScreen, 방화벽, 랜섬웨어 방지, 오프라인 검사 |
| 검사 유형 | 빠른 검사, 전체 검사, 사용자 지정 검사, 오프라인 검사 |
| 보안 업데이트 | 하루 수 차례 보안 인텔리전스 자동 업데이트 |
| VPN 기능 | 2025년 2월 28일부로 종료 |
Microsoft Defender란 무엇이며 왜 중요한가
Microsoft Defender 바이러스 백신은 Windows 10과 11에 기본 내장된 보안 솔루션이다. 별도 설치 과정 없이 운영체제와 함께 작동하며, 바이러스·스파이웨어·랜섬웨어·트로이목마 등 다양한 악성코드로부터 PC를 보호한다.
과거 "Windows Defender"라는 이름으로 불렸을 때는 성능이 부족하다는 평가가 많았다. 하지만 2017년 이후 AV-TEST에서 지속적으로 높은 점수를 받기 시작했고, 2025년 평가에서는 보호 항목 6점 만점을 기록했다. 독립 평가 기관인 AV-Comparatives의 2025년 테스트에서도 온라인 탐지율 98.8% 이상을 보여주며 유료 백신과 거의 대등한 수준임을 입증했다.
Defender가 제공하는 핵심 보안 기능은 크게 7가지로 나뉜다.
- 실시간 보호: 파일 다운로드·실행 시 즉각 검사
- 클라우드 기반 보호: Microsoft 클라우드 인프라를 활용한 신종 위협 분석
- SmartScreen: 피싱 사이트·악성 다운로드 차단
- 방화벽 및 네트워크 보호: 인바운드·아웃바운드 트래픽 제어
- 랜섬웨어 방지: 제어된 폴더 액세스 기능
- 변조 방지(Tamper Protection): 악성코드가 Defender 설정을 임의로 변경하지 못하도록 차단
- 오프라인 검사: 부팅 단계에서 루트킷 등 은닉형 악성코드 탐지
다른 유료 백신을 설치하면 Defender는 자동으로 수동 모드로 전환된다. 유료 백신을 제거하면 다시 활성 모드로 복귀하므로, 이중 백신에 의한 충돌 걱정은 하지 않아도 된다.
실시간 보호 켜기·끄기와 예외 설정 방법
실시간 보호 켜기와 끄기
실시간 보호는 Defender의 가장 핵심적인 기능이다. 모든 파일의 다운로드, 실행, 저장 시점에 자동으로 악성코드 여부를 검사한다.
켜기·끄기 경로 (Windows 11 기준):
- Win + I → 개인 정보 및 보안 → Windows 보안 → Windows 보안 열기
- 바이러스 및 위협 방지 → 설정 관리
- 실시간 보호 토글을 켬/끔으로 전환
실시간 보호를 끄면 일정 시간이 지나거나 재부팅 후 자동으로 다시 켜진다. 이것은 사용자 보호를 위한 안전장치다.
실시간 보호를 끄면 악성코드에 즉각 노출된다. 특정 프로그램 설치 등 불가피한 경우에만 일시적으로 끄고, 작업 완료 후 즉시 다시 켜야 한다.
예외(제외) 설정으로 오탐 해결하기
Defender가 정상 파일을 악성코드로 잘못 탐지하는 경우가 있다. 개발 도구, 게임 모드 파일, 사내 프로그램 등이 대표적이다. 이때 예외 설정을 활용하면 해당 파일이나 폴더를 검사 대상에서 제외할 수 있다.
예외 설정 경로:
- 바이러스 및 위협 방지 → 설정 관리
- 제외 항목 → 제외 추가 또는 제거
- 파일, 폴더, 파일 형식, 프로세스 중 원하는 유형 선택
| 제외 유형 | 적용 범위 | 사용 예시 |
|---|---|---|
| 파일 | 특정 파일 1개 | setup.exe 등 특정 설치 파일 |
| 폴더 | 해당 폴더 내 모든 파일 | 개발 프로젝트 폴더, 게임 모드 폴더 |
| 파일 형식 | 특정 확장자 전체 | .iso, .vmdk 등 가상머신 이미지 |
| 프로세스 | 특정 프로세스가 사용하는 파일 | node.exe, python.exe 등 |
제외 설정은 최소한으로 유지하는 것이 바람직하다. 폴더 단위보다는 파일 단위로 제외하고, 작업이 끝나면 다시 제외를 해제하는 습관을 들이면 보안 사각지대를 줄일 수 있다.
