사용자 동의없이 설치된 응용 프로그램 검색 및 차단Detect and block potentially unwanted applications

적용 대상:Applies to:

PUA(사용자 동의없이 설치된 응용 프로그램)는 컴퓨터가 느리게 실행되거나 예기치 않은 광고가 표시되거나 최악의 상황으로 예상치 못하거나 원치 않을 수 있는 기타 소프트웨어를 설치하게 할 수 있는 소프트웨어 범주입니다.Potentially unwanted applications (PUA) are a category of software that can cause your machine to run slowly, display unexpected ads, or at worst, install other software that might be unexpected or unwanted. PUA는 바이러스, 맬웨어 또는 다른 유형의 위협으로 간주되지 않지만 끝점에서 끝점 성능이나 사용에 부정적인 영향을 주는 작업을 수행할 수 있습니다.PUA is not considered a virus, malware, or other type of threat, but it might perform actions on endpoints that adversely affect endpoint performance or use. PUA 라는 용어는 특정 종류의 바람직하지 않은 동작으로 인해 엔드포인트용 Microsoft Defender에서 평가한 평판이 나쁜 응용 프로그램을 가리키지도 합니다.The term PUA can also refer to an application that has a poor reputation, as assessed by Microsoft Defender for Endpoint, due to certain kinds of undesirable behavior.

다음은 몇 가지 예입니다.Here are some examples:

  • 광고나 프로모션을 표시하는 광고 소프트웨어, 광고를 웹페이지에 삽입하는 소프트웨어 포함.Advertising software that displays advertisements or promotions, including software that inserts advertisements to webpages.
  • 동일한 엔터티에서 디지털 서명된 것이 아닌 다른 소프트웨어를 설치하도록 제안하는 번들화 소프트웨어.Bundling software that offers to install other software that is not digitally signed by the same entity. 또한 PUA로 적격한 다른 소프트웨어를 설치하도록 제안하는 소프트웨어를 말하기도 함.Also, software that offers to install other software that qualifies as PUA.
  • 보안 제품이 있을 때 다르게 동작하는 소프트웨어를 포함해 보안 제품의 탐지를 적극적으로 피하려고 하는 회피 소프트웨어.Evasion software that actively tries to evade detection by security products, including software that behaves differently in the presence of security products.

보안 기능에서 특별히 주의를 기울이기 위해 응용 프로그램에 레이블을 지정하는 데 사용하는 기준에 대한 논의 사항과 추가 예제는 Microsoft에서 맬웨어 및 사용자 동의없이 설치된 응용 프로그램을 식별하는 방법을 참조하세요.For more examples and a discussion of the criteria we use to label applications for special attention from security features, see How Microsoft identifies malware and potentially unwanted applications.

사용자 동의없이 설치된 응용 프로그램이 있으면 네트워크가 실제 맬웨어에 감염될 위험이 높아지고 맬웨어 감염을 식별하기 어렵게 되거나 감염을 없애는 데 IT 리소스가 낭비될 수 있습니다.Potentially unwanted applications can increase the risk of your network being infected with actual malware, make malware infections harder to identify, or waste IT resources in cleaning them up. PUA 보호는 Windows 10, Windows Server 2019 및 Windows Server 2016에서 지원됩니다.PUA protection is supported on Windows 10, Windows Server 2019, and Windows Server 2016. Windows 10(버전 2004 이상)에서 Microsoft Defender 바이러스 백신은 기본적으로 Enterprise(E5) 디바이스용 PUA로 간주되는 앱을 차단합니다.In Windows 10 (version 2004 and later), Microsoft Defender Antivirus blocks apps that are considered PUA for Enterprise (E5) devices by default.

