이 글의 목적은 엑셀에서 보안센터의 매크로 차단을 안전하게 해제하고, 신뢰할 수 있는 문서·위치·서명·조직 정책을 활용하여 업무 중단 없이 VBA 매크로를 실행하도록 단계별 절차와 안전 수칙을 제공하는 것이다.
왜 매크로가 차단되는가
엑셀은 잠재적 악성 코드 실행을 막기 위해 기본적으로 미서명 매크로 또는 인터넷에서 내려받은 파일의 매크로를 차단한다. 특히 NTFS 대체데이터스트림(ADS)으로 표시되는 Mark of the Web(MOTW) 정보가 포함된 파일은 ‘인터넷에서 가져온 파일’로 간주되어 매크로가 자동 차단된다. 이러한 기본 보안 동작은 기업 환경과 개인 환경 모두에 적용되며, 관리자가 그룹 정책으로 더 엄격하게 설정할 수 있다.
현상 식별: 어떤 차단 메시지가 뜨는가
실행 차단 유형을 먼저 확인해야 가장 빠르게 해제할 수 있다.
| 증상 메시지 | 주요 원인 | 권장 조치 |
|---|---|---|
| 보안 경고: “매크로가 사용 중지되었습니다” | 기본 매크로 설정이 ‘알림 표시 없이 모든 매크로 사용 안 함’이다 | 보안센터에서 ‘알림을 표시하고 매크로 사용 안 함’으로 전환 후 신뢰 설정을 병행한다 |
| 보안 위험: “이 파일의 매크로는 차단되었습니다” | MOTW가 있는 인터넷/메일 첨부 파일이다 | 파일 속성 ‘차단 해제’ 또는 Unblock-File로 MOTW 제거한다 |
| “조직에서 설정한 정책으로 인해 매크로가 차단되었습니다” | 그룹 정책 또는 MDM 규정 준수 정책이다 | 로컬 설정 불가, IT 관리자에게 신뢰 위치·서명 정책 허용 요청한다 |
| “이 프로젝트는 신뢰할 수 있는 위치에 있지 않습니다” | 파일 경로가 신뢰할 수 있는 위치가 아니다 | 신뢰할 수 있는 위치에 파일을 이동하거나 해당 경로를 등록한다 |
해제 전략 개요: 위험 최소·업무 연속성 최대
매크로 활성화는 최소권한 원칙으로 접근해야 한다. 개별 파일의 신뢰를 확보하고, 반복 사용 파일은 신뢰 위치에 배치하며, 장기적으로는 디지털 서명을 적용하는 순서를 권장한다.
- 1회성 파일: 파일 속성의 차단 해제 또는 안전한 경로로 복사하여 여는 절차를 사용한다.
- 자주 쓰는 파일/폴더: 신뢰할 수 있는 위치(Trusted Locations)에 한정 등록한다.
- 배포되는 조직용 매크로: 코드 서명 인증서를 사용해 디지털 서명한다.
- 기업 환경: 그룹 정책으로 중앙 통제하고, 사용자는 우회 대신 정책 변경을 요청한다.
주의 :
보안센터에서 ‘모든 매크로 포함(권장 안 함)’을 전역으로 켜는 것은 금지해야 한다. 업무 편의는 단기적이지만 악성 매크로 감염 위험이 급격히 증가한다.
방법 1: 파일 ‘차단 해제’로 MOTW 제거
인터넷에서 받은 파일은 NTFS ADS에 Zone.Identifier가 기록되어 있다. 이 경우 엑셀 상단에 “이 파일의 매크로는 차단되었습니다” 경고가 나타난다. 아래 절차로 제거한다.
- 파일을 닫는다.
- 파일을 마우스 오른쪽 클릭하고 ‘속성’을 연다.
- ‘일반’ 탭 하단의 ‘차단 해제’ 체크박스를 선택한다.
- ‘적용’→‘확인’을 클릭하고 다시 연다.
동일 작업을 대량으로 처리하려면 PowerShell을 사용한다.