격리된 파일 복원하기
Defender가 파일을 위협으로 판단하면 자동으로 격리한다. 오탐으로 격리된 파일은 보호 기록에서 복원할 수 있다.
- 바이러스 및 위협 방지 → 보호 기록
- 격리된 항목을 찾아 클릭
- "복원" 또는 "디바이스에서 허용" 선택
격리 파일은 C:\ProgramData\Microsoft\Windows Defender\Quarantine 경로에 보관된다. 보호 기록에서 "제거"를 선택하면 영구 삭제되니, 복원이 필요한 파일은 미리 확인해야 한다.
SmartScreen 설정과 "인식할 수 없는 앱" 차단 해제
SmartScreen이 하는 일
SmartScreen은 웹에서 다운로드한 파일과 방문하는 웹사이트의 안전성을 검증하는 필터다. Microsoft Edge 브라우저뿐 아니라 Windows 전체에서 작동하며, 피싱 사이트 접근을 차단하고 서명되지 않은 실행 파일의 실행을 경고한다.
"Windows Defender SmartScreen에서 인식할 수 없는 앱의 시작을 차단했습니다"라는 메시지를 본 적이 있을 것이다. 이것은 해당 파일에 디지털 서명이 없거나, 다운로드 빈도가 낮아 평판 정보가 부족할 때 나타나는 보호 메커니즘이다.
차단된 앱 실행하기 (일회성)
차단 메시지가 떴을 때 "추가 정보"를 클릭하면 "실행" 버튼이 나타난다. 이 방법은 해당 파일의 출처가 확실할 때만 사용해야 한다.
또 다른 방법으로, 다운로드한 파일을 우클릭 → 속성 → 일반 탭 하단의 "보안" 영역에서 "차단 해제" 체크박스를 선택하고 적용하면 된다.
SmartScreen 끄기 (비권장)
Windows 보안 설정에서 끄기:
- Windows 보안 → 앱 및 브라우저 컨트롤 → 평판 기반 보호 설정
- "앱 및 파일 검사" 토글 끄기
- "Microsoft Edge용 SmartScreen" 토글 끄기
Microsoft Edge에서 끄기:
- Edge 설정 → 개인 정보, 검색 및 서비스
- 보안 섹션 → Microsoft Defender SmartScreen 토글 끄기
SmartScreen을 끄면 피싱 사이트와 악성 다운로드에 대한 1차 방어막이 사라진다. 특정 소프트웨어 설치를 위해 일시적으로 끄더라도, 설치가 끝나면 반드시 다시 켜는 것을 권장한다.
| 설정 항목 | 기본값 | 끄는 위치 | 영향 범위 |
|---|---|---|---|
| 앱 및 파일 검사 | 켬 | Windows 보안 → 앱 및 브라우저 컨트롤 | 모든 다운로드 파일 |
| Microsoft Edge용 SmartScreen | 켬 | Edge 설정 또는 Windows 보안 | Edge 브라우저 내 웹사이트·다운로드 |
| 잠재적으로 원치 않는 앱 차단 | 켬 | Windows 보안 → 평판 기반 보호 | 애드웨어·번들웨어 차단 |
| Microsoft Store 앱용 SmartScreen | 켬 | Windows 보안 → 평판 기반 보호 | Store 외부에서 설치되는 앱 |
방화벽 설정과 인바운드·아웃바운드 규칙 관리
방화벽 기본 설정 확인
Microsoft Defender 방화벽은 네트워크를 통한 무단 접근을 차단하는 역할을 한다. 도메인 네트워크, 개인 네트워크, 공용 네트워크 세 가지 프로필로 나뉘며, 각 프로필별로 독립적인 설정이 가능하다.
확인 경로: Windows 보안 → 방화벽 및 네트워크 보호
고급 방화벽 규칙 설정
특정 프로그램이나 포트의 트래픽을 허용·차단하려면 고급 설정을 사용해야 한다.
