엑셀 매크로는 반복 작업을 자동화하는 강력한 도구지만, 잘못 사용하면 보안 위협에 노출될 수 있습니다. 실제로 많은 기업에서 매크로를 통한 악성코드 감염 사례가 보고되고 있으며, 이로 인해 매크로 사용 자체를 금지하는 조직도 늘어나고 있습니다. 하지만 올바른 보안 설정과 검증 절차를 거친다면 매크로는 업무 효율을 크게 높여주는 훌륭한 도구입니다. 이 글에서는 엑셀 보안 센터 설정 방법, 디지털 서명을 통한 매크로 검증 기법, 그리고 실무 환경에서의 안전 수칙을 상세히 다루겠습니다. 수년간 기업 현장에서 매크로 보안 컨설팅을 진행하며 축적한 실전 노하우를 바탕으로, 초보자도 쉽게 따라할 수 있도록 구성했습니다. 보안과 편의성, 두 마리 토끼를 모두 잡을 수 있는 방법을 알려드리겠습니다.
엑셀 보안 센터 설정 방법
엑셀의 보안 설정은 보안 센터에서 관리됩니다. 파일 탭을 클릭한 후 옵션으로 들어가면 좌측 메뉴에서 보안 센터를 찾을 수 있습니다. 보안 센터 설정 버튼을 누르면 상세 옵션이 나타나는데, 여기서 매크로 설정 메뉴가 핵심입니다. 기본적으로 네 가지 보안 수준이 제공됩니다. 가장 높은 수준은 모든 매크로를 알림 없이 사용 안 함으로 설정하는 것인데, 이는 보안은 강력하지만 업무용 매크로도 전혀 실행할 수 없어 실무에서는 비현실적입니다. 두 번째는 디지털 서명된 매크로를 제외한 모든 매크로를 사용 안 함으로 설정하는 옵션입니다. 이는 조직 내부에서 공식 배포하는 매크로에 서명을 적용했을 때 유용합니다. 세 번째이자 가장 권장되는 설정은 알림과 함께 모든 매크로를 사용 안 함으로 설정하는 것입니다. 이 옵션을 선택하면 매크로가 포함된 파일을 열 때마다 노란색 보안 경고 표시줄이 나타나며, 사용자가 직접 콘텐츠 사용을 승인해야 매크로가 실행됩니다. 이는 의심스러운 파일의 매크로는 차단하고, 신뢰할 수 있는 파일만 선택적으로 허용할 수 있어 보안과 편의성의 균형이 좋습니다. 네 번째는 모든 매크로를 사용함으로 설정하는 것인데, 이는 절대 권장하지 않습니다. 신뢰할 수 있는 위치 설정도 중요합니다. 특정 폴더를 신뢰할 수 있는 위치로 지정하면, 그 폴더에 저장된 파일의 매크로는 보안 경고 없이 자동으로 실행됩니다. 조직 내 공유 서버의 특정 경로를 지정하면 매번 승인 과정을 거치지 않아도 되어 편리합니다. 하지만 이 폴더에 대한 쓰기 권한은 관리자만 갖도록 설정해야 합니다. 추가로 VBA 프로젝트 개체 모델에 대한 액세스 신뢰 옵션도 있는데, 이는 다른 프로그램이 엑셀의 VBA 프로젝트를 조작할 수 있게 허용하는 설정입니다. 일반 사용자는 반드시 비활성화해야 하며, 개발자만 필요시에만 활성화해야 합니다.