# 단일 파일 Unblock-File -Path "C:\Safe\workbook.xlsm"
폴더 내 .xlsm 일괄 처리
Get-ChildItem "C:\Safe" -Filter *.xlsm -Recurse | Unblock-File
주의 :
차단 해제는 오직 신뢰 가능한 출처에서 받은 파일에만 적용한다. 출처 불명 파일은 격리 환경에서 검사한 후 사용한다.
방법 2: 보안센터에서 매크로 알림 허용
기본값이 알림 없이 차단으로 되어 있으면 사용자가 위험을 인지하고 선택하도록 ‘알림 표시 후 차단’으로 바꾸는 것이 첫 단계이다.
- 엑셀 → ‘파일’ → ‘옵션’ → ‘보안 센터’ → ‘보안 센터 설정’을 연다.
-
‘매크로 설정’에서 아래와 같이 설정한다.
- ‘알림을 표시하고 매크로 사용 안 함’ 선택한다.
- 조직 표준이 필요한 경우 ‘VBA 프로젝트 개체 모델에 대한 신뢰 액세스’는 기본적으로 해제한다.
| 옵션 | 동작 | 권장도 |
|---|---|---|
| 알림 없이 모든 매크로 사용 안 함 | 매크로 무조건 차단, 배너 없이 동작 | 개인 사용 비권장, 진단이 어려움 |
| 알림을 표시하고 매크로 사용 안 함 | 열람 시 배너로 경고, 사용자가 선택 | 권장 |
| 디지털 서명된 매크로만 실행 | 신뢰 공급자 서명만 허용 | 기업 환경 권장 |
| 모든 매크로 포함(권장 안 함) | 전역 허용 | 금지 |
방법 3: 신뢰할 수 있는 문서(Trusted Documents)
동일 파일을 반복 열 때마다 허용할 필요가 없다면 처음 한 번의 신뢰 선택으로 해당 파일에 한해 매크로가 항상 실행되도록 설정할 수 있다. 경고 배너의 ‘콘텐츠 사용’ 또는 ‘이 문서를 신뢰’에 해당하는 버튼을 클릭하면 된다. 원본 경로가 바뀌거나 파일이 수정되면 신뢰가 해제될 수 있다.
방법 4: 신뢰할 수 있는 위치(Trusted Locations) 등록
팀 표준 서식·템플릿·애드인 등은 전용 폴더를 신뢰 위치로 등록한다.
- 엑셀 → ‘파일’ → ‘옵션’ → ‘보안 센터’ → ‘보안 센터 설정’ → ‘신뢰할 수 있는 위치’를 연다.
- ‘새 위치 추가’를 클릭하고 전용 폴더를 선택한다.
- 네트워크 공유 경로라면 ‘네트워크의 신뢰할 수 있는 위치 허용’ 정책이 필요하다.
주의 :
신뢰 위치는 최소 범위 원칙으로 등록한다. 상위 루트나 광범위한 공유 폴더는 금지한다.
방법 5: 디지털 서명으로 신뢰 체계 구축
조직 배포 매크로는 코드 서명을 적용하면 사용자 단의 보안센터 설정을 완화하지 않고도 안전하게 실행할 수 있다.
- 인증서 준비: 공인 인증기관(CA) 또는 사내 루트 CA에서 코드 서명 인증서를 발급받는다.
- VBE(Alt+F11) → ‘도구’ → ‘디지털 서명’ → ‘선택’에서 인증서를 지정한다.
- 파일을 저장하고 배포한다.
- 사용자는 ‘신뢰할 수 있는 게시자’로 인증서를 한 번 신뢰하면 이후 동일 게시자의 서명 매크로는 자동 허용된다.
주의 :
서명 후 코드가 변경되면 서명이 무효화된다. 배포 전 최종 빌드에서 서명하고, 버전 관리와 해시 검증 절차를 운영한다.