- Windows 검색창에 wf.msc 입력 후 실행
- "고급 보안이 포함된 Windows Defender 방화벽" 콘솔 진입
- 인바운드 규칙(외부→PC) 또는 아웃바운드 규칙(PC→외부) 선택
- 오른쪽 "새 규칙" 클릭
- 프로그램, 포트, 미리 정의됨, 사용자 지정 중 선택
- 연결 허용 또는 차단 지정 후 적용할 프로필 선택
게임이나 서버 프로그램이 네트워크 오류를 일으키면, 해당 프로그램의 인바운드 규칙을 확인하는 것이 우선이다. 방화벽이 해당 트래픽을 차단하고 있는 경우가 많다. wf.msc에서 인바운드 규칙 목록을 프로그램명으로 정렬하면 빠르게 찾을 수 있다.
Defender 영구 비활성화 방법과 CPU 점유율 해결
영구 비활성화 3가지 방법
일부 환경에서는 Defender를 영구적으로 꺼야 하는 경우가 있다. 대표적으로 사내 보안 솔루션과 충돌하거나, 보안 카메라 서버처럼 별도 네트워크에 격리된 전용 장비를 운영할 때다.
방법 1: 설정에서 실시간 보호 끄기 (임시)
가장 간단하지만, 재부팅 후 자동으로 다시 켜진다. 임시 작업에만 적합하다.
방법 2: 그룹 정책 편집기 (Windows Pro/Enterprise)
- Win + R → gpedit.msc 실행
- 컴퓨터 구성 → 관리 템플릿 → Windows 구성 요소 → Microsoft Defender 바이러스 백신
- "Microsoft Defender 바이러스 백신 끄기" → 사용으로 변경
- 하위 "실시간 보호 기능" → "실시간 보호 기능 끄기" → 사용으로 변경
- 재부팅
방법 3: 레지스트리 편집기 (Windows Home 포함 전 버전)
- Win + R → regedit 실행
- HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender 이동
- 새 DWORD(32비트) 값 → 이름: DisableAntiSpyware → 값: 1
- 재부팅
| 방법 | 적용 대상 | 영구 여부 | 난이도 | 복원 방법 |
|---|---|---|---|---|
| 설정 토글 | 전 버전 | 임시 (재부팅 시 복원) | 하 | 자동 복원 |
| 그룹 정책 | Pro/Enterprise | 영구 | 중 | 동일 경로에서 "구성되지 않음"으로 변경 |
| 레지스트리 | 전 버전 | 영구 | 상 | DisableAntiSpyware 값 삭제 또는 0으로 변경 |
Defender를 영구적으로 끄면 PC가 모든 종류의 악성코드에 무방비 상태가 된다. 반드시 다른 보안 솔루션을 대체 운영해야 하며, 일반 사용자에게는 영구 비활성화를 권장하지 않는다.
Antimalware Service Executable CPU 점유율 해결
작업 관리자에서 Antimalware Service Executable(MsMpEng.exe) 프로세스가 CPU를 30 - 50% 이상 차지하는 문제는 Defender 사용자들이 가장 많이 겪는 불편이다.
해결 방법 1: 검사 일정 재설정
- 작업 스케줄러(taskschd.msc) 실행
- 작업 스케줄러 라이브러리 → Microsoft → Windows → Windows Defender
- Windows Defender Scheduled Scan 우클릭 → 속성
- "조건" 탭에서 "컴퓨터가 유휴 상태일 때만 작업 시작" 체크
- "설정" 탭에서 "다음 시간 이상 작업이 실행되면 중지" 설정
해결 방법 2: Defender 자체를 제외 목록에 추가
Defender가 자기 자신의 폴더를 반복 검사하면서 CPU를 소모하는 경우가 있다.
- 바이러스 및 위협 방지 → 설정 관리 → 제외 추가
- 폴더 선택 → C:\Program Files\Windows Defender 추가
- 프로세스 선택 → MsMpEng.exe 추가
해결 방법 3: 그룹 정책에서 CPU 제한 설정
gpedit.msc → 컴퓨터 구성 → 관리 템플릿 → Windows 구성 요소 → Microsoft Defender 바이러스 백신 → 검사 → "검사 중 최대 CPU 사용 비율 지정" → 사용으로 설정 후 값을 30 - 50으로 지정하면 검사 시 CPU 사용률 상한을 강제할 수 있다.