디지털 서명을 통한 매크로 검증 기법
디지털 서명은 매크로의 출처와 무결성을 보증하는 전자 인증서입니다. 서명된 매크로는 작성자를 명확히 확인할 수 있고, 서명 이후 코드가 변조되지 않았음을 보장합니다. 디지털 서명을 적용하려면 먼저 인증서가 필요합니다. 공인인증기관에서 발급받는 상용 인증서가 가장 신뢰도가 높지만 비용이 발생합니다. 조직 내부용으로는 셀프사인 인증서를 만들어 사용할 수 있습니다. 윈도우에서는 Office 설치 시 함께 제공되는 SelfCert.exe 도구로 개인 인증서를 생성할 수 있습니다. 이 프로그램을 실행하고 인증서 이름을 입력하면 즉시 생성되며, 해당 컴퓨터의 인증서 저장소에 자동 등록됩니다. 매크로에 서명하는 과정은 간단합니다. VBA 편집기를 열고 도구 메뉴에서 디지털 서명을 선택한 후, 앞서 생성한 인증서를 선택하면 됩니다. 서명된 매크로 파일을 다른 사용자가 열면 게시자 정보가 표시되며, 신뢰할 수 있는 게시자로 추가할 것인지 묻습니다. 한 번 신뢰하면 해당 인증서로 서명된 모든 매크로는 이후 자동으로 실행됩니다. 주의할 점은 매크로 코드를 조금이라도 수정하면 서명이 무효화된다는 것입니다. 따라서 개발이 완전히 끝난 후 최종 버전에만 서명해야 합니다. 조직 차원에서 매크로를 배포할 때는 인증서 관리 정책이 필요합니다. IT 부서에서 공식 인증서를 발급하고, 승인된 개발자만 이 인증서로 서명할 수 있도록 통제해야 합니다. 또한 정기적으로 인증서를 갱신하고, 퇴사자의 인증서는 즉시 폐기하는 절차도 마련해야 합니다. 인증서의 유효기간도 고려해야 하는데, 만료된 인증서로 서명된 매크로는 경고가 표시되므로 갱신 주기를 미리 계획해야 합니다.
실무 환경에서의 안전 수칙
아무리 보안 설정을 철저히 해도 사용자의 부주의로 위험에 노출될 수 있습니다. 첫 번째 안전 수칙은 출처 불명의 엑셀 파일을 함부로 열지 않는 것입니다. 특히 이메일 첨부파일이나 메신저로 받은 파일은 각별히 주의해야 합니다. 파일 확장자도 확인해야 하는데, .xlsm이나 .xlsb는 매크로가 포함될 수 있는 형식이므로 신뢰할 수 있는 발신자인지 재확인해야 합니다. 의심스러운 파일은 매크로를 비활성화한 채로 먼저 내용을 확인하고, 정상적인 데이터 파일이라면 .xlsx 형식으로 다른 이름 저장하여 매크로를 제거하는 것이 안전합니다. 두 번째는 매크로 코드를 직접 검토하는 습관입니다. VBA 편집기에서 Alt+F11을 누르면 코드를 볼 수 있는데, 프로그래밍 지식이 없어도 의심스러운 키워드는 확인할 수 있습니다. Shell, CreateObject, WScript 같은 명령어가 있다면 외부 프로그램을 실행하거나 시스템을 조작할 가능성이 있으니 주의해야 합니다. URLDownloadToFile이나 InternetExplorer.Application 같은 코드는 인터넷에서 파일을 다운로드하거나 웹 접속을 시도하는 것이므로 의심해봐야 합니다. 세 번째는 정기적인 백업입니다. 매크로 실행 중 예기치 않은 오류나 악의적인 동작이 발생할 수 있으므로, 중요한 작업 전에는 반드시 파일을 백업해두어야 합니다. 네 번째는 최신 보안 업데이트 유지입니다. 마이크로소프트는 주기적으로 엑셀의 보안 취약점을 패치하므로, Windows Update와 Office 업데이트를 항상 최신 상태로 유지해야 합니다. 다섯 번째는 안티바이러스 소프트웨어 활용입니다. 대부분의 백신 프로그램은 악성 매크로를 탐지할 수 있으므로, 의심스러운 파일은 백신 검사를 먼저 수행하는 것이 좋습니다. 조직 환경에서는 그룹 정책으로 보안 설정을 중앙에서 관리하는 것도 효과적입니다. 모든 직원의 엑셀 보안 수준을 통일하고, 신뢰할 수 있는 위치도 중앙에서 지정하면 일관된 보안 정책을 유지할 수 있습니다.