11개의 합법적인 Windows 프로세스가 악성코드처럼 보일 수 있습니다

Windows 프로세스는 PC나 노트북의 정상 작동에 중요한 역할을 합니다. csrss.exe, winlogon.exe와 같은 프로세스는 너무 중요해서 실수로 종료하면 장치가 충돌할 수 있습니다. 악성코드 작성자들은 이러한 중요성을 이용하여 건강한 Windows 시스템을 감염시키곤 합니다. 즉, 바이러스, 애드웨어, 스파이웨어 및 트로이목마는 무엇이든지 이름을 붙일 수 있으며, 심지어 표준 Windows 시스템 프로세스의 이름을 따로 지을 수 있습니다.

아래는 종종 악성코드 이름과 혼동되는 Windows 11 및 10의 주요 프로세스 몇 가지입니다. 시스템에서 가짜 프로세스가 나타날 경우 이를 식별하는 방법을 배워보세요.

목차

• Windows 프로세스가 합법적인지 확인하는 방법
• 1. Explorer.exe
• 2. lsass.exe
• 3. RuntimeBroker.exe
• 4. Winlogon.exe
• 5. Svchost.exe
• 6. OfficeClickToRun.exe
• 7. igfxem.exe
• 8. Csrss.exe
• 9. GoogleCrashHandler.exe
• 10. Spoolsv.exe
• 11. 작업 관리자
• 요약: Windows 프로세스와 유사한 악성코드의 경고 신호
• 자주 묻는 질문

또한 읽기: Windows에서 FAT32로 드라이브 포맷하는 방법

Windows 프로세스가 합법적인지 확인하는 방법

Windows 프로세스가 합법적인지 또는 악성코드의 출처인지 확인하는 방법은 두 가지가 있습니다: 애플리케이션 속성에서 확인하거나 CrowdStrike의 CrowdInspect와 같은 외부 도구를 사용하는 것입니다.

1. 애플리케이션 속성을 통해 Windows 프로세스의 신뢰성 확인하기

모든 승인된 Windows 프로세스 파일은 Microsoft Corporation, 공식 프로그램/앱 개발자 또는 TrustedInstaller.exe와 같은 Microsoft 계정에 연결되어 있습니다. 이는 WindowsApps와 같은 폴더를 관리합니다.

Windows 11 또는 10 프로세스가 합법적이며 악성코드의 출처가 아닌지 확인하려면 애플리케이션 속성에서 내부을 들여다봐야 합니다. “세부정보” 탭으로 이동하여 프로세스의 공식 저작권 소유자를 찾아보세요. 만약 Microsoft, 앱 개발자 또는 TrustedInstaller라면 안심하셔도 좋습니다.

또한 Windows 11/10에서는 프로세스 속성의 “디지털 서명” 탭을 확인할 수 있습니다. 여기에서 가장 최근의 타임스탬프가 있는 공식 디지털 서명을 찾아볼 수 있어 추가적인 보장을 제공합니다.

이러한 프로세스에 대한 드라이버 인증은 표준 Microsoft 권한이 필요하므로(더욱이, 장치 루트에 대한 무단 접근은 UEFI 안전 부팅에 의해 차단됩니다), 이제 Windows 11에서 디지털 서명을 위조하는 것은 불가능합니다.

일상적인 프로세스에서부터 “services.exe” 또는 “svchost.exe”와 같이 매우 중요한 프로세스에 이르기까지 모든 Windows 11 프로세스는 타임스탬프가 포함된 디지털 서명이 있습니다. 각 성공적인 Windows 업데이트 시 이 인증이 다시 확인됩니다.

반면에 Windows 10 프로세스 속성에는 디지털 서명 탭이 아예 없을 수도 있습니다. 또한 일부 프로세스는 저작권 정보를 올바르게 표시하지 않을 수도 있습니다.

그러나 Windows 10에서도 Winlogon.exe와 같은 중요한 내부 시스템 프로세스는 항상 이 정보를 표시합니다. 다른 방법을 통해 소프트웨어의 진위를 확인할 수 있습니다. 더불어 Windows 10 또는 11에서 서명되지 않은 드라이버를 설치하면 이후 재부팅 시 디지털 서명이 표시되지 않습니다.