방법 6: 그룹 정책(GPO)과 조직 정책 하에서의 처리
기업 환경에서는 로컬 보안센터 설정이 무시될 수 있다. 대표적 제어 항목은 다음과 같다.
| 정책 항목 | 효과 | 사용자 측 대응 |
|---|---|---|
| VBA 매크로 실행 레벨 | 전역 차단·알림·서명 전용 등 강제 | IT에 서명 방식 또는 신뢰 위치 예외 요청 |
| 신뢰할 수 있는 위치 구성 | 허용 경로 제한, 네트워크 위치 금지 | 프로젝트 전용 공유 경로 화이트리스트 신청 |
| 외부 콘텐츠 차단 | 링크·ODBC·웹쿼리 등 차단 | 내부 데이터 게이트웨이 또는 승인된 커넥터 사용 |
| 매크로 서명 검증 강제 | 서명 없는 파일 실행 금지 | 코드 서명 도입 |
정책이 걸려있는 경우 로컬에서 우회하려 하지 말고 변경 근거와 위험 평가서를 첨부하여 예외를 요청해야 한다.
방법 7: 애드인(.xlam)과 개인 매크로(PERSONAL.XLSB) 처리
애드인과 개인 매크로는 파일별 차단 메시지가 다르게 보일 수 있다. 애드인은 신뢰 위치에 배치하고, 개인 매크로 파일은 사용자 프로필의 XLSTART 경로가 신뢰 위치인지 확인한다.
방법 8: Mac과 OneDrive/SharePoint 환경
- Mac: 엑셀 → ‘환경설정’ → ‘보안’에서 매크로 설정을 확인한다. Gatekeeper 영향으로 다운로드 파일은 처음 실행 시 추가 경고가 뜰 수 있다.
- OneDrive/SharePoint: 동기화 경로가 인터넷 존으로 인식될 수 있다. 신뢰 위치 등록 또는 조직 정책에서 테넌트 신뢰를 활성화한다.
보안 사고를 막는 체크리스트
- 출처 검증: 발신자 서명, 내부 저장소, 해시값으로 진위 확인한다.
- 최소 신뢰: 파일 단위 신뢰부터 시작하고 폴더 신뢰는 업무상 불가피할 때만 사용한다.
- 코드 리뷰: VBA 암호화만 믿지 말고 소스 점검·서명 정책을 운영한다.
- 버전 관리: 변경 시 서명 재적용과 변경 이력 기록을 유지한다.
- 감사 로깅: 실행 로그·배포 로그를 중앙 수집해 이상 징후를 탐지한다.
문제 해결: 자주 발생하는 오류와 해결 절차
매크로가 여전히 실행되지 않는다면 아래 순서로 진단한다.
- 파일 속성에서 ‘차단 해제’가 적용되었는지 확인한다.
- 보안센터 매크로 설정이 ‘알림 표시’ 또는 ‘서명만 허용’으로 되어 있는지 확인한다.
- 신뢰 위치 경로가 정확히 일치하는지(드라이브 문자·UNC 경로) 확인한다.
- 디지털 서명 인증서가 만료되었거나 체인이 끊기지 않았는지 확인한다.
- 조직 정책 메시지가 있다면 로컬 설정은 무시되므로 IT에 정책 상태를 문의한다.
자동화 스크립트 예시: 안전한 배포 경로로 복사 후 해제
배포용 서식 파일을 검증된 내부 경로에만 두고, MOTW를 제거한 사본을 운영 저장소에 배치하는 자동화 예시이다.
# 검증 완료된 원본을 운영 경로로 복사하면서 MOTW 제거 $src = "C:\Staging\Template.xlsm" $dst = "C:\Ops\Templates\Template.xlsm" Copy-Item $src $dst -Force Unblock-File -Path $dst
주의 :
원본 파일은 변경 금지 속성으로 관리하고, 운영 경로는 백업과 무결성 모니터링을 적용한다.
실무 운영 모델: 서명+신뢰 위치 하이브리드
대부분의 조직에서는 다음 조합이 사고·운영비용을 동시에 낮춘다.
- 개발/QA: 개발자는 서명 전 코드 검토를 거친다.