Microsoft EdgeMicrosoft Edge

새로운 Microsoft Edge는 Chromium 기반으로 사용자 동의없이 설치된 응용 프로그램 다운로드 및 관련 리소스 URL을 차단합니다.The new Microsoft Edge, which is Chromium-based, blocks potentially unwanted application downloads and associated resource URLs. 이 기능은 Microsoft Defender SmartScreen을 통해 제공됩니다.This feature is provided via Microsoft Defender SmartScreen.

Chromium 기반 Microsoft Edge에서 PUA 보호 사용Enable PUA protection in Chromium-based Microsoft Edge

Microsoft Edge(Chromium 기반 버전 80.0.361.50)에서 사용자 동의없이 설치된 응용 프로그램 보호는 기본적으로 꺼져 있지만 브라우저 내에서 손쉽게 켤 수 있습니다.Although potentially unwanted application protection in Microsoft Edge (Chromium-based, version 80.0.361.50) is turned off by default, it can easily be turned on from within the browser.

  1. Microsoft Edge 브라우저에서 줄임표를 선택한 후 설정 을 선택합니다.In your Edge browser, select the ellipses, and then choose Settings.

  2. 개인 정보, 검색 및 서비스 를 선택합니다.Select Privacy, search, and services.

  3. 보안 섹션에서 사용자 동의없이 설치된 앱 차단 을 켭니다.Under the Security section, turn on Block potentially unwanted apps.

Microsoft Edge(Chromium 기반)를 실행하는 경우 Microsoft Defender SmartScreen 데모 페이지 중 하나에서 테스트하여 PUA 보호의 URL 차단 기능을 안전하게 탐색할 수 있습니다.If you are running Microsoft Edge (Chromium-based), you can safely explore the URL-blocking feature of PUA protection by testing it out on one of our Microsoft Defender SmartScreen demo pages.

Microsoft Defender SmartScreen로 URL 차단Block URLs with Microsoft Defender SmartScreen

PUA 보호가 켜진 Chromium 기반 Edge에서 Microsoft Defender SmartScreen은 PUA 관련 URL로부터 사용자를 보호합니다.In Chromium-based Edge with PUA protection turned on, Microsoft Defender SmartScreen protects you from PUA-associated URLs.

보안 관리자는 Microsoft Edge 및 Microsoft Defender SmartScreen이 함께 작동하여 PUA 관련 URL로부터 사용자 그룹을 보호하는 방법을 구성할 수 있습니다.Security admins can configure how Microsoft Edge and Microsoft Defender SmartScreen work together to protect groups of users from PUA-associated URLs. Microsoft Defender SmartScreen에는 PUA를 차단하기 위한 설정을 포함하여 몇 가지 명시적으로 사용할 수 있는 그룹 정책 설정이 있습니다.There are several group policy settings explicitly for Microsoft Defender SmartScreen available, including one for blocking PUA. 또한 관리자는 그룹 정책 설정을 통해 Microsoft Defender SmartScreen을 하나의 전체로 구성하여 Microsoft Defencer SmartScreen을 켜거나 끌 수 있습니다.In addition, admins can configure Microsoft Defender SmartScreen as a whole, using group policy settings to turn Microsoft Defender SmartScreen on or off.

엔드포인트용 Microsoft Defender에는 Microsoft에서 관리하는 데이터 집합을 기반으로 한 자체 차단 목록이 있지만, 자체 위협 인텔리전스 기반의 이 목록을 사용자 지정할 수 있습니다.Although Microsoft Defender for Endpoint has its own blocklist based upon a data set managed by Microsoft, you can customize this list based on your own threat intelligence. 엔드포인트용 Microsoft Defender 포털에서 지표를 만들고 관리하는 경우 Microsoft Defender SmartScreen은 새 설정을 사용합니다.If you create and manage indicators in the Microsoft Defender for Endpoint portal, Microsoft Defender SmartScreen respects the new settings.

