사용자 동의없이 설치된 응용 프로그램 검색 및 차단

적용 대상:

• 엔드포인트용 Microsoft Defender 플랜 1
• 엔드포인트용 Microsoft Defender 플랜 2
• Microsoft Edge
• Microsoft Defender 바이러스 백신

플랫폼

• Windows

PUA(사용자 동의없이 설치된 응용 프로그램)는 컴퓨터가 느리게 실행되거나 예기치 않은 광고가 표시되거나 최악의 상황으로 예상치 못하거나 원치 않을 수 있는 기타 소프트웨어를 설치하게 할 수 있는 소프트웨어 범주입니다. PUA는 바이러스, 맬웨어 또는 기타 유형의 위협으로 간주되지 않지만 엔드포인트 성능 또는 사용에 부정적인 영향을 주는 엔드포인트에서 작업을 수행할 수 있습니다. PUA라는 용어는 특정 종류의 바람직하지 않은 동작으로 인해 엔드포인트용 Microsoft Defender에서 평가한 평판이 나쁜 응용 프로그램을 가리키지도 합니다.

다음은 몇 가지 예입니다.

• 광고나 프로모션을 표시하는 광고 소프트웨어, 광고를 웹페이지에 삽입하는 소프트웨어 포함.
• 동일한 엔터티에서 디지털 서명되지 않은 다른 소프트웨어를 설치하도록 제공하는 번들링 소프트웨어입니다. 또한 PUA로 적격한 다른 소프트웨어를 설치하도록 제안하는 소프트웨어를 말하기도 함.
• 보안 제품이 있을 때 다르게 동작하는 소프트웨어를 포함해 보안 제품의 탐지를 적극적으로 피하려고 하는 회피 소프트웨어.

팁

보안 기능에서 특별히 주의를 기울이기 위해 응용 프로그램에 레이블을 지정하는 데 사용하는 기준에 대한 논의 사항과 추가 예제는 Microsoft에서 맬웨어 및 사용자 동의없이 설치된 응용 프로그램을 식별하는 방법을 참조하세요.

사용자 동의 없이 설치된 애플리케이션은 네트워크가 실제 맬웨어에 감염될 위험을 증가시키고, 맬웨어 감염을 식별하기 어렵게 만들거나, IT 및 보안 팀에서 이를 정리하는 데 시간과 노력을 소모하도록 만들 수 있습니다. PUA 보호 기능은 Windows 11, Windows 10, Windows Server 2022, Windows Server 2019 및 Windows Server 2016에서 지원됩니다. 조직 구독에 엔드포인트용 Microsoft Defender가 포함된 경우 Microsoft Defender 바이러스 백신이 사용자 동의 없이 설치된 것으로 간주되는 앱을 Windows 디바이스에서 기본적으로 차단합니다.

Windows Enterprise 구독에 대해 자세히 알아보세요.

Microsoft Edge

새로운 Microsoft Edge는 Chromium 기반으로 사용자 동의없이 설치된 응용 프로그램 다운로드 및 관련 리소스 URL을 차단합니다. 이 기능은 Microsoft Defender SmartScreen을 통해 제공됩니다.

Chromium 기반 Microsoft Edge에서 PUA 보호 사용

Microsoft Edge(Chromium 기반 버전 80.0.361.50)에서 사용자 동의없이 설치된 응용 프로그램 보호는 기본적으로 꺼져 있지만 브라우저 내에서 손쉽게 켤 수 있습니다.

1. Microsoft Edge 브라우저에서 타원을 선택한 다음 설정을 선택합니다.

2. 개인 정보, 검색 및 서비스를 선택합니다.

3. 보안 섹션에서 사용자 동의없이 설치된 앱 차단을 켭니다.

팁

Microsoft Edge(Chromium 기반)를 실행하는 경우 Microsoft Defender SmartScreen 데모 페이지 중 하나에서 테스트하여 PUA 보호의 URL 차단 기능을 안전하게 탐색할 수 있습니다.

Microsoft Defender SmartScreen로 URL 차단

PUA 보호가 켜져 있는 Chromium 기반 Microsoft Edge에서 Microsoft Defender SmartScreen은 PUA 관련 URL로부터 사용자를 보호합니다.

보안 관리자는 Microsoft Edge 및 Microsoft Defender SmartScreen이 함께 작동하여 PUA 관련 URL로부터 사용자 그룹을 보호하는 방법을 구성할 수 있습니다. Microsoft Defender SmartScreen에는 PUA를 차단하기 위한 설정을 포함하여 몇 가지 명시적으로 사용할 수 있는 그룹 정책 설정이 있습니다. 또한 관리자는 그룹 정책 설정을 통해 Microsoft Defender SmartScreen을 하나의 전체로 구성하여 Microsoft Defencer SmartScreen을 켜거나 끌 수 있습니다.