4가지 검사 유형과 보안 인텔리전스 업데이트
검사 유형별 차이
Defender는 4가지 검사 모드를 제공한다. 상황에 맞는 검사 유형을 선택하면 시간과 시스템 자원을 절약할 수 있다.
| 검사 유형 | 검사 범위 | 소요 시간 | 권장 주기 |
|---|---|---|---|
| 빠른 검사 | 레지스트리 키, 시작 폴더, 시스템 폴더 등 주요 영역 | 5 - 15분 | 매일 (자동) |
| 전체 검사 | 하드디스크 내 모든 파일과 프로그램 | 1 - 5시간 | 월 1회 |
| 사용자 지정 검사 | 사용자가 지정한 드라이브·폴더 | 범위에 따라 상이 | 의심 파일 발견 시 |
| 오프라인 검사 | 재부팅 후 Windows 밖에서 루트킷 등 검사 | 15 - 30분 | 감염 의심 시 |
오프라인 검사 실행 방법:
- 바이러스 및 위협 방지 → 검사 옵션
- "Microsoft Defender 오프라인 검사" 선택 → 지금 검사
- PC가 재부팅되며, Windows 복구 환경에서 검사 진행
- 검사 완료 후 자동 재부팅 → 보호 기록에서 결과 확인
오프라인 검사는 일반 모드에서 탐지하기 어려운 루트킷, 부트킷 같은 은닉형 악성코드를 잡아내는 데 효과적이다. 실행 전 작업 중인 파일을 반드시 저장해야 한다.
보안 인텔리전스 업데이트
보안 인텔리전스 업데이트는 Defender의 악성코드 탐지 데이터베이스를 최신 상태로 유지하는 패치다. 하루에도 수 차례 자동으로 배포되며, Windows Update를 통해 적용된다.
업데이트가 안 될 때 수동 확인 방법:
- 바이러스 및 위협 방지 → 바이러스 및 위협 방지 업데이트
- "보안 인텔리전스" → 업데이트 확인
0%에서 멈추는 경우, Wi-Fi 연결을 끊었다 재연결하거나, Windows Update 서비스를 재시작(services.msc → Windows Update → 다시 시작)하면 해결되는 경우가 많다.
Defender의 보안 인텔리전스 업데이트 파일은 KB2267602 번호로 배포된다. 자동 업데이트가 반복 실패할 경우, Microsoft 공식 사이트에서 해당 KB 파일을 직접 다운로드하여 수동 설치할 수 있다.
Microsoft Defender vs 유료 백신, 어떤 걸 써야 하나
성능 비교
AV-TEST 2025년 12월 평가 기준, Defender는 보호 6점, 성능 5.5점, 사용 편의 6점(각 만점 6점)을 받았다. 같은 평가에서 Norton은 보호 6점, 성능 6점, 사용 편의 6점으로 근소한 차이를 보였고, Bitdefender 역시 전 항목 6점 만점을 기록했다.
오프라인 환경에서의 탐지율 차이가 가장 두드러진다. Defender는 클라우드 기반 분석에 크게 의존하므로, 인터넷 연결이 불안정한 환경에서는 오프라인 탐지율이 약 60%대로 떨어진다는 연구 결과가 있다. 반면 Norton, Bitdefender 등 유료 솔루션은 오프라인에서도 90% 이상의 탐지율을 유지한다.
| 비교 항목 | Microsoft Defender | Norton 360 | Bitdefender Total Security |
|---|---|---|---|
| 가격 | 무료 (Windows 내장) | 연 약 5만 - 9만원 | 연 약 4만 - 8만원 |
| 온라인 탐지율 | 99% 이상 | 99.7% 이상 | 99.8% 이상 |
| 오프라인 탐지율 | 약 60% | 약 95% | 약 97% |
| VPN | 종료됨 (2025.02) | 무제한 포함 | 200MB/일 (무료) |
| 비밀번호 관리자 | 미포함 | 포함 | 포함 |
| 시스템 최적화 | 미포함 | 포함 | 포함 |
| 랜섬웨어 보호 | 제어된 폴더 액세스 | 다중 계층 보호 | 다중 계층 보호 |
| 웹캠 보호 | 미포함 | 포함 | 포함 |
그래서 Defender만 써도 되는가
단순 웹 서핑, 문서 작업, 유튜브 감상 등 일반적인 사용 패턴이라면 Defender만으로 충분하다. 특히 변조 방지, SmartScreen, 제어된 폴더 액세스까지 전부 켜 놓으면 상당한 수준의 방어력을 확보할 수 있다.
