# SmartScreen

## 개요

**SmartScreen**은 마크로소프트(Microsoft에서 개발한 보안 기능으로, 주로 Windows 운영체제 및 Microsoft Edge 브라우저에 내장되어 사용자에게 악성 소프트웨어, 피싱 사이트, 신뢰할 수 없는 다운로드 등으로부터 보호하는 역할을 수행합니다. SmartScreen은 사용자의 온라인 활동 중 발생할 수 있는 보안 위협을 실시간으로 탐지하고 차단함으로써, 특히 웹 기반 공격에 대한 사전 방어 장치로 기능합니다.

이 기능은 2010년대 초반부터 Windows 8 및 Internet Explorer 9에서 도입되었으며, 이후 Windows 10/11과 Microsoft Edge 브라우저에서 더욱 강화되어 현재는 **웹 보안**, **애플리케이션 실행 보호**, **이메일 및 메시지 필터링** 등 다양한 영역에서 활용되고 있습니다.

---

## 주요 기능

### 1. 웹 사이트 필터링 (URL 보호)

SmartScreen은 사용자가 웹 블라우징 중 악성 사이트나 피싱(Phishing) 사이트에 접속하려 할 때 이를 탐지하고 경고 메시지를 표시합니다. 이 기능은 다음과 같은 방식으로 작동합니다:

- **클라우드 기반 데이터베이스**: Microsoft는 전 세계 사용자의 신고 및 자동 분석을 통해 악성 웹사이트 목록을 실시간으로 업데이트합니다.
- **실시간 검사**: 사용자가 특정 URL에 접속하려 하면, 해당 주소가 SmartScreen의 차단 목록에 있는지 확인합니다.
- **의심스러운 행동 분석**: 알려지지 않은 사이트라도 폼 데이터 수집, 자동 리디렉션, 스크립트 기반 공격 시도 등의 패턴을 보일 경우 위험으로 간주합니다.

> 예: 사용자가 "secure-login-bank.com"과 같이 공식 은행 사이트를 위장한 피싱 사이트에 접속하려 하면, SmartScreen은 "이 사이트는 신뢰할 수 없습니다. 컴퓨터에 해로울 수 있습니다."라는 경고를 표시합니다.

### 2. 다운로드 파일 보호

SmartScreen은 사용자가 인터넷에서 파일을 다운로드할 때, 해당 파일이 악성 코드를 포함하고 있는지 여부를 판단합니다. 특히 다음과 같은 기준을 사용합니다:

- **파일의 신뢰성 평가**: 파일이 얼마나 많은 사용자에게 다운로드되었고, 언제 처음 등장했는지를 분석합니다.
- **디지털 서명 확인**: 공인된 개발자가 서명한 파일은 신뢰받는 것으로 간주되며, 무작위로 배포된 서명되지 않은 실행 파일은 위험으로 분류될 수 있습니다.
- **해시 기반 차단**: 알려진 악성 파일의 해시 값과 비교하여 일치하면 실행을 차단합니다.

예를 들어, `.exe` 파일을 처음 다운로드했을 때 SmartScreen이 "이 파일은 인터넷에서 다운로드되었으며, 많은 사람들이 실행하지 않았습니다. 실행하려면 경고를 무시해야 합니다."라는 메시지를 표시할 수 있습니다.

---

## 작동 원리

SmartScreen은 단순한 시그니처 기반 탐지가 아니라, 다음과 같은 **다중 계층 분석 시스템**을 활용합니다:

### 클라우드 기반 위협 인텔리전스

- Microsoft의 **SmartScreen 서비스**는 실시간으로 전 세계의 위협 데이터를 수집하고 분석합니다.
- 사용자가 특정 파일이나 URL에 접속하면, 해당 정보가 익명화된 형태로 Microsoft 서버에 전송되어 위험 여부를 판단합니다.

### 신뢰도 기반 평가 (Reputation-based Filtering)

- **앱/사이트의 평판**(Reputation)을 기준으로 위험 여부를 결정합니다.
- 신규로 등장한 앱이나 웹사이트는 "신뢰할 수 없음"으로 간주되어 경고를 유발할 수 있습니다.
- 많은 사용자가 안전하게 사용한 기록이 있는 경우, 신뢰도가 상승하여 경고가 해제됩니다.

### 로컬 정책 및 설정

- 관리자는 그룹 정책(Group Policy)을 통해 SmartScreen의 동작 수준을 조정할 수 있습니다.
- 예: SmartScreen을 완전히 비활성화하거나, 경고만 표시하고 차단은 하지 않도록 설정 가능.

---

## Windows 및 Microsoft Edge에서의 적용

### Windows 10/11에서 SmartScreen

- **Windows Defender SmartScreen**으로 통합되어 있음.
- 제어판 또는 설정 > 업데이트 및 보안 > Windows 보안 > 앱 및 브라우저 제어 에서 설정 가능.
- 애플리케이션 및 파일 실행 시 보호 기능이 자동으로 작동.

### Microsoft Edge에서의 SmartScreen

- Edge 브라우저는 SmartScreen을 기본 보안 기능으로 탑재.
- **추적 방지**(Tracking Prevention), **피싱 보호**, **악성 다운로드 차단** 등이 포함됨.
- 설정 > 개인정보, 검색 및 서비스 > 보안에서 세부 조정 가능.

---

## 한계와 주의사항

- **지연된 반응**: 신규 위협은 데이터베이스에 반영되기 전까지 일정 시간 동안 탐지되지 않을 수 있음.
- **과도한 경고**(False Positive): 신뢰할 수 있는 소규모 개발자의 소프트웨어도 초기에는 차단될 수 있음.
- **사용자 무시 위험**: 반복적인 경고로 인해 사용자가 경고를 무시하고 위험한 행동을 할 수 있음.

---

## 관련 기술 및 대안

| 기술 | 설명 |
|------|------|
| **Google Safe Browsing** | 구글이 제공하는 유사한 웹 보안 서비스. Chrome 브라우저에서 사용됨. |
| **Windows Defender Application Control (WDAC)** | 실행 가능한 앱을 정책 기반으로 제어하는 고급 보안 기능. |
| **Anti-Phishing Working Group (APWG)** | 피싱 및 사이버 범죄 방지를 위한 국제 협력 기구. SmartScreen도 이 기구의 데이터를 활용함. |

---

## 참고 자료

- [Microsoft SmartScreen 공식 문서](https://learn.microsoft.com/ko-kr/microsoft-edge/deploy/security/smart-screen)
- [Windows 보안 - 앱 및 브라우저 제어](https://support.microsoft.com/ko-kr/windows/windows-%EC%84%9C%EB%B9%84%EC%8A%A4-%EC%84%A4%EC%A0%95-3c45535d-66fe-45b2-8393-c368b355d784)
- [SmartScreen Filter 설명 (TechNet)](https://docs.microsoft.com/en-us/archive/blogs/ie/internet-explorer-smartscreen-filter)

---

SmartScreen은 현대 웹 보안의 핵심 구성 요소 중 하나로, 사용자에게 투명하면서도 강력한 보호를 제공합니다. 특히 비전문가 사용자들이 악성 사이트나 위험한 다운로드에 노출되는 것을 방지하는 데 큰 효과를 발휘하며, 지속적인 업데이트와 클라우드 기반 분석을 통해 진화하고 있습니다.