- 배포: 디지털 서명 적용 후 전용 배포 폴더(신뢰 위치)에만 배포한다.
- 사용: 사용자는 배너가 떠도 ‘신뢰할 수 있는 게시자’만 허용한다.
- 감사: 정기적으로 서명 만료·경로 변경·권한 변화를 점검한다.
버전별 UI 경로 요약
| 환경 | 메뉴 경로 | 비고 |
|---|---|---|
| Windows 엑셀 | 파일 → 옵션 → 보안 센터 → 보안 센터 설정 → 매크로 설정/신뢰할 수 있는 위치 | 가장 일반적이다 |
| Mac 엑셀 | Excel → Preferences → Security → Macro Settings | 용어 차이만 있다 |
| Microsoft 365 앱 | UI는 유사하나 조직 정책 우선 적용 | 테넌트 정책 확인이 필요하다 |
FAQ
메일 첨부로 받은 .xlsm 파일이 계속 차단된다. 가장 빠른 해결은 무엇인가?
파일 속성의 ‘차단 해제’를 적용하고 다시 연다. 대량일 경우 PowerShell의 Unblock-File을 사용한다.
신뢰할 수 있는 위치를 네트워크 공유에 설정해도 되는가?
가능하나 보안 위험이 크다. 반드시 프로젝트 전용 하위 경로만 화이트리스트로 등록하고, 쓰기 권한을 최소화한다.
모든 매크로 포함을 전역으로 켜면 편한데 왜 비권장인가?
악성 매크로 감염 위험이 급증하고, 한 번의 실수로 조직 전체가 피해를 볼 수 있다. 파일 또는 폴더 단위 신뢰로 대체해야 한다.
디지털 서명을 쓰면 사용자 측 추가 작업이 필요한가?
처음 한 번 ‘신뢰할 수 있는 게시자’로 인증서를 신뢰하면 이후 동일 게시자의 서명 매크로는 자동 실행된다.
조직 정책 메시지가 뜬다. 로컬에서 바꿀 수 있는가?
불가하다. 정책은 중앙에서 강제되므로 IT 관리자에게 예외 또는 정책 변경을 요청해야 한다.
개인 매크로(PERSONAL.XLSB)가 차단될 때는 어떻게 하나?
사용자 프로필의 XLSTART 폴더를 신뢰 위치로 등록하거나, 개인 매크로 파일을 신뢰 문서로 설정한다.
템플릿 .xltm과 통합문서 .xlsm의 차이로 인해 해제 방법이 다른가?
해제 원리는 동일하다. 다만 템플릿은 새 파일 생성 시 신뢰 상태가 바뀔 수 있으므로 템플릿 경로 자체를 신뢰 위치로 등록하는 것이 반복 작업에 유리하다.
서명이 유효하지만 실행이 안 된다. 무엇을 점검해야 하나?
인증서 만료, 폐기 목록(CRL) 확인 실패, 체인 루트 미신뢰, 타임스탬프 부재를 점검한다. 네트워크 검증이 필요한 환경이면 프록시 예외를 확인한다.
OneDrive/SharePoint에서 동기화된 파일도 MOTW가 붙는가?
브라우저 다운로드 경로를 거치면 붙을 수 있다. 동기화 클라이언트로 내부 저장소에서 바로 열면 줄어들며, 필요 시 신뢰 위치를 사용한다.
VBA 프로젝트 개체 모델 신뢰 액세스 옵션은 언제 켜야 하나?
매크로가 다른 VBA 프로젝트를 프로그래밍적으로 수정하는 고급 시나리오에서만 필요하다. 일반 사용자는 해제 상태를 유지한다.
핵심 정리
- MOTW가 보이면 파일 차단 해제 또는 Unblock-File로 해결한다.
- 보안센터는 ‘알림 표시’ 상태를 기본으로 두고 전역 허용은 금지한다.
- 반복 사용 파일은 신뢰 위치, 조직 배포 매크로는 디지털 서명으로 운영한다.
- 정책 메시지는 로컬 우회가 불가하므로 중앙 정책 조정으로 해결한다.