또한 읽기: 11개의 합법적인 Windows 프로세스가 악성코드처럼 보일 수 있습니다

2. CrowdInspect를 사용하여 Windows 프로세스의 신뢰성 확인하기

Windows 10과 Windows 11 모두에서 외부 소프트웨어 응용 프로그램인 CrowdInspect를 통해 프로세스 파일의 진위를 확인할 수 있습니다. CrowdInspect는 백그라운드 악성코드를 스캔하는 무료 호스트 기반 실시간 프로세스 검사 도구로, VirusTotal과 같은 탐지 엔진을 사용합니다.

1. 공식 링크에서 CrowdInspect ZIP 파일을 다운로드한 후 압축을 해제한 프로그램을 클릭하여 실행하세요. 설치할 필요는 없습니다.
2. 라이선스 계약을 수락하고 Windows 장치의 모든 백그라운드 프로세스에 대한 혼합 분석을 수행할 수 있는 화면으로 진행하세요. 내장된 API 키를 사용하고 “확인”을 클릭하세요.

1. CrowdInspect가 Windows 장치의 모든 백그라운드 프로그램과 프로세스를 화면에 표시할 때까지 기다리세요.

프로그램의 상태는 색상 기호로 확인할 수 있습니다. 청정 표시 항목은 녹색 아이콘으로 표시됩니다. 의심이 가는 경우 아이콘 옆에 물음표가 표시됩니다. 저위험 항목은 노란색 아이콘으로 표시됩니다. 고위험 항목은 빨간색 아이콘으로 나타납니다. 장치가 정상이라면 노란색이나 빨간색 아이콘을 보지 않을 것입니다.

1. 악성코드에 대한 우려가 없는지 추가 확인하고 싶다면, 프로세스를 마우스 오른쪽 버튼으로 클릭하고 “HA 테스트 결과 보기”를 클릭하세요. 오류가 없으면 악성코드가 아니므로 안전하다는 신호입니다.

또한 읽기: Windows에서 종료 및 시작 예약하는 방법

악성코드와 유사한 일반 Windows 11/10 프로세스 목록

1. Explorer.exe

보편적인 Windows 파일 탐색기 프로그램인 explorer.exe는 작업 표시줄 및 바탕 화면에서 쉽게 접근할 수 있습니다. 그 주요 목적은 Windows 11/10 장치의 모든 파일과 폴더를 관리하는 것입니다. 그 중요성 때문에 explorer.exe 프로그램은 공격자들의 선호 대상입니다.

바이러스 탐지: explorer.exe 악성코드는 일반적으로 트로이목마, 랜섬웨어(특히 이메일) 및 Adobe Flash 파일로 나타납니다. 합법적인 프로그램은 항상 “C:\Windows”에 있으며, 복제본은 D 드라이브, 프로그램 파일, 숨김 폴더 또는 다른 PC 위치에 나타날 수 있습니다.

조치: 장치에 explorer.exe 인스턴스가 2~3개 있다면, 모든 인스턴스가 유효한 디지털 서명과 위치를 가지고 있는 한 걱정할 필요는 없습니다. CPU를 과다하게 소모하고 있는 여러 프로세스가 있다면, CrowdInspect에서 허위 프로세스를 식별한 후 마우스 오른쪽 버튼을 클릭하여 “프로세스 종료”를 선택하세요.

2. lsass.exe

lsass.exe는 로컬 보안 권한 하위 시스템 서비스(Local Security Authority Subsystem Service)를 나타내며, Windows 사용자 인증을 담당합니다. 악성코드 외에 원본 프로세스를 종료해서는 안됩니다. 그래야만 시스템이 관리 및 로컬 계정 접근을 잃고 장치가 재시작됩니다.

바이러스 탐지: lsass를 위장하는 일반적인 방식은 소문자 “l”을 대문자 “L”로 바꾸거나 “i”로 바꿔 치는 것입니다. 고의적인 오철자에 주의하세요. 또한 “C:\Windows\System32” 폴더 외부에 있는 잘못된 디지털 서명 및 파일은 명백한 증거입니다.

조치: 작업 관리자에서 허위 lsass 프로세스를 종료하세요. “l”인지 “i”인지 확실하지 않다면 CrowdInspect에서 동일한 작업을 수행하세요. 유효한 lsass 인스턴스가 여러 개 있는 것은 괜찮으며, 건드리지 마세요.

3. RuntimeBroker.exe

RuntimeBroker.exe는 Microsoft가 안전하게 관리하는 프로세스이며, Microsoft Store에서 다운로드한 앱에 대한 권한을 관리하는 역할을 합니다. 사진 앱과 같은 프로그램의 진위를 확인합니다. Windows 장치에 속하지 않은 앱이 있을 경우, Runtime Broker는 많은 메모리를 소모하여 경고합니다.

