엑셀 매크로는 반복적인 작업을 자동화하여 업무 효율을 극대화할 수 있는 강력한 기능입니다. 하지만 이 매크로 기능을 악용하여 사용자 컴퓨터에 피해를 입히는 악성코드가 유포될 수 있어, 엑셀 프로그램은 기본적으로 엄격한 보안 설정을 적용하고 있습니다. 2025년 현재 시점에서도 엑셀 매크로 관련 보안 위협은 여전히 중요하게 다뤄지고 있으며, 특히 2024년까지 발생했던 보안 사고들을 바탕으로 Microsoft는 지속적으로 보안 기능을 업데이트하고 있습니다. 따라서 사용자는 자신의 업무 환경에 맞게 매크로 보안 설정을 이해하고 관리하는 것이 매우 중요합니다. 본 가이드에서는 엑셀 매크로의 기본적인 보안 개념부터, 실제 환경에 맞는 설정 방법, 그리고 안전하게 매크로를 사용하는 최신 팁까지 상세히 알려드립니다.
📚 함께 읽으면 좋은 글
엑셀 매크로 보안의 기본 원리 및 위험성 이해하기 상세 더보기
엑셀 매크로는 Visual Basic for Applications(VBA)라는 프로그래밍 언어를 기반으로 작동합니다. 사용자가 기록하거나 직접 작성한 VBA 코드는 엑셀 파일 내에 저장되며, 특정 조건(예: 버튼 클릭, 파일 열기 등)이 충족될 때 실행됩니다. 이 과정에서 매크로는 파일 시스템 접근, 인터넷 통신, 다른 프로그램 실행 등 컴퓨터의 다양한 리소스에 접근할 수 있는 권한을 가집니다. 이러한 높은 접근 권한 때문에 악의적인 코드가 매크로에 포함될 경우 심각한 보안 위험을 초래할 수 있습니다. 예를 들어, 랜섬웨어 감염, 개인 정보 탈취, 시스템 파괴 등의 위협이 현실적으로 존재합니다.
2024년에도 매크로를 이용한 피싱 및 악성코드 유포 시도가 꾸준히 보고되었으며, 특히 신뢰할 수 없는 출처의 엑셀 파일에 대한 경계가 더욱 중요해졌습니다. Microsoft는 기본적으로 모든 매크로의 실행을 차단하고, 사용자가 신뢰하는 출처의 파일에 대해서만 예외적으로 실행을 허용하는 ‘신뢰 센터(Trust Center)’ 설정을 통해 보안을 관리합니다.
사용자는 자신이 열고자 하는 엑셀 파일이 신뢰할 수 있는 사람이나 기관으로부터 왔는지, 그리고 매크로를 실행해야 할 합당한 이유가 있는지 항상 확인해야 합니다.
엑셀 신뢰 센터를 활용한 매크로 보안 설정 방법 확인하기
엑셀 매크로 보안의 핵심은 ‘신뢰 센터’ 설정입니다. 이 설정을 통해 사용자는 매크로의 실행 여부를 제어할 수 있습니다. 엑셀의 신뢰 센터에 접근하는 경로는 보통 ‘파일’ > ‘옵션’ > ‘신뢰 센터’ > ‘신뢰 센터 설정’입니다.
신뢰 센터 내의 ‘매크로 설정’에는 일반적으로 네 가지 주요 옵션이 있습니다.
- 모든 매크로 제외(알림 표시 안 함): 가장 안전한 설정입니다. 모든 매크로 실행을 차단하며, 어떠한 알림도 표시하지 않습니다. 신뢰할 수 있는 환경이 아닌 이상 이 설정을 권장합니다.
- 알림 표시 없이 매크로 제외: 매크로를 실행하지 않지만, 사용자에게 알림은 줍니다. 이 알림을 통해 사용자는 수동으로 매크로 실행을 허용할 수 있습니다.
- 디지털 서명된 매크로만 포함: 매크로에 디지털 서명이 있는 경우에만 실행을 허용하고, 서명이 없는 매크로는 차단합니다. 공신력 있는 인증 기관에서 발급받은 디지털 서명은 매크로 제작자의 신원을 보증하므로, 이 옵션은 보안과 편의성을 동시에 확보하는 좋은 절충안입니다.
