이 글의 목적은 Microsoft Defender Application Guard(이하 Application Guard)에서 “보호된 브라우저 창이 열리지 않음” 문제가 발생했을 때, 원인 범위를 빠르게 좁히고 재현 가능한 절차로 복구하거나 대체 보안 경로까지 정리하여 현장에서 즉시 조치할 수 있도록 돕는 것이다.
1. 먼저 확인해야 하는 핵심 포인트(가장 흔한 원인)
1-1. Windows 11 버전에서 기능이 제공되는지부터 확인하다
Application Guard는 Microsoft 문서에서 “Microsoft Edge for Business에 대해 더 이상 업데이트되지 않는 기능”으로 분류되어 있으며, Windows 클라이언트의 “사용 중단(Deprecated) 기능” 목록에도 포함되어 있다. 또한 Windows 11 24H2부터는 Edge에서 Application Guard가 제공되지 않는 환경이 존재하므로, “설치·설정이 맞는데도 창이 안 열림”처럼 보이는 경우가 실제로는 “기능이 제거된 OS 조합”일 수 있다.
주의 : 기능이 OS 버전에서 제공되지 않는 상황이면 설정을 아무리 수정해도 “열림 실패”가 반복되며, 이 경우는 복구가 아니라 대체 보안 설계로 전환해야 한다.
1-2. 에디션/정책/라이선스 조건을 충족하는지 확인하다
Application Guard는 지원 에디션과 사용 모드(Standalone, Enterprise-managed)에 따라 전제 조건이 달라지며, 관리형 환경에서는 정책으로 인해 특정 동작이 차단될 수 있다. 특히 보안 기준(CIS, Security Baseline) 적용 후 “가상화 기반 기능(VBS/Hyper-V) 조합”이 바뀌면 Application Guard가 시작 단계에서 중단되는 사례가 많다.
1-3. 가상화 기반 구성요소가 정상인지 확인하다
Application Guard는 격리 환경을 위해 가상화 기반 구성요소에 의존한다. 따라서 아래 중 하나라도 어긋나면 증상이 “로딩만 보임”, “회색 창 후 종료”, “아예 반응 없음”으로 나타날 수 있다.
| 점검 항목 | 정상 기대값 | 불일치 시 대표 증상 |
|---|---|---|
| BIOS/UEFI 가상화(VT-x/AMD-V) | Enabled | 창이 열리지 않거나 즉시 종료하다 |
| Hyper-V/Windows Hypervisor Platform 구성 | 필요 기능이 설치됨 | 격리 인스턴스 생성 실패로 로딩에서 멈추다 |
| 코어 격리(메모리 무결성)·VBS 정책 | 환경에 맞게 일관되게 설정됨 | 다른 가상화 제품과 충돌하거나 시작이 실패하다 |
| 타사 가상화(예: VMware/VirtualBox) | Hyper-V 공존 모드 또는 미사용 | 하이퍼바이저 충돌로 기능이 불안정하다 |
| 프록시/SSL 검사 | 예외 또는 호환 구성 | 특정 사이트에서만 빈 화면·연결 실패가 발생하다 |
2. 증상별로 원인을 좁히는 진단 절차(순서대로 진행하다)
2-1. Windows 빌드/버전을 확인하고 “지원 여부”를 먼저 결론내리다
관리자 권한 터미널에서 OS 정보를 확인하다.
winver또는 PowerShell에서 빌드 정보를 확인하다.
Get-ComputerInfo | Select-Object WindowsProductName, WindowsVersion, OsBuildNumber주의 : Windows 11 24H2 계열에서 Application Guard가 더 이상 제공되지 않는 경우가 보고되어 있으므로, “기능이 설치 목록에서 보이지 않음/열리지 않음”이 정상 동작일 수 있다.