바이러스 탐지: Windows 장치가 RuntimeBroker.exe 바이러스에 감염된 경우 “C:\Windows\System32” 외부의 다른 PC 위치에서도 그 존재를 알 수 있습니다. 프로그램이 합법적이지 않은 경우 메모리 누수가 급증하여 CPU에 부담을 주게 됩니다. 허위 인스턴스에는 잘못된 디지털 서명이 있습니다.

조치: 작업 관리자를 열고 유효한 Runtime Broker 인스턴스를 여러 개 클릭한 후 “작업 끝내기”를 클릭하세요. 이렇게 하면 특정 앱과 관련된 문제가 해결될 것입니다. 허위 RuntimeBroker.exe 항목은 CrowdInspect에서 종료하세요.

4. Winlogon.exe

Windows 백그라운드 프로세스 중 winlogon.exe보다 더 중요한 것은 없습니다. 이 프로세스는 로그인 프로세스를 관리할 뿐만 아니라 사용자 프로필을 로드하고 화면 보호기를 제어하며 여러 네트워크에 연결됩니다. “C:\Windows\System32”에 위치합니다.

바이러스 탐지: 일반적으로 스파이웨어나 키로거 도구로 사용되는 winlogon.exe는 시스템을 충돌하게 만들 수 있는 매우 위험한 악성코드입니다. 이를 쉽게 인식할 수 있습니다. Windows Defender가 활성화되어 있다면 즉시 파일을 삭제하고 이메일이나 웹 브라우저와 같은 되도록 모든 경로를 종료하라는 경고를 받습니다.

조치: 안전한 winlogon.exe 실행 파일은 CrowdInspect에서 하나 이상의 인스턴스가 존재하지 않습니다. 다른 잘못된 인스턴스는 도착 시 Windows Defender의 지침에 따라 삭제해야 합니다.

5. Svchost.exe

Svchost.exe는 Windows의 “서비스 호스트”를 의미하는 공유 서비스 프로세스로, 다양한 Windows 서비스를 로딩하는 셸 역할을 합니다. 열려 있는 애플리케이션 수에 따라 일반적으로 많은 svchost.exe 인스턴스가 개별 프로세스로 실행됩니다.

바이러스 탐지: svchost.exe 악성코드를 발견하는 경우, 중복 프로세스 때문에 보호된 폴더나 프로그램이 차단되는 것을 목격하게 됩니다. 이러한 변종은 주로 랜섬웨어 또는 은행 사기 도구입니다. 그들의 출처는 PDF 파일, ZIP 파일, JavaScript를 포함합니다.

조치: 이러한 트로이목마는 일반적으로 낮은 수준의 위협이며, 가급적 빨리 제거해야 합니다. 표준 안티바이러스 도구와 Windows Defender는 “C:\Windows\System32”에 없는 서비스 호스트 인스턴스를 삭제할 수 있도록 설계되어 있습니다.

또한 읽기: 최신 Windows 업데이트 문제 및 해결 방법

6. OfficeClickToRun.exe

Office 도구(Word, Excel 또는 PowerPoint 등)를 사용해 본 적이 있다면 OfficeClickToRun.exe라는 실행 파일을 만났을 것입니다. 그 역할은 장치에서 최신 Microsoft Office 버전을 실행하고 업데이트를 처리하는 것입니다. 악성코드는 아니지만, OfficeClickToRun.exe는 CPU 메모리를 많이 소모할 수 있습니다. 그러나 주기적으로 임시 파일을 삭제하면 부담이 훨씬 줄어듭니다.

바이러스 탐지: 실행 파일이 Microsoft Shared 폴더 내 프로그램 파일 외에 다른 위치에 존재합니까? 추가 파일은 시스템에 건강하지 않습니다. 또한 Windows 장치에는 OfficeClickToRun.exe가 한 개의 인스턴스만 실행되고 있어야 합니다. 다른 인스턴스의 디지털 서명을 확인하세요.

조치: 본인에게 해롭지 않지만 허위 인스턴스의 OfficeClickToRun.exe가 시스템 메모리를 방해할 수 있습니다. 이러한 파일과 문서는 즉시 삭제해야 합니다.

7. igfxem.exe

igfxEM.exe는 Intel 그래픽 카드를 관리하는 데 중요한 덜 알려진 배경 프로세스입니다. 따라서 그래픽 카드 표시에서 매우 중요합니다. 장비에 사전 설치되어 있으며, 시스템에 부담을 주지 않기 때문에 그대로 두는 것이 좋습니다.