- 모든 매크로 포함(권장하지 않음, 위험한 코드 실행 가능): 모든 매크로를 아무런 경고 없이 실행합니다. 보안상 가장 위험한 설정이며, 사용자가 매크로의 출처와 안전성을 100% 확신할 수 있는 경우에만 사용해야 합니다.
대부분의 기업 및 개인 사용자에게는 ‘디지털 서명된 매크로만 포함’ 또는 ‘알림 표시 없이 매크로 제외’ 설정을 사용하는 것이 권장됩니다. 필요한 매크로가 있다면, 해당 매크로를 포함한 파일의 출처를 확인한 후 일시적으로 허용하거나, 파일 출처를 ‘신뢰할 수 있는 위치’로 등록하는 방법을 사용하는 것이 안전합니다.
매크로를 안전하게 사용하기 위한 신뢰할 수 있는 위치 설정 보기
매크로 보안을 유지하면서도 업무에 필요한 엑셀 파일을 편리하게 사용하려면 ‘신뢰할 수 있는 위치(Trusted Locations)’를 설정하는 것이 효과적입니다. 신뢰 센터 설정 내 ‘신뢰할 수 있는 위치’ 섹션에서 사용자가 지정한 폴더에 저장된 엑셀 파일은 매크로 보안 수준과 상관없이 매크로가 실행되도록 허용됩니다.
이 기능의 장점은 다음과 같습니다:
- 편의성 향상: 매번 파일마다 수동으로 매크로 실행을 허용할 필요가 없습니다.
- 제한적 허용: 특정 폴더에 국한하여 매크로 실행을 허용하므로, 인터넷이나 이메일에서 다운로드한 무작위 파일의 매크로가 자동으로 실행되는 것을 방지할 수 있습니다.
신뢰할 수 있는 위치를 설정할 때는 다음 사항을 반드시 지켜야 합니다:
- 네트워크 드라이브나 공유 폴더를 지정할 경우, 해당 폴더의 접근 권한이 엄격하게 관리되는지 확인해야 합니다.
- 절대 다운로드 폴더나 바탕 화면과 같이, 외부 파일이 쉽게 저장될 수 있는 공용 폴더는 신뢰할 수 있는 위치로 지정하지 않아야 합니다.
- 개인적인 업무용으로 사용하며 보안이 확실한 로컬 드라이브의 특정 폴더만을 지정하는 것이 가장 안전합니다.
디지털 서명을 이용한 엑셀 매크로 신뢰성 확보 방법 신청하기
전문적인 환경이나 기업 내에서 매크로를 개발하고 배포할 경우, 디지털 서명(Digital Signature)을 사용하는 것이 가장 권장되는 보안 방법입니다. 디지털 서명은 매크로를 작성한 개발자 또는 조직의 신원을 보증하고, 매크로 파일이 서명된 이후 변조되지 않았음을 증명해줍니다.
작동 원리는 다음과 같습니다:
- 매크로 개발자가 공신력 있는 인증 기관(CA)으로부터 코딩 서명 인증서(Code Signing Certificate)를 구매합니다.
- 이 인증서를 사용하여 엑셀 매크로 프로젝트에 서명을 합니다.
- 사용자가 서명된 엑셀 파일을 열면, 엑셀은 인증서를 확인하여 개발자의 신원을 확인하고 파일의 무결성을 검증합니다.
사용자가 신뢰 센터 설정에서 ‘디지털 서명된 매크로만 포함’을 선택했을 경우, 이 서명이 유효한 매크로만 자동으로 실행됩니다. 이는 매크로의 안전성을 높이고, 사용자가 악성 코드로부터 보호받을 수 있도록 돕는 매우 효과적인 방법입니다. 특히 조직 내부에서 자체적으로 개발한 매크로를 배포할 때, 이 방법은 보안 경고를 최소화하면서도 보안 수준을 높일 수 있는 최적의 솔루션입니다.
매크로 파워 유저를 위한 고급 보안 설정 및 팁 보기
매크로를 자주 사용하거나 직접 개발하는 파워 유저라면, 기본 설정 외에도 몇 가지 고급 보안 설정을 숙지할 필요가 있습니다. 이러한 설정은 매크로의 잠재적인 위험을 더욱 세밀하게 통제하는 데 도움이 됩니다.