Microsoft Defender 바이러스 백신 및 PUA 보호Microsoft Defender Antivirus and PUA protection

Microsoft Defender 바이러스 백신의 PUA(사용자 동의없이 설치된 응용 프로그램) 보호 기능은 네트워크의 끝점에서 PUA를 검색하고 차단할 수 있습니다.The potentially unwanted application (PUA) protection feature in Microsoft Defender Antivirus can detect and block PUA on endpoints in your network.

참고

이 기능은 Windows 10, Windows Server 2019 및 Windows Server 2016에서 지원됩니다.This feature is available in Windows 10, Windows Server 2019, and Windows Server 2016.

Microsoft Defender 바이러스 백신은 감지된 PUA 파일 및 이를 다운로드, 이동, 실행 또는 설치하려는 시도를 차단합니다.Microsoft Defender Antivirus blocks detected PUA files and any attempts to download, move, run, or install them. 그런 다음 차단된 PUA 파일은 이동하여 격리됩니다.Blocked PUA files are then moved to quarantine. 끝점에서 PUA 파일이 감지되면 Microsoft Defender 바이러스 백신에서는 다른 위협 감지와 같은 형식으로 사용자에게 알림을 전송합니다(알림이 사용하지 않도록 설정된 경우가 아니면).When a PUA file is detected on an endpoint, Microsoft Defender Antivirus sends a notification to the user (unless notifications have been disabled) in the same format as other threat detections. 알림은 내용은 표시하기 위해 PUA:(으)로 시작됩니다.The notification is prefaced with PUA: to indicate its content.

알림은 Windows 보안 앱 내 일반적인 격리 목록에 표시됩니다.The notification appears in the usual quarantine list within the Windows Security app.

Microsoft Defender 바이러스 백신에서 PUA 보호 구성Configure PUA protection in Microsoft Defender Antivirus

Microsoft Intune, Microsoft Endpoint Configuration Manager, 그룹 정책, 또는 PowerShell cmdlet을 통해 PUA 보호를 사용하도록 설정할 수 있습니다.You can enable PUA protection with Microsoft Intune, Microsoft Endpoint Configuration Manager, Group Policy, or via PowerShell cmdlets.

사용자 동의없이 설치된 응용 프로그램을 차단하지 않고 감지하기 위해 PUA 보호를 감사 모드로 사용할 수도 있습니다.You can also use PUA protection in audit mode to detect potentially unwanted applications without blocking them. 감지는 Windows 이벤트 로그에 기록됩니다.The detections are captured in the Windows event log.

demo.wd.microsoft.com에서 엔드포인트용 Microsoft Defender 데모 웹 사이트를 방문하여 기능이 작동하는지 확인하고 실제로 작동해 보세요.Visit the Microsoft Defender for Endpoint demo website at demo.wd.microsoft.com to confirm that the feature is working, and see it in action.

회사에서 내부 소프트웨어 보안 규정 준수 검사를 수행하고 있으며 오탐지를 피하고자 하는 경우에 PUA 보호를 감사 모드로 사용하는 것이 유용합니다.PUA protection in audit mode is useful if your company is conducting an internal software security compliance check and you'd like to avoid any false positives.

Intune을 사용하여 PUA 보호 구성Use Intune to configure PUA protection

자세한 내용은 Microsoft Intune에서 디바이스 제한 설정 구성Intune에서 Windows 10의 Microsoft Defender 바이러스 백신 디바이스 제한 설정을 참조하세요.See Configure device restriction settings in Microsoft Intune and Microsoft Defender Antivirus device restriction settings for Windows 10 in Intune for more details.

Configuration Manager를 사용하여 PUA 보호 구성Use Configuration Manager to configure PUA protection

PUA 보호는 기본적으로 Microsoft Endpoint Manager(현재 분기)에서 사용하도록 설정됩니다.PUA protection is enabled by default in the Microsoft Endpoint Manager (Current Branch).

Microsoft Endpoint Manager(현재 분기) 구성에 대한 자세한 내용은 맬웨어 방지 정책을 만들고 배포하는 방법: 예약 검사 설정을 참조하세요.See How to create and deploy antimalware policies: Scheduled scans settings for details on configuring Microsoft Endpoint Manager (Current Branch).

