마이크로소프트, 윈도우 커널에서 안티바이러스 제거 - 그 이유

• 마이크로소프트는 시스템 안정성을 향상시키고 충돌 위험을 최소화하기 위해 안티바이러스 및 엔드포인트 탐지 도구를 윈도우 커널에서 다른 위치로 옮기고 있습니다.
• 이러한 변화는 보안 소프트웨어를 사용자 모드로 격리하여 2024년 CrowdStrike 사태처럼 대규모 블루스크린 오류를 유발하는 문제를 방지할 것입니다.
• Microsoft Defender와 타사 안티바이러스 도구는 더욱 안전하고 통제된 환경에서 정상적으로 작동합니다.

마이크로소프트는 안티바이러스(AV) 및 엔드포인트 탐지 및 대응(EDR) 소프트웨어의 작동 방식을 윈도우 커널에서 분리하는 방식으로 재구성하고 있습니다. 이 변경 사항은 곧 비공개 미리 보기 단계에 접어들었으며 , 2024년 크라우드스트라이크 사태 처럼 커널 수준 업데이트 오류로 수백만 대의 시스템이 마비되는 심각한 시스템 장애를 최소화하기 위한 장기 전략인 윈도우 복원력 강화 계획 (Windows Resilience Initiative)의 일환입니다.

마이크로소프트가 이러한 변화를 추진하는 이유는 무엇일까요?

전통적으로 안티바이러스(AV) 및 엔터디렉션 리스크 관리(EDR) 도구는 커널 (윈도우 11, 10 및 이전 버전의 핵심 운영 체제) 깊숙이 들어가 프로세스, 메모리 및 드라이버에 대한 완전한 접근 권한을 획득해 왔습니다. 이러한 특성 덕분에 고도화된 위협을 효과적으로 탐지할 수 있었지만, 커널의 버그나 잘못된 업데이트로 인해 시스템 전체가 다운될 수 있다는 점에서 위험하기도 했습니다. 크라우드스트라이크(CrowdStrike) 사태에서 이를 확인할 수 있었습니다.

마이크로소프트는 안티바이러스/EDR 도구를 사용자 모드로 격리함으로써 중요한 시스템 구성 요소에 대한 접근 권한을 줄입니다. 즉, 안티바이러스 엔진이 제대로 작동하지 않더라도 컴퓨터가 다운될 가능성이 훨씬 줄어듭니다.

일반 소비자에게 미치는 영향은 무엇일까요?

일반적인 Windows 11 사용자에게는 이러한 전환이 거의 눈에 띄지 않을 것이며, 이는 다행스러운 일입니다. Microsoft Defender Antivirus(또는 다른 타사 백신 프로그램)는 계속 실행되며 노트북, 태블릿 또는 데스크톱 컴퓨터는 계속 보호됩니다. 다만, 백그라운드에서 더욱 안전하고 통제된 환경에서 작동하게 됩니다.

이제 마이크로소프트 디펜더를 제거할 수 있을까요? 간단히 말해서, 아직은 불가능합니다. 마이크로소프트 디펜더는 특히 타사 백신 소프트웨어를 설치하지 않는 사용자를 위해 운영 체제의 기본 보안 구성 요소로 계속 유지될 것입니다. 하지만 디펜더를 커널에서 분리하면 모듈화 가능성을 높일 수 있습니다. 향후에는 시스템 무결성을 손상시키지 않고 기본 백신을 비활성화하거나 교체하는 것이 더 쉬워질 수도 있습니다.

또 하나 말씀드릴 점은 바이러스 백신 업데이트가 실패하더라도 시스템의 나머지 부분은 보호되므로 블루스크린 오류 발생 횟수가 줄어든다는 것입니다.

또한, 이 소프트웨어 대기업은 네트워크 관리자가 부팅이 불가능한 장치를 더 빠르게 복구할 수 있도록 하는 "빠른 장치 복구(Quick Machine Recovery)" 라는 새로운 기능을 개발 중입니다 . 이는 CrowdStrike 커널 충돌로 인한 혼란에 대한 직접적인 대응책입니다. 이 기능은 기업뿐만 아니라 일반 소비자에게도 제공될 예정입니다.

기업에 미치는 영향은 무엇일까요?

기업과 전문가에게도 이는 반가운 변화입니다. 커널 수준의 안티바이러스 시스템은 업데이트 실패, 드라이버 충돌 또는 호환성 검사 누락과 같은 위험을 항상 내포하고 있었으며, 이러한 문제는 순식간에 수천 대의 시스템을 다운시킬 수 있습니다. 이번 아키텍처 변경으로 타사 보안 도구가 운영 체제의 핵심 계층에서 분리되어 조직이 시스템 장애에 더욱 강해지고 복구가 용이해졌습니다.

마이크로소프트는 이미 크라우드스트라이크, 비트디펜더, 소포스, 트렌드 마이크로, ESET 등 파트너사와 협력하여 자사 도구가 커널 외부에서도 작동할 수 있도록 지원하고 있습니다. 또한, 이는 일방적인 결정이 아니라 운영체제에 바이러스 백신이 통합되는 방식을 공동으로 재설계하는 과정이라고 강조합니다.

또한, 새로운 플랫폼은 보안 업데이트를 더욱 세밀하게 배포할 수 있도록 지원합니다. 기술 부서는 단계별 배포, 향상된 원격 측정 기능, 그리고 개선된 롤백 옵션의 이점을 누릴 수 있습니다.

마이크로소프트는 부정행위 방지 시스템도 개선하고자 합니다.

커널에서 안티바이러스를 제거하는 것은 긍정적인 진전이지만, 이것만이 유일한 문제는 아닙니다. 많은 게임 안티치트 솔루션은 커널 수준 드라이버를 사용하여 부정행위 도구와 메모리 변조를 감지합니다. 하지만 이는 안티바이러스 소프트웨어와 마찬가지로 코딩 오류나 오래된 업데이트로 인해 시스템 안정성이 저하될 수 있는 위험을 내포하고 있습니다.

마이크로소프트는 현재 게임 개발자들과 협력하여 커널을 사용하지 않는 부정행위 방지 메커니즘을 설계하고 있으며, 이는 더욱 안정적인 게임 플레이와 오탐지 차단 감소로 이어질 수 있습니다.

새로운 안티바이러스 및 EDR 도구 아키텍처는 현재 Windows 11 및 향후 버전을 염두에 두고 개발 중입니다. 이 변경 사항이 Windows 10에 적용될 것이라는 징후는 없습니다. 그러나 Apple이 2025년 10월 14일 지원 종료 이후에도 사용자들이 Windows 10을 계속 사용할 수 있도록 지원하는 계획을 가지고 있기 때문에 , 이 변경 사항이 이전 버전의 운영 체제에도 적용될 가능성은 있습니다.