증상 확인: 왜 오프라인 검사가 필요한가?
윈도우가 정상 부팅은 되지만, 시스템이 평소보다 심각하게 느려지거나, 예상치 못한 팝업 광고가 나타나며, 작업 관리자에서 알 수 없는 프로세스가 높은 CPU/메모리 점유율을 보일 때가 있습니다. 더 심각한 경우, 백그라운드에서 실행되는 루트킷이나 부트킷(Bootkit) 형태의 악성코드는 일반적인 안티바이러스 검사로는 탐지 및 제거가 불가능합니다. 이는 악성코드가 운영체제보다 먼저 메모리에 상주하거나, 시스템 파일 자체를 변조했기 때문입니다. 윈도우 디펜더 오프라인 검사는 바로 이 지점에서 작동합니다.
원인 분석: 오프라인 검사의 기술적 배경
오프라인 검사의 핵심은 ‘깨끗한 상태’에서 시스템을 진단하는 것입니다, 윈도우가 완전히 종료된 후, 컴퓨터는 윈도우 디펜더가 제공하는 특수한 환경(경량 winpe 환경)으로 부팅됩니다. 이 환경에서는 일반적인 윈도우 커널이 아닌, 검사만을 위한 최소한의 시스템 파일로 구동됩니다. 따라서 기존 윈도우에 상주하며 자신을 보호하는 고급 지속적 위협(APT)이나 파일 시스템 차원의 감염도 제약 없이 접근하고 치료할 수 있습니다. 실질적으로 하드디스크를 외부 저장매체처럼 검사하는 원리입니다.
해결 방법 1: 기본적인 오프라인 검사 실행
가장 표준적이고 안전한 방법입니다, 윈도우가 정상적으로 로그인까지 가능한 상태에서 실행해야 합니다.
- 시작 메뉴를 열고 windows 보안을 검색하여 앱을 실행합니다.
- 좌측 메뉴에서 바이러스 및 위협 방지를 클릭합니다.
- 바이러스 및 위협 방지 설정 영역 아래의 설정 관리 링크를 클릭합니다.
- 화면을 아래로 스크롤하여 오프라인 검사 섹션을 찾습니다.
- 지금 검사 버튼을 클릭합니다. 시스템이 자동으로 다시 시작됩니다.
재부팅 과정에서 검은 화면에 ‘Windows Defender 오프라인 검사 준비 중’이라는 문구가 나타납니다. 이후 검사 환경으로 부팅되며, 검사는 약 15분 정도 소요됩니다. 검사 완료 후 시스템은 자동으로 일반 윈도우로 다시 부팅되며, 결과는 윈도우 보안 앱에서 확인 가능합니다.
주의사항: 이 작업을 시작하기 전에 모든 문서 작업을 저장하고 열린 응용프로그램을 완전히 종료하십시오. 시스템이 강제로 재시작되며, 진행 중에는 컴퓨터를 절대 전원 차단하거나 재부팅하지 마십시오. 네트워크 드라이브나 외부 저장장치는 검사 대상에서 제외됩니다. 보다 구체적인 절차와 주의사항은 추가 설명 보기를 통해 확인할 수 있습니다.
해결 방법 2: 설치 미디어(USB/DVD)를 통한 고급 복구 환경에서 실행
시스템이 심각하게 손상되어 정상적인 윈도우에 진입조차 불가능한 경우, 또는 방법 1이 실패할 경우 이 방법을 사용합니다. 윈도우 10/11 설치 USB 또는 복구 드라이브가 필요합니다.
- 설치 미디어를 연결하고 BIOS/UEFI 설정에서 해당 미디어로 부팅합니다.
- 언어 및 키보드 레이아웃 선택 화면에서 다음을 클릭합니다.
- 화면 왼쪽 하단의 컴퓨터 복구 링크를 클릭합니다.
- 문제 해결 > 고급 옵션 > 명령 프롬프트를 선택합니다.
- 명령 프롬프트 창이 열리면 다음 명령을 입력합니다. cd C:\Windows\System32 (C:가 시스템 드라이브임을 가정)
- 다음 명령을 입력하여 오프라인 검사 도구를 실행합니다. mpcmdrun.exe -offlinebootscan
명령 실행 후 검사가 시작됩니다, 이 방법은 시스템의 복구 환경을 활용하므로 더 높은 수준의 접근 권한을 가질 수 있습니다. 검사가 완료되면 명령 프롬프트 창에 결과가 표시되며, exit를 입력하여 창을 닫고 시스템을 재시작할 수 있습니다.
대체 명령어 및 스위치 옵션
상황에 따라 다른 명령어 스위치를 활용할 수 있습니다. 다음은 실무에서 유용한 옵션입니다.