2-2. 기능이 실제로 설치되어 있는지 확인하다
Windows 기능 창을 열어 체크 상태를 확인하다.
optionalfeatures목록에서 “Microsoft Defender Application Guard”가 없거나 체크가 풀려 있으면 설치/재설치가 필요하다. GUI가 막혀 있거나 원격 환경이면 DISM/PowerShell로 상태를 확인하다.
DISM /Online /Get-Features /Format:Table | findstr /I "ApplicationGuard"PowerShell로 기능 상태를 확인하다.
Get-WindowsOptionalFeature -Online -FeatureName Windows-Defender-ApplicationGuard2-3. 기능을 재설치(Enable)하고 재부팅으로 격리 구성요소를 재생성하다
PowerShell(관리자)에서 기능을 활성화하다.
Enable-WindowsOptionalFeature -Online -FeatureName Windows-Defender-ApplicationGuard -All -NoRestart적용 후 재부팅하다.
shutdown /r /t 02-4. Hyper-V 계열 구성요소를 함께 점검하다
환경에 따라 Application Guard는 Hyper-V 하이퍼바이저 기반 구성과 충돌 또는 의존성이 나타난다. 아래 기능 상태를 확인하고 누락 시 활성화하다.
DISM /Online /Get-Features /Format:Table | findstr /I "Hyper-V" DISM /Online /Get-Features /Format:Table | findstr /I "HypervisorPlatform" DISM /Online /Get-Features /Format:Table | findstr /I "VirtualMachinePlatform"일반적으로 점검 대상은 아래 3가지이다.
| 기능명(표시명) | 역할 | 비고 |
|---|---|---|
| Hyper-V | 격리/가상화 기반 실행 기반을 제공하다 | 타사 가상화와 충돌 가능하다 |
| Windows Hypervisor Platform | 하이퍼바이저 API 제공으로 공존성을 높이다 | VMware 등과 병행 시 도움이 되다 |
| Virtual Machine Platform | 가상화 플랫폼 구성요소를 제공하다 | WSL과 함께 쓰이는 경우가 많다 |
2-5. BIOS/UEFI 가상화 옵션과 보안 부팅을 점검하다
작업 관리자에서 CPU 가상화 활성 상태를 빠르게 확인하다.
작업 관리자 → 성능 → CPU → “가상화: 사용” 확인“사용 안 함”이면 BIOS/UEFI에서 Intel VT-x 또는 AMD-V(SVM)를 활성화해야 한다. 보안 부팅이 정책상 강제되는 환경에서는 Secure Boot 상태도 함께 관리하다.
2-6. 보안 기준(CIS/베이스라인) 적용 후 충돌 포인트를 점검하다
보안 기준 적용 후 Application Guard가 열리지 않는 경우는 다음 패턴이 많다.
| 변경된 항목 | 영향 | 권장 점검 |
|---|---|---|
| 가상화 기반 보안(VBS) 강제 | 타사 가상화 또는 드라이버와 충돌하다 | 관련 제품 업데이트 및 공존 모드 적용 여부를 확인하다 |
| WDAG/Edge 관련 정책 변경 | 격리 창 생성 경로가 차단되다 | GPO/MDM에서 Application Guard 정책을 재검토하다 |
| 프록시/SSL 검사 강화 | 격리 환경에서 연결이 실패하다 | 프록시 예외, 인증서 배포, SSL 검사 예외를 검토하다 |
주의 : “보안 강화” 자체는 유지하되, 격리 기능이 필요한 업무 흐름이 존재하면 정책 변경 전후로 테스트 시나리오를 표준화해야 한다.