- VBA 프로젝트 개체 모델 액세스 신뢰(Trust access to the VBA project object model): 신뢰 센터의 ‘매크로 설정’ 하단에 있는 이 옵션은 다른 프로그램이 VBA 프로젝트에 프로그래밍 방식으로 접근할 수 있도록 허용합니다. 매크로가 다른 매크로를 수정하거나 생성하는 등의 고급 기능이 필요하지 않다면, 이 옵션은 해제된 상태를 유지하는 것이 보안에 유리합니다. 이 옵션이 활성화되면 악성 코드가 VBA 코드를 조작할 가능성이 열리기 때문입니다.
- 매크로 경고 메시지 이해: 엑셀에서 ‘매크로를 사용할 수 없도록 설정했습니다’와 같은 노란색 보안 경고가 뜰 경우, 섣불리 ‘콘텐츠 사용’ 버튼을 누르기 전에 반드시 파일의 출처와 매크로의 필요성을 재확인해야 합니다.
- 최신 엑셀 버전 유지: Microsoft는 매크로 관련 보안 취약점을 지속적으로 패치하고 있습니다. 엑셀 프로그램을 항상 최신 버전으로 업데이트하여 알려진 보안 위험으로부터 시스템을 보호해야 합니다. 2025년 현재에도 이전 버전의 취약점을 노린 공격이 발생할 수 있습니다.
매크로를 사용하면서 보안을 완벽하게 유지하는 가장 좋은 방법은, 사용자가 직접 매크로 코드를 검토하거나 최소한 신뢰할 수 있는 개발자가 작성했음을 확인하는 과정을 거치는 것입니다.
📌 추가로 참고할 만한 글
엑셀 매크로 보안 설정 관련 자주 묻는 질문 FAQ
Q1: 엑셀 매크로 보안을 가장 안전하게 유지하는 설정은 무엇인가요?
A: 가장 안전한 설정은 ‘모든 매크로 제외(알림 표시 안 함)’입니다. 이 경우 모든 매크로 실행이 차단되어 악성 코드 감염 위험이 원천적으로 차단됩니다. 매크로를 사용해야 하는 경우라면, ‘디지털 서명된 매크로만 포함’을 선택하고, 공신력 있는 서명이 있는 매크로만 사용하는 것이 보안과 업무 효율의 균형을 맞추는 가장 좋은 방법입니다.
Q2: 신뢰할 수 있는 위치를 설정하면 정말 안전한가요?
A: 신뢰할 수 있는 위치는 보안 수준이 확실히 통제되는 특정 폴더 내의 파일에 한해서만 매크로 실행을 허용하는 방법이므로 편리성을 높여줍니다. 하지만 그 위치에 악의적인 엑셀 파일이 저장된다면 보안 시스템이 작동하지 않으므로, 해당 위치를 철저하게 관리하고 외부에서 온 파일을 함부로 저장하지 않는 것이 중요합니다.
Q3: 매크로가 포함된 파일을 열 때마다 경고가 뜨는데, 이 경고를 없애려면 어떻게 해야 하나요?
A: 보안 경고를 없애는 가장 좋은 방법은 해당 파일을 신뢰할 수 있는 위치에 저장하거나, 매크로에 유효한 디지털 서명을 적용하는 것입니다. 만약 파일이 이메일 첨부 파일 등으로 왔다면, 파일 속성에서 ‘차단 해제’ 옵션을 설정하는 방법으로도 일시적인 경고를 해제할 수 있습니다. 그러나 매번 경고를 무시하는 것은 보안상 매우 위험하므로, 파일의 출처와 안전성을 확인한 후 조치해야 합니다.
Q4: 2025년 기준으로 매크로를 이용한 새로운 형태의 공격이 있나요?
A: 2024년을 넘어 2025년에도 공격자들은 매크로 사용을 유도하는 사회 공학적 기법을 계속해서 발전시키고 있습니다. 특히, ‘Office 365 보안 경고’ 등을 사칭하여 사용자를 속이는 피싱 공격이 많아지고 있습니다. 또한, 매크로를 이용해 시스템의 설정이나 보안 정책을 우회하려는 시도도 지속되고 있습니다. 가장 중요한 것은 ‘알 수 없는 출처’에서 온 파일은 절대 열거나 매크로 실행을 허용하지 않는 것입니다.