System Center 2012 Configuration Manager의 경우 Configuration Manager에서 Endpoint Protection을 위한 사용자 동의없이 설치된 응용 프로그램 보호 정책을 배포하는 방법을 참조하세요.For System Center 2012 Configuration Manager, see How to Deploy Potentially Unwanted Application Protection Policy for Endpoint Protection in Configuration Manager.

참고

Microsoft Defender 바이러스 백신에서 차단하는 PUA 이벤트는 Microsoft Endpoint Configuration Manager가 아닌 Windows 이벤트 뷰어에서 보고됩니다.PUA events blocked by Microsoft Defender Antivirus are reported in the Windows Event Viewer and not in Microsoft Endpoint Configuration Manager.

그룹 정책을 사용하여 PUA 보호 구성Use Group Policy to configure PUA protection

  1. Windows 10 2020년 10월 업데이트(20H2)의 관리 템플릿(.admx) 다운로드 및 설치Download and install Administrative Templates (.admx) for Windows 10 October 2020 Update (20H2)

  2. 그룹 정책 관리 컴퓨터에서 그룹 정책 관리 콘솔을 엽니다.On your Group Policy management computer, open the Group Policy Management Console.

  3. 구성할 그룹 정책 개체를 선택한 다음 편집 을 선택합니다.Select the Group Policy Object you want to configure, and then choose Edit.

  4. 그룹 정책 관리 편집기 에서 컴퓨터 구성 으로 이동하여 관리 템플릿 을 선택합니다.In the Group Policy Management Editor, go to Computer configuration and select Administrative templates.

  5. Windows 구성 요소 > Microsoft Defender 바이러스 백신 으로 트리를 확장합니다.Expand the tree to Windows Components > Microsoft Defender Antivirus.

  6. 사용자 동의없이 설치된 응용 프로그램에 대한 감지 구성 을 두 번 클릭합니다.Double-click Configure detection for potentially unwanted applications.

  7. PUA 보호를 사용하도록 설정하려면 사용 을 선택합니다.Select Enabled to enable PUA protection.

  8. 옵션 에서 차단 을 선택하여 사용자 동의없이 설치된 응용 프로그램을 차단하거나 감사 모드 를 선택하여 환경에서 설정이 작동하는 방식을 테스트합니다.In Options, select Block to block potentially unwanted applications, or select Audit Mode to test how the setting works in your environment. 확인 을 선택합니다.Select OK.

  9. 평소와 같이 그룹 정책 개체를 배포합니다.Deploy your Group Policy object as you usually do.

PowerShell cmdlet을 사용하여 PUA 보호 구성Use PowerShell cmdlets to configure PUA protection

PUA 보호를 사용하도록 설정하려면To enable PUA protection

Set-MpPreference -PUAProtection Enabled

사용하지 않도록 설정되어 있는 경우 이 cmdlet 값을 Enabled(으)로 설정하면 기능이 켜집니다.Setting the value for this cmdlet to Enabled turns on the feature if it has been disabled.

PUA 보호를 감사 모드로 설정하려면To set PUA protection to audit mode

Set-MpPreference -PUAProtection AuditMode

AuditMode을(를) 설정하면 PUA를 차단하지 않고 감지합니다.Setting AuditMode detects PUAs without blocking them.

PUA 보호를 사용하지 않도록 설정하려면To disable PUA protection

PUA 보호가 계속 켜져 있도록 하는 것이 권장되지만We recommend keeping PUA protection turned on. 다음 cmdlet을 사용하여 끌 수도 있습니다.However, you can turn it off by using the following cmdlet:

Set-MpPreference -PUAProtection Disabled

사용하도록 설정되어 있는 경우 이 cmdlet 값을 Disabled(으)로 설정하면 기능이 꺼집니다.Setting the value for this cmdlet to Disabled turns off the feature if it has been enabled.

