Windows Sandbox 격리 실행 가이드: 안전한 테스트 환경 만들기
새 프로그램이나 첨부파일이 불안할 때, 가장 안전한 해법은 ‘내 PC와 분리된 공간’에서 먼저 시도해보는 것입니다. Windows Sandbox는 윈도우에 내장된 격리 데스크톱으로, 켜면 새 PC처럼 깨끗하고 닫으면 모든 흔적이 사라집니다. 이 글은 필수 요건 확인부터 켜는 방법, .wsb 설정으로 네트워크 차단·읽기전용 매핑까지 바로 따라 할 수 있도록 안내합니다.
Windows Sandbox, 한눈에 이해하기
Windows Sandbox는 하이퍼바이저 기반 가상화로 호스트와 분리된 임시 Windows 인스턴스를 띄웁니다. 기본값으로 클립보드 공유와 네트워크가 켜져 있어 편하게 파일을 붙여 넣고 웹에서 내려받아 시험할 수 있으며, 창을 닫는 즉시 설치된 앱·파일·상태가 모두 폐기됩니다. 특히 의심 파일을 실행하거나 낯선 웹사이트를 확인할 때, 네트워크를 끄고 호스트의 다운로드 폴더를 ‘읽기전용’으로 매핑하면 안전성이 크게 높아집니다.
시작 전 체크리스트(요건)
- Windows 10/11 Pro·Enterprise·Education 에디션(Windows Home 미지원)
- CPU 가상화(VT-x/AMD-V) BIOS/UEFI에서 활성화
- 메모리 4GB 이상(권장 8GB), 디스크 여유 1GB+, 듀얼코어 이상
- Windows 11 24H2에서는 일부 기본 스토어 앱(계산기·사진·메모장·터미널)이 Sandbox 안에 포함되지 않을 수 있음
위 요건이 충족되지 않으면 ‘Windows 기능’ 목록에 Sandbox가 보이지 않거나, 실행 시 오류가 발생할 수 있습니다. 작업 관리자(성능 탭)에서 ‘가상화: 사용’ 여부를 우선 확인해 두면 점검이 수월합니다.
설치·활성화 방법(두 가지)
방법 A — GUI(Windows 기능 켜기/끄기)
- 시작 메뉴에서 “Windows 기능 켜기 또는 끄기(OptionalFeatures.exe)”를 엽니다.
- 목록에서 Windows Sandbox 체크 → 확인 → 재부팅합니다.
- 재부팅 후 시작 메뉴에서 Windows Sandbox를 실행합니다.
방법 B — PowerShell(관리자)
Enable-WindowsOptionalFeature -FeatureName "Containers-DisposableClientVM" -All -Online명령 실행 후 재부팅이 요구되면 진행합니다. 이후 시작 메뉴에서 Sandbox를 검색·실행하면 기본 환경이 뜹니다.
기본 사용법: 격리 실행·되돌리기
호스트에서 실행파일(.exe)이나 압축(.zip)을 복사해 Sandbox 창에 붙여 넣은 뒤 설치·실행하면 됩니다. 테스트 중 문제가 생겨도 호스트에는 영향이 없고, Sandbox 창을 닫으면 설치 내역과 파일이 모두 삭제됩니다. Windows 11 22H2 이상에서는 Sandbox 내부에서 재시작을 수행해도 테스트 상태가 유지되므로, 드라이버나 앱이 재부팅을 요구할 때 유용합니다. 다만 Sandbox를 완전히 닫으면 모든 상태는 초기화됩니다.
.wsb 설정으로 안전성·편의성 높이기(최소 예시 3가지)
① 오프라인 격리 테스트(네트워크 차단 + 다운로드 폴더 읽기전용)
<Configuration>
<Networking>Disable</Networking>
<vGPU>Disable</vGPU>
<MappedFolders>
<MappedFolder>
<HostFolder>%USERPROFILE%\Downloads</HostFolder>
<SandboxFolder>C:\temp\downloads</SandboxFolder>
<ReadOnly>true</ReadOnly>
</MappedFolder>
</MappedFolders>
<LogonCommand>
<Command>explorer.exe C:\temp\downloads</Command>
</LogonCommand>
</Configuration>의심 파일은 Sandbox 내부 C:\temp\downloads에서 실행합니다. 네트워크를 끄고 vGPU를 끄면 노출면이 줄어들고, 읽기전용 매핑으로 호스트 파일 변경 가능성을 원천 차단합니다.
② 클립보드 차단(붙여넣기 제한)
<Configuration>
<ClipboardRedirection>Disable</ClipboardRedirection>
</Configuration>클립보드 공유가 불편하거나 보안 정책상 금지해야 한다면 위 설정을 사용합니다. 이때는 파일 전달을 읽기전용 매핑으로 대체하는 방식을 권장합니다.
③ 보호 모드 + 메모리 제한
<Configuration>
<ProtectedClient>Enable</ProtectedClient>
<MemoryInMB>4096</MemoryInMB>
</Configuration>AppContainer 격리를 적용해 RDP 세션 보안을 강화하고, 테스트 규모에 맞춰 메모리를 제한합니다. 고사양 설치 프로그램을 시험할 때는 값(예: 6144 또는 8192MB)을 조정하세요.
보안 팁·한계(필수 체크)
- 네트워크 기본값은 활성화입니다. 내부망 노출을 피하려면 .wsb에서 Disable로 바꾸세요.
- 폴더 매핑은 편리하지만 쓰기 허용 시 Sandbox 악성코드가 호스트 파일을 변경할 여지가 생깁니다. 테스트는 읽기전용으로 제한하세요.
- Windows Home 미지원입니다. 에디션을 확인하고 필요 시 업그레이드가 필요합니다.
- Windows 11 24H2에서 일부 기본 앱이 Sandbox에 미포함일 수 있습니다. 필요한 도구는 설치 파일을 함께 넣어 실행하세요.
FAQ
Q1. Windows Home에서도 쓸 수 있나요?
아니요. Windows Sandbox는 Pro·Enterprise·Education 에디션에서만 지원됩니다.
Q2. 설치 중 재부팅이 필요한 앱은 어떻게 테스트하나요?
Windows 11 22H2 이상은 Sandbox 내부 재시작 후에도 세션이 유지됩니다. 설치를 마치고 동작을 확인한 뒤 Sandbox 창을 닫으면 초기화됩니다.
Q3. 네트워크는 끄는 게 좋은가요?
의심 파일·스크립트라면 Disable을 권장합니다. 필요 시에만 일시적으로 기본값(Default)을 쓰되, 다운로드 폴더는 읽기전용으로 매핑하세요.
Q4. VM과 무엇이 다른가요?
별도 OS 설치·라이선스 없이 한 번에 켜고 끄는 일회용 Windows입니다. 무거운 개발·장기 환경은 VM이, 단발 테스트는 Sandbox가 효율적입니다.