바이러스 탐지: igfxEM의 인스턴스가 2개 이상(그리고 잘못된 철자가 나타나는 경우)이면 디지털 서명을 확인하십시오. Intel 및 Microsoft가 표시된다면 악성코드는 아닙니다. 그렇지 않다면 진짜 igfxEM 파일이 없으며 이를 제거해야 합니다.

조치: 유효한 디지털 서명이 있다면 아무런 조치를 취할 필요는 없습니다. Intel 인스턴스가 여러 개 있다 해도 문제가 없습니다. 원본 Intel 그래픽 카드가 손상된 것처럼 보인다면, 시작 메뉴의 “devmgmt.msc”에서 드라이버를 재설치해 보세요.

8. Csrss.exe

Csrss.exe는 클라이언트 서버 런타임 하위 시스템(Client Server Runtime Subsystem)을 의미하는 합법적 사용자 프로세스로 Windows 그래픽 활동을 관리하는 데 사용됩니다. GUI 종료 및 시스템 콘솔 서비스와 같은 기능을 담당합니다. 이는 종종 악성코드로 오해받기 쉽습니다. 이를 종료하면 시스템에 치명적일 수 있으며, 충돌로 이어질 수 있습니다.

바이러스 탐지: “C:\Windows\System32”에 있는 다른 프로그램처럼 csrss.exe는 조용히 백그라운드에 남아 있으며, CrowdInspect에서 하나 또는 두 개의 인스턴스만 확인할 수 있습니다. 의심스러운 파일은 잘못된 디지털 서명이 있거나 저작권 세부정보가 누락됩니다.

조치: csrss.exe는 종종 불법 보안 소프트웨어 회사와 기술 사기의 증거로 사용됩니다. 이는 실제 악성코드가 아니므로 잘못된 기술 조언으로 인해 기존 프로세스를 종료해서는 안 됩니다.

또한 읽기: Windows에서 DirectX 재설치하는 방법

9. GoogleCrashHandler.exe

Windows 장치에 Google 프로그램(예: Google Chrome)이 있다면, GoogleUpdater 패키지의 일환인 GoogleCrashHandler.exe라는 실행 파일을 찾을 수 있습니다. 이는 중요 Windows 구성 요소가 아니기 때문에 안전하게 제거할 수 있지만 항상 악성코드는 아닙니다.

바이러스 탐지: Google CrashHandler.exe의 디지털 서명이 무효(즉, Google에 의해 서명되지 않았음)라면 스파이웨어 또는 루트킷 감염의 징후를 주목해야 합니다. 정상 프로세스는 안전합니다.

조치: GoogleCrashHandler.exe의 모든 인스턴스를 시스템 작업 관리자에서 제거하세요. 항상 악성코드는 아닙니다. 불필요하게 CPU를 부담 주기 원하지 않으시다면 말이죠.

10. Spoolsv.exe

Spoolsv.exe는 인쇄 스풀러 서비스와 통합된 진짜 Windows 프로세스로, 폰트와 그래픽을 프린터 하드웨어 및 가상 프린터로 변환합니다. 이는 MS-DOS 초기부터 존재했던 핵심 Windows 프로세스입니다. 유효한 spoolsv.exe 프로세스 항목을 종료하면 기계가 고장나고 시스템이 재부팅됩니다.

바이러스 탐지: spoolsv.exe는 일부 악성코드를 높은 수의 인스턴스로 나타내지만, 안전하고 합법적인 Windows 프로세스입니다. 추가 프로세스는 Microsoft의 디지털 서명이 없습니다. 악성코드 작성자들이 시스템을 겨냥해 유사한 이름을 사용할 경우, Windows Defender가 경고해 줄 것입니다.

조치: spoolsv.exe 프로세스가 Microsoft의 디지털 서명으로 확인된 경우 아무런 조치를 취할 필요는 없습니다. 그렇지 않다면 작업 관리자를 통해 프로세스를 종료하세요.

11. 작업 관리자

Windows 작업 관리자(taskmgr.exe)는 모든 핵심 Windows 프로세스 및 애플리케이션을 제어하는 매우 중요한 프로그램입니다. 이 필수 프로그램과 그 파생 프로그램(예: taskhostw.exe)을 종료하는 것은 시스템에 치명적일 수 있으며, 악성코드 작성자들이 이러한 사실을 잘 알고 있습니다.