자세한 내용은 PowerShell cmdlet을 사용하여 Microsoft Defender 바이러스 백신 구성 및 실행Defender cmdlet을 참조하세요.For more information, see Use PowerShell cmdlets to configure and run Microsoft Defender Antivirus and Defender cmdlets.

PowerShell을 사용하여 PUA 이벤트 보기View PUA events using PowerShell

PUA 이벤트는 Microsoft Endpoint Manager 또는 Intune이 아니라 Windows 이벤트 뷰어에서 보고됩니다.PUA events are reported in the Windows Event Viewer, but not in Microsoft Endpoint Manager or in Intune. 또한 Get-MpThreat cmdlet을 사용하여 Microsoft Defender 바이러스 백신에서 처리한 위협을 볼 수도 있습니다.You can also use the Get-MpThreat cmdlet to view threats that Microsoft Defender Antivirus handled. 다음은 예입니다.Here's an example:

CategoryID       : 27
DidThreatExecute : False
IsActive         : False
Resources        : {webfile:_q:\Builds\Dalton_Download_Manager_3223905758.exe|http://d18yzm5yb8map8.cloudfront.net/
                    fo4yue@kxqdw/Dalton_Download_Manager.exe|pid:14196,ProcessStart:132378130057195714}
RollupStatus     : 33
SchemaVersion    : 1.0.0.0
SeverityID       : 1
ThreatID         : 213927
ThreatName       : PUA:Win32/InstallCore
TypeID           : 0
PSComputerName   :

PUA 감지에 대한 전자 메일 알림 수신Get email notifications about PUA detections

PUA 감지에 대한 메일을 수신하려면 전자 메일 알림을 켜면 됩니다.You can turn on email notifications to receive mail about PUA detections.

Microsoft Defender 바이러스 백신 이벤트 보기에 대한 자세한 내용은 이벤트 ID 문제 해결을 참조하세요.See Troubleshoot event IDs for details on viewing Microsoft Defender Antivirus events. PUA 이벤트는 이벤트 ID 1160 아래에 기록됩니다.PUA events are recorded under event ID 1160.

고급 헌팅을 사용하여 PUA 이벤트 보기View PUA events using advanced hunting

엔드포인트용 Microsoft Defender를 사용할 경우 고급 헌팅 쿼리를 사용하여 PUA 이벤트를 볼 수 있습니다.If you're using Microsoft Defender for Endpoint, you can use an advanced hunting query to view PUA events. 다음은 쿼리의 예입니다.Here's an example query:

DeviceEvents
| where ActionType == "AntivirusDetection"
| extend x = parse_json(AdditionalFields)
| project Timestamp, DeviceName, FolderPath, FileName, SHA256, ThreatName = tostring(x.ThreatName), WasExecutingWhileDetected = tostring(x.WasExecutingWhileDetected), WasRemediated = tostring(x.WasRemediated)
| where ThreatName startswith_cs 'PUA:'

고급 헌팅에 대한 자세한 내용을 확인하려면 고급 헌팅으로 위협을 사전 예방적으로 헌팅하는 방법을 참조하세요.To learn more about advanced hunting, see Proactively hunt for threats with advanced hunting.

PUA 보호에서 파일 제외Exclude files from PUA protection

경우에 따라 PUA 보호로 파일이 잘못 차단되거나 작업을 완료하기 위해서 PUA 기능이 필요할 때가 있습니다.Sometimes a file is erroneously blocked by PUA protection, or a feature of a PUA is required to complete a task. 이 경우 파일을 제외 목록에 추가할 수 있습니다.In these cases, a file can be added to an exclusion list.

자세한 내용은 파일 확장명 및 폴더 위치를 기준으로 제외를 구성하고 유효성 검사를 참조하세요.For more information, see Configure and validate exclusions based on file extension and folder location.

참고 항목See also