반면, 인터넷에서 다양한 출처의 파일을 빈번하게 다운로드하거나, VPN·비밀번호 관리자·웹캠 보호 같은 부가 기능이 필요하다면 유료 솔루션을 고려할 만하다. 기업 환경에서 다수의 엔드포인트를 관리해야 하는 경우에는 Microsoft Defender for Endpoint(유료)나 타사 EDR 솔루션이 더 적합하다.
랜섬웨어 방지와 변조 방지 설정
제어된 폴더 액세스 켜기
Defender의 랜섬웨어 방지 기능은 "제어된 폴더 액세스"라는 이름으로 제공된다. 이 기능을 켜면 문서, 사진, 동영상 등 중요 폴더에 허가되지 않은 프로그램이 쓰기를 시도할 때 자동으로 차단한다.
설정 경로:
- 바이러스 및 위협 방지 → 랜섬웨어 보호 관리
- "제어된 폴더 액세스" 토글 켜기
- "보호된 폴더"에서 추가 폴더 지정 가능
- "제어된 폴더 액세스를 통해 앱 허용"에서 신뢰하는 앱 등록
기본 보호 대상 폴더는 문서, 사진, 동영상, 음악, 바탕화면이며, 외장하드나 NAS 경로도 추가할 수 있다.
제어된 폴더 액세스를 켜면 일부 프로그램이 정상 동작하지 않을 수 있다. 예를 들어, Photoshop이나 게임이 저장 폴더에 접근하지 못해 오류가 발생하는 경우가 있다. 이때는 해당 프로그램을 "허용된 앱"에 등록하면 해결된다.
변조 방지(Tamper Protection)
변조 방지는 악성코드가 Defender의 실시간 보호, 클라우드 보호 등의 설정을 임의로 끄지 못하도록 보호하는 기능이다. 이 기능이 켜져 있으면 레지스트리나 명령줄을 통한 Defender 설정 변경이 차단된다.
설정 경로: 바이러스 및 위협 방지 → 설정 관리 → 변조 방지 토글
변조 방지가 켜진 상태에서는 그룹 정책이나 레지스트리를 통한 Defender 비활성화도 차단된다. 따라서 Defender를 영구 비활성화하려면 변조 방지를 먼저 꺼야 한다.
변조 방지 기능은 2019년에 도입된 이후 꾸준히 강화되었다. 2025년 AV-Comparatives 변조 방지 테스트에서 Defender는 모든 변조 시도를 성공적으로 차단하며 인증을 획득했다. 특별한 이유가 없다면 항상 켜두는 것이 좋다.
Microsoft Defender 개인용 앱과 모바일 보안
Microsoft 365 Personal(연 125,000원) 또는 Family(연 155,000원) 구독자는 개인용 Microsoft Defender 앱을 Windows, macOS, Android, iOS에서 사용할 수 있다. 이 앱은 Windows 내장 Defender와 별개의 앱이며, 다중 기기의 보안 상태를 한 대시보드에서 관리하는 기능을 제공한다.
Android 버전은 악성 앱 검사, 피싱 링크 차단 기능을 제공하고, iOS 버전은 웹 보호(피싱 차단)에 중점을 둔다.
다만 Defender 앱에 포함되어 있던 VPN(개인 정보 보호) 기능은 2025년 2월 28일부로 종료되었다. Microsoft는 해당 기능의 중단을 공식 발표했으며, 별도의 대체 서비스를 제공하지 않고 있다. VPN이 필요하다면 NordVPN, ExpressVPN 등 전용 서비스를 이용해야 한다.
Microsoft Defender는 "무료 내장 백신"이라는 꼬리표에 비해 훨씬 강력한 보안 도구다. 실시간 보호, SmartScreen, 방화벽, 랜섬웨어 방지, 변조 방지까지 핵심 보안 기능을 빠짐없이 갖추고 있으며, AV-TEST 기준 유료 솔루션과 대등한 탐지 성능을 입증하고 있다.
다만 오프라인 탐지율, 부가 기능(VPN·비밀번호 관리 등), 전체 검사 속도 측면에서는 유료 솔루션에 비해 약점이 분명하다. 이 글에서 정리한 설정 방법을 기반으로 자신의 사용 환경에 맞게 최적화한다면, 별도의 유료 백신 없이도 충분한 보안 수준을 유지할 수 있다.
지금 바로 Windows 보안을 열고 실시간 보호, SmartScreen, 변조 방지, 제어된 폴더 액세스가 모두 켜져 있는지 확인하는 것부터 시작하면 된다.