- mpcmdrun.exe -scan -bootsectorscan: 부트 섹터에 대한 심층 검사를 실행합니다. 부트킷 감염 의심 시 사용.
- mpcmdrun.exe -restore: 검사 후 격리된 파일 목록을 확인하고, 필요 시 복원을 시도할 수 있습니다. (신중한 사용 필수)
해결 방법 3: 그룹 정책을 통한 시스템 예약 검사 구성
이 방법은 기업 환경의 시스템 관리자를 위한 것입니다. 도메인에 가입된 컴퓨터에서 주기적인 오프라인 검사를 예약하거나, 최초 설정 후 사용자가 실행하도록 유도할 수 있습니다. 로컬 그룹 정책 편집기(gpedit.msc)를 사용합니다. 이처럼 체계적인 관리가 필요하듯, 현금영수증 소득공제율(30%)과 신용카드(15%) 차이점을 이해하면 개인 금융 관리에서도 효율적인 절세 전략을 세울 수 있습니다.
- 실행 창(Win + R)에 gpedit.msc를 입력하여 로컬 그룹 정책 편집기를 엽니다.
- 다음 경로로 이동합니다: 컴퓨터 구성 > 관리 템플릿 > Windows 구성 요소 > Microsoft Defender 바이러스 백신 > 검사
- 오른쪽 창에서 오프라인 검사 실행 구성 정책을 더블 클릭합니다.
- 사용을 선택하고, 아래 옵션을 구성합니다.
- 다음 시간 후 오프라인 검사 실행(1-24): 사용자가 검사를 미룰 수 있는 최대 시간(시간 단위)을 설정합니다.
- 다음 날짜에 오프라인 검사 실행: 특정 날짜에 검사를 예약합니다.
- 적용 후 확인을 클릭합니다. 정책 적용을 위해 명령 프롬프트(cmd)를 관리자 권한으로 실행하고 gpupdate /force 명령을 실행합니다.
이 설정은 사용자가 다음에 시스템을 재부팅할 때, 로그인 화전 전에 오프라인 검사를 실행하라는 메시지를 표시하게 됩니다. 보안 준수 요구사항이 높은 환경에서 효과적입니다.
주의사항 및 문제 해결
오프라인 검사 실행 중 또는 실행 후 발생할 수 있는 일반적인 문제와 해결 방안입니다.
- 검사가 무한히 진행되거나 멈춤: 하드웨어 불량(주로 RAM 또는 저장장치)을 의심해야 합니다. Windows 메모리 진단 도구(mdsched.exe)와 디스크 검사(chkdsk C: /f)를 실행하여 하드웨어 상태를 점검하십시오.
- “오프라인 검사를 사용할 수 없음” 오류: 시스템의 보안 부팅(Secure Boot) 또는 TPM(신뢰할 수 있는 플랫폼 모듈) 설정에 문제가 있을 수 있습니다. UEFI/BIOS 설정으로 진입하여 Secure Boot가 활성화되어 있는지 확인하십시오. 또한 윈도우 디펜더 서비스(WinDefend)가 중지되지 않았는지 서비스 관리자(services.msc)에서 확인합니다.
- 검사 후 시스템 불안정: 드물지만, 오프라인 검사가 중요한 시스템 파일을 오진하여 격리 또는 삭제할 수 있습니다. 윈도우 보안 앱의 보호 기록에서 검사 결과를 상세히 확인하고, 필요하다면 격리된 항목을 복원하십시오. 근본적인 해결을 위해 sfc /scannow 및 DISM /Online /Cleanup-Image /RestoreHealth 명령어를 관리자 권한 명령 프롬프트에서 실행하여 시스템 파일 무결성을 복구합니다.
전문가 팁: 오프라인 검사의 한계와 보완 전략
윈도우 디펜더 오프라인 검사는 강력하지만 만능이 아닙니다. 최신 제로데이 익스플로잇이나 파일리스 멀웨어는 검사 환경에서 활동 흔적을 남기지 않을 수 있습니다. 따라서 오프라인 검사는 정기적인 보안 패치 적용, 실시간 보호의 항상 활성화, 그리고 네트워크 차원의 방화벽/IDS 모니터링과 함께 다층 방어 체계의 한 부분으로 사용되어야 합니다. 또한, 월 1회 정도 오프라인 검사를 예약 실행하는 것이 심층 감염을 예방하는 좋은 습관입니다. 가장 중요한 것은, 이상 증상이 발견되면 즉시 네트워크에서 격리한 후 조치를 시작하는 것입니다.
About the Author