엔드포인트용 Microsoft Defender에는 Microsoft에서 관리하는 데이터 집합을 기반으로 한 자체 차단 목록이 있지만, 자체 위협 인텔리전스 기반의 이 목록을 사용자 지정할 수 있습니다. 엔드포인트용 Microsoft Defender 포털에서 지표를 만들고 관리하는 경우 Microsoft Defender SmartScreen은 새 설정을 사용합니다.

Microsoft Defender 바이러스 백신 및 PUA 보호

Microsoft Defender 바이러스 백신의 PUA(사용자 동의없이 설치된 응용 프로그램) 보호 기능은 네트워크의 끝점에서 PUA를 검색하고 차단할 수 있습니다.

참고

이 기능은 Windows 11, Windows 10, Windows Server 2022, Windows Server 2019 및 Windows Server 2016에서 사용할 수 있습니다.

Microsoft Defender 바이러스 백신은 감지된 PUA 파일 및 이를 다운로드, 이동, 실행 또는 설치하려는 시도를 차단합니다. 그런 다음 차단된 PUA 파일은 이동하여 격리됩니다. 끝점에서 PUA 파일이 감지되면 Microsoft Defender 바이러스 백신에서는 다른 위협 감지와 같은 형식으로 사용자에게 알림을 전송합니다(알림이 사용하지 않도록 설정된 경우가 아닌 경우). 알림은 내용은 표시하기 위해 PUA:(으)로 시작됩니다.

알림은 Windows 보안 앱 내 일반적인 격리 목록에 표시됩니다.

Microsoft Defender 바이러스 백신에서 PUA 보호 구성

Microsoft Intune, Microsoft Configuration Manager, 그룹 정책 또는 PowerShell cmdlet을 통해 PUA 보호를 사용하도록 설정할 수 있습니다.

처음에는 감사 모드에서 PUA 보호를 사용해 보세요. 실제로 차단하지 않고 잠재적으로 원치 않는 애플리케이션을 검색합니다. 검색은 Windows 이벤트 로그에 캡처됩니다. 감사 모드의 PUA 보호는 회사에서 내부 소프트웨어 보안 규정 준수 검사 수행하고 가양성 방지가 중요한 경우에 유용합니다.

Intune을 사용하여 PUA 보호 구성

다음 문서를 참조하세요.

• Microsoft Intune에서 디바이스 제한 설정 구성
• Intune Windows 10 대한 바이러스 백신 디바이스 제한 설정 Microsoft Defender

Configuration Manager를 사용하여 PUA 보호 구성

PUA 보호는 기본적으로 Microsoft Configuration Manager(현재 분기)에서 사용하도록 설정됩니다.

Microsoft Configuration Manager(현재 분기) 구성에 대한 자세한 내용은 맬웨어 방지 정책을 만들고 배포하는 방법: 예약된 검사 설정을 참조하세요.

System Center 2012 Configuration Manager의 경우 Configuration Manager에서 Endpoint Protection을 위한 사용자 동의없이 설치된 응용 프로그램 보호 정책을 배포하는 방법을 참조하세요.

참고

Microsoft Defender 바이러스 백신에 의해 차단된 PUA 이벤트는 Microsoft Configuration Manager 아닌 Windows 이벤트 뷰어 보고됩니다.

그룹 정책을 사용하여 PUA 보호 구성

1. Windows 11 2021년 10월 업데이트(21H2)용 관리 템플릿(.admx) 다운로드 및 설치

2. 그룹 정책 관리 컴퓨터에서 그룹 정책 관리 콘솔을 엽니다.

3. 구성할 그룹 정책 개체를 선택한 다음 편집을 선택합니다.

4. 그룹 정책 관리 편집기에서 컴퓨터 구성으로 이동하여 관리 템플릿을 선택합니다.

5. Windows 구성 요소>Microsoft Defender 바이러스 백신으로 트리를 확장합니다.

6. 사용자 동의없이 설치된 응용 프로그램에 대한 감지 구성을 두 번 클릭합니다.

7. PUA 보호를 사용하도록 설정하려면 사용을 선택합니다.

8. 옵션에서 차단을 선택하여 사용자 동의없이 설치된 응용 프로그램을 차단하거나 감사 모드를 선택하여 환경에서 설정이 작동하는 방식을 테스트합니다. 확인을 선택합니다.

9. 평소와 같이 그룹 정책 개체를 배포합니다.