바이러스 탐지: 작업 관리자 관련 프로그램이 정상적으로 작동하지 않는 경우, 파일 위치를 확인하십시오. 이 위치는 “C:\Windows\System32”에 있어야 합니다. 장치를 재시작하여 문제가 사라졌는지 확인하세요. 의심스러운 작업 관리자 인스턴스가 계속된다면, 악성코드를 의심해야 합니다. 또 다른 증거는 디지털 서명이 무효하다는 것입니다.

조치: 악성코드에 감염된 “작업 관리자”와 유사한 실행 파일은 작업 관리자 자체에서 식별하고 종료할 수 있습니다. 그러나 Windows 10에서 TaskSchedulerHelper.dll 오류를 겪고 있다면, 제시된 수정 단계를 따라야 합니다.

요약: Windows 프로세스와 유사한 악성코드의 경고 신호

표준 Windows 시스템 프로세스와 유사한 의심스러운 프로세스에 대응하는 방법에 대한 간단한 요약입니다. 악성코드가 있을 수도 있고 없을 수도 있지만, 이러한 경고 신호를 주의 깊게 살펴보는 것이 중요합니다.

• 애플리케이션 속성 세부정보에서 저작권 확인: Windows 11 및 Windows 10의 각 프로그램은 파일 위치가 있습니다. “속성” 탭에서 “세부정보”에 접근하여 저작권이 Windows, TrustedInstaller 또는 Google, Intel, NVIDIA 등과 같은 합법적인 프로세스 소유자에게 속하는지 확인하세요. 그렇지 않다면 시스템에서 제거해야 할 악성코드 소스가 될 수 있습니다.
• Windows 프로세스 프로그램의 CPU 사용량 확인: Windows CPU 사용량은 여러 시스템이 동시에 실행되고 있을 때 올라가는 것이 정상입니다. 그러나 동일 프로그램의 여러 인스턴스가 시스템을 느리게 하고 있다면, 이는 우려의 원인이 됩니다. 불필요한 프로그램은 식별하여 즉시 종료해야 합니다.
• 의심스러운 Windows 프로세스의 디지털 서명 확인: 이는 프로세스의 진위를 검증하는 가장 중요하고 쉬운 방법입니다. 프로세스의 디지털 서명이 무효하고 신뢰할 수 있는 출처로부터 오지 않는다면, 악성코드일 가능성이 높습니다.
• 의심스러운 프로세스의 파일 위치 확인: 대부분의 Windows 파일 프로세스는 PC에서 잘 정의된 위치를 가집니다. 이 위치는 “C:\Windows\System32”거나 프로그램 파일 또는 다른 잘 정의된 위치여야 합니다. D 드라이브와 같은 다른 영역에서 이 프로세스의 인스턴스를 발견해서는 안 됩니다. 이는 악성코드의 가능성을 나타냅니다.

또한 읽기: Windows에서 OpenVPN 설정하는 방법

자주 묻는 질문

1. 특정 Windows 프로세스가 실제로 해롭다면 어떻게 해야 합니까?

합법적인 Windows 프로세스는 시스템에 해를 끼칠 수 없습니다. 그러나 악성코드가 포함된 이러한 프로세스의 중복 인스턴스가 있다면, CrowdInspect로 이동하여 해당 프로세스를 마우스 오른쪽 버튼으로 클릭하고 “프로세스 종료”를 클릭하세요. Windows Defender가 활성화되어 있다면 이러한 악성코드 인스턴스를 처리해 줄 것입니다. Windows Defender가 반드시 필요한 유일한 안티바이러스인 이유를 알아보세요.

2. 유효한 Windows 프로세스를 종료하면 어떤 일이 발생하며 어떻게 복구하나요?

우연히 유효한 Windows 프로세스를 종료했다면 결과는 프로세스가 시스템에 얼마나 중요한지에 따라 달라집니다. 비핵심 소프트웨어 프로세스인 경우 Windows 장치에 아무런 영향이 없습니다.

winlogon.exe 및 csrss.exe와 같은 중요 프로세스의 경우, Windows에는 실수로 종료하는 것을 방지하는 내장 메커니즘이 있습니다. 그러나 작업 관리자를 통해 시스템을 종료하려고 시도하면 장치가 스스로 꺼지며 재시작해야 합니다. 최악의 경우 완전한 정전이 발생하고 충돌로 인해 영구적인 손상이 발생할 수 있습니다.

예정된 Windows 운영 및 유지 관리에 필수적인 낮은 영향 프로세스인 경우 시스템이 비상 실패를 보고하고 자동으로 종료될 것입니다. 시작 후에는 문제가 사라질 것입니다.