3. 실제 복구 절차(현장에서 그대로 따라하는 체크리스트)
3-1. 기본 복구 루틴(대부분 이 루틴에서 해결되다)
아래 순서대로 수행하다.
| 순서 | 조치 | 기대 효과 |
|---|---|---|
| 1 | OS 버전/에디션 확인 후 지원 여부를 확정하다 | 불가능한 복구 시도를 차단하다 |
| 2 | Windows 기능에서 Application Guard 설치 여부를 확인하다 | 누락/비활성 상태를 즉시 발견하다 |
| 3 | PowerShell로 Application Guard를 Enable하고 재부팅하다 | 손상된 구성요소를 재생성하다 |
| 4 | 가상화 기능(Hyper-V 계열) 상태를 점검하다 | 의존성 누락/충돌을 분리하다 |
| 5 | BIOS 가상화 옵션을 활성화하다 | 격리 인스턴스 생성 실패를 해결하다 |
3-2. 기능 설치가 실패하거나 항목이 아예 보이지 않는 경우 조치하다
Windows 기능 목록에서 Application Guard가 보이지 않으면 다음 가능성을 우선 고려하다.
첫째, OS 버전에서 제거된 조합이다. 둘째, 구성 요소 저장소 손상 또는 기능 제공 정책 제한이다. 셋째, 기업 정책으로 기능 노출이 차단된 상태이다.
구성 요소 저장소를 점검·복구하다.
DISM /Online /Cleanup-Image /ScanHealth DISM /Online /Cleanup-Image /RestoreHealth sfc /scannow주의 : DISM 복구는 환경에 따라 WSUS/프록시 영향으로 실패할 수 있으므로, 기업 환경에서는 업데이트 소스 정책을 함께 점검해야 한다.
3-3. “열리긴 하는데 바로 꺼짐/무응답”일 때 로그 관점으로 접근하다
즉시 종료나 무응답은 “격리 컨테이너 생성 실패”인 경우가 많으므로, 이벤트 뷰어에서 관련 이벤트를 확인하다.
eventvwr.msc확인 위치는 다음을 우선 적용하다.
| 로그 위치 | 확인 목적 | 대표 단서 |
|---|---|---|
| Windows 로그 → 응용 프로그램 | Edge/격리 앱 충돌 여부를 확인하다 | 모듈/예외 코드로 충돌 지점을 찾다 |
| Windows 로그 → 시스템 | 하이퍼바이저/드라이버 오류를 확인하다 | 가상화 드라이버 초기화 실패를 찾다 |
| 응용 프로그램 및 서비스 로그 | 보안/격리 관련 채널을 추가로 확인하다 | 정책 차단 흔적을 찾다 |
4. 기업 환경에서 자주 걸리는 이슈와 해결 방향
4-1. 프록시/SSL 검사 환경에서 “격리 창만 접속 실패”가 발생하다
일반 브라우저는 접속되는데 Application Guard 격리 창에서만 접속이 실패하면, 격리 환경의 프록시 인증 또는 루트 인증서 신뢰 체인이 분리된 것이 원인일 수 있다. 이 경우는 “프록시 예외 도메인 구성”, “격리 환경에서도 신뢰 가능한 인증서 배포”, “SSL 검사 정책 예외” 같은 네트워크/보안팀 조치가 필요하다.
주의 : 인증서·예외 정책은 보안 수준에 직접 영향을 주므로, 업무 필요성·위험도를 정량화하여 변경 승인 절차를 갖추는 것이 바람직하다.
4-2. 타사 가상화 제품과 충돌하다
VMware, VirtualBox, 일부 보안 샌드박스/격리 제품은 Hyper-V와 충돌하거나 공존 모드가 필요하다. 공존 모드 지원 여부는 제품 버전에 따라 달라질 수 있으므로, “Hyper-V 공존 지원 버전”을 우선 적용하고 Windows Hypervisor Platform 기능을 함께 점검하는 방식으로 접근하다.
4-3. 보안 기준 적용 후 정책으로 실행 경로가 막히다
보안 기준에서 스크립트/앱 실행 제어, 네트워크 격리, 스토어 앱 제한, 드라이버 로딩 제한이 강해지면 Application Guard가 내부적으로 필요한 구성요소를 호출하지 못할 수 있다. 이 경우는 “기능을 끄는 방식”이 아니라 “해당 기능이 요구하는 최소 허용 목록을 정책에 반영하는 방식”으로 해결해야 한다.