PowerShell cmdlet을 사용하여 PUA 보호 구성

PUA 보호를 사용하도록 설정하려면

Set-MpPreference -PUAProtection Enabled

사용하지 않도록 설정되어 있는 경우 이 cmdlet 값을 Enabled(으)로 설정하면 기능이 켜집니다.

PUA 보호를 감사 모드로 설정하려면

Set-MpPreference -PUAProtection AuditMode

AuditMode을(를) 설정하면 PUA를 차단하지 않고 감지합니다.

PUA 보호를 사용하지 않도록 설정하려면

PUA 보호가 계속 켜져 있도록 하는 것이 권장되지만 다음 cmdlet을 사용하여 끌 수도 있습니다.

Set-MpPreference -PUAProtection Disabled

사용하도록 설정되어 있는 경우 이 cmdlet 값을 Disabled(으)로 설정하면 기능이 꺼집니다.

자세한 내용은 PowerShell cmdlet을 사용하여 Microsoft Defender 바이러스 백신 구성 및 실행과 Defender 바이러스 백신 cmdlet을 참조하세요.

PowerShell을 사용하여 PUA 이벤트 보기

PUA 이벤트는 Windows 이벤트 뷰어 보고되지만 Microsoft Configuration Manager 또는 Intune 보고되지 않습니다. 또한 Get-MpThreat cmdlet을 사용하여 Microsoft Defender 바이러스 백신에서 처리한 위협을 볼 수도 있습니다. 다음은 예입니다.

CategoryID       : 27
DidThreatExecute : False
IsActive         : False
Resources        : {webfile:_q:\Builds\Dalton_Download_Manager_3223905758.exe|http://d18yzm5yb8map8.cloudfront.net/
                    fo4yue@kxqdw/Dalton_Download_Manager.exe|pid:14196,ProcessStart:132378130057195714}
RollupStatus     : 33
SchemaVersion    : 1.0.0.0
SeverityID       : 1
ThreatID         : 213927
ThreatName       : PUA:Win32/InstallCore
TypeID           : 0
PSComputerName   :

PUA 감지에 대한 전자 메일 알림 수신

PUA 감지에 대한 메일을 수신하려면 전자 메일 알림을 켜면 됩니다.

Microsoft Defender 바이러스 백신 이벤트 보기에 대한 자세한 내용은 이벤트 ID 문제 해결을 참조하세요. PUA 이벤트는 이벤트 ID 1160 아래에 기록됩니다.

고급 헌팅을 사용하여 PUA 이벤트 보기

엔드포인트용 Microsoft Defender를 사용할 경우 고급 헌팅 쿼리를 사용하여 PUA 이벤트를 볼 수 있습니다. 다음은 쿼리의 예입니다.

DeviceEvents
| where ActionType == "AntivirusDetection"
| extend x = parse_json(AdditionalFields)
| project Timestamp, DeviceName, FolderPath, FileName, SHA256, ThreatName = tostring(x.ThreatName), WasExecutingWhileDetected = tostring(x.WasExecutingWhileDetected), WasRemediated = tostring(x.WasRemediated)
| where ThreatName startswith_cs 'PUA:'

고급 헌팅에 대한 자세한 내용을 확인하려면 고급 헌팅으로 위협을 사전 예방적으로 헌팅하는 방법을 참조하세요.

PUA 보호에서 파일 제외

경우에 따라 PUA 보호로 파일이 잘못 차단되거나 작업을 완료하기 위해서 PUA 기능이 필요할 때가 있습니다. 이 경우 파일을 제외 목록에 추가할 수 있습니다.

자세한 내용은 파일 확장명 및 폴더 위치를 기준으로 제외를 구성하고 유효성 검사를 참조하세요.

팁

다른 플랫폼에 대한 바이러스 백신 관련 정보를 찾고 있는 경우 다음을 참조하세요.

• macOS의 엔드포인트용 Microsoft Defender 기본 설정
• 엔드포인트용 Microsoft Defender(Mac용)
• Intune용 Microsoft Defender 바이러스 백신의 macOS 바이러스 백신 정책 설정
• Linux의 엔드포인트용 Microsoft Defender 기본 설정
• Microsoft Defender for Endpoint(Linux용)
• 엔드포인트용 Microsoft Defender(Android용) 기능 구성
• 엔드포인트용 Microsoft Defender(iOS용) 기능 구성

참고 항목

• 차세대 보호
• 동작, 추론 및 실시간 보호 구성

팁

자세히 알아보시겠습니까? 기술 커뮤니티: 엔드포인트용 Microsoft Defender Tech Community에서 Microsoft 보안 커뮤니티에 참여하세요.