5. 대체 보안 설계(기능이 제거된 OS 조합 또는 업데이트 중단 환경 포함)
5-1. Edge 보안 기능 중심으로 전환하다
Application Guard가 더 이상 제공되지 않거나 업데이트되지 않는 환경이라면, 브라우저 격리 의존도를 낮추고 Edge의 기본 보안 기능, 엔드포인트 방어, 애플리케이션 제어를 조합하는 방식이 일반적이다. 예를 들어 SmartScreen, 다운로드 평판, 웹 위협 차단, 공격 표면 감소 규칙(ASR), Windows Defender Application Control(WDAC) 같은 통제를 조직 표준으로 정렬하다.
5-2. 격리 목적이라면 Windows Sandbox 등 대체 실행 경로를 고려하다
업무 요구가 “의심 파일/사이트를 분리된 환경에서 열어야 함”이라면, OS에서 제공되는 다른 격리 실행 경로를 사용해 목적을 달성하는 것이 현실적이다. 단, 조직 정책과 호환성, 데이터 반출 통제, 운영 절차를 함께 설계해야 한다.
주의 : 대체 경로는 ‘편의’가 아니라 ‘통제’가 핵심이므로, 예외 운영이 늘어나지 않도록 표준 운영 절차와 책임 구분을 문서화해야 한다.
6. 현장 적용을 위한 최종 점검표(요약)
| 구분 | 점검 질문 | 예/아니오에 따른 다음 조치 |
|---|---|---|
| 지원 여부 | 현재 Windows 11 버전에서 기능이 제공되는가? | 아니오이면 대체 보안 설계로 전환하다 |
| 설치 상태 | Windows 기능에 Application Guard가 존재하고 활성화되었는가? | 아니오이면 Enable 후 재부팅하다 |
| 가상화 | CPU 가상화가 BIOS에서 활성화되었는가? | 아니오이면 BIOS/UEFI에서 활성화하다 |
| 충돌 | 타사 가상화/보안 격리 제품과 충돌 가능성이 있는가? | 예이면 공존 모드/업데이트/기능 조합을 재정렬하다 |
| 네트워크 | 프록시/SSL 검사 환경인가? | 예이면 예외·인증서 배포·정책을 점검하다 |
FAQ
설치도 되어 있고 체크도 되어 있는데, 보호된 창이 아예 뜨지 않다. 무엇부터 보아야 하다?
OS 버전에서 기능이 제공되는지부터 확인해야 하다. 그 다음 기능 상태를 PowerShell로 확인하고, 가상화(BIOS/Hyper-V 계열)와 충돌(타사 가상화, 보안 기준 정책)을 순서대로 점검하는 것이 가장 빠르다.
Windows 기능 목록에서 Application Guard 항목이 보이지 않다. 고장인가?
고장이라기보다 OS 버전에서 기능이 제거된 조합이거나, 구성 요소 저장소 손상, 기업 정책 제한 가능성이 있다. winver로 버전을 확인한 뒤 DISM/SFC로 구성요소 복구를 시도하고, 그래도 항목이 없다면 기능 제공 정책과 OS 지원 여부를 결론내려야 하다.
보안 기준을 적용한 뒤부터만 실패하다. 되돌려야 하다?
무조건 되돌리기보다, 실패 원인이 되는 정책 항목을 특정하고 최소 허용으로 조정하는 방식이 바람직하다. 가상화 기반 보안, 앱 실행 제어, 네트워크 검사 정책이 대표적인 충돌 지점이므로 변경 전후 테스트 시나리오를 기준화해 재현성을 확보해야 하다.
기업 프록시 환경에서 격리 창만 접속이 안 되다. PC 문제인가?
격리 환경의 프록시 인증 또는 SSL 검사 체계와 신뢰 체인이 분리되어 발생하는 경우가 많다. 이 경우는 PC 단독 조치로 해결이 어렵고, 프록시 예외 정책과 인증서 배포 정책을 함께 점검해야 하다.