윈도우 자동 업데이트 완전히 죽이기

<죽여도 되살아나는 Windows Update 서비스>

윈도우 디펜더 제거, 보안과 성능 사이에서

현재 약간의 성능 향상을 위해 윈도우 디펜더를 완전히 제거한 상태에서 사용 중이다. 물론 무백신으로 사용할 정도로 보안 불감증은 아니다. 한국에서의 인지도는 매우 낮지만, 랜섬웨어 99.99% 방어가 가능한 후오롱 인터넷 시큐리티를 디펜더 대신 사용 중인데, 알다시피 디펜더를 완전히 삭제했을 때 가장 큰 문제는 윈도우 업데이트다.

언젠가부터 디펜더가 제거된 윈도우에서 보안 및 품질 업데이트 등의 중요 업데이트가 막혔다. 단, 디펜더를 완전히 제거하지 않고 단지 ‘사용 안 함’으로 설정한 윈도우는 문제없이 업데이트가 가능하고, 디펜더를 완전히 삭제했다고 하더라도 정기 품질 업데이트를 제외한 닷넷 프레임워크 같은 MS 제품과 보안 업데이트는 가능하다. 그러므로 딱히 문제는 없다.

1년에 한 번 정도 윈도우를 재설치한다고 가정했을 때, 굳이 예기치 않은 위험성을 내포한 업데이트를 꼬박꼬박 받을 필요는 없다고 본다. 업데이트를 설치할 때마다 Windows 폴더 용량 증가한 것 정리하는 것도 귀찮고, 업데이트 실패했을 때 복구하는 것은 더더욱 귀찮다.

좀비처럼 부활하는 Windows Update 서비스

지금까지 이런 걱정은 간단하게 서비스에서 Windows Update를 ‘사용 안 함’으로 설정함으로써 덜 수 있었다. 하지만, 얼마 전부터 Windows Update 서비스를 죽여도 죽여도 좀비처럼 되살아나기 시작했다. 되살아나는 것에서 그치지 않고, 업데이트를 강제로 다운로드 및 설치하게끔 만든 다음 트레이에 아이콘으로 귀찮게 알린다는 것이다. 문제는 디펜더가 삭제되어 있으므로 업데이트를 설치해도 위 사진처럼

업데이트를 완료할 수 없습니다. 변경 내용 취소 중 컴퓨터를 끄지 마십시오.

이런 짜증 나는 사태와 마주치게 된다.

Windows Update 서비스가 ‘사용 안 함’으로 설정해도 부활하는 원인은 아마도 최근에 설치한 KB5040427, 또는 Servicing Stack 업데이트 때문일지 모르겠지만, 아무튼 구글에서 찾은 ‘윈도우 자동 업데이트 방법 끄기‘ 정도로는 당최 해결할 수가 없어 Windows Update 서비스를 완전히 말살하는 다소 무식한 꼼수를 부려봤는데, 효과가 있었다.

Windows Update 완전히 끄기

윈도우 업데이트 작업이 이루어지는 핵심 폴더는 바로,

C:\Windows\SoftwareDistribution

라는 폴더인데, 오늘 사용한 편법은 이 폴더의 소유권을 SYSTEM에서 현재 로그인한 계정으로 변경하고, [사용 권한 항목]에 있는 계정들도 현재 로그인한 계정 하나만 남기고 깡그리 날려버리는 것이다.

「윈도우 폴더 소유자 변경 방법」 문서를 참고하여 위 사진처럼 현재 로그인한 계정 하나만 남기고 나머진 싹 다 삭제한다.

소유권을 변경할 때 유의할 점은 반드시 ’하위 컨테이너와 개체의 소유자 바꾸기‘에 체크하는 것을 잊지 말아야 한다는 것!

이제 Windows Update 서비스를 시작하면, “0xc8000408: 0xc8000408 오류로 로컬 컴퓨터에서 Windows Update 서비스를 시작하지 못했습니다.”라는 통쾌한 메시지와 함께 서비스가 시작되지 않는 것을 확인할 수 있다(이벤트 오류에도 기록됨).

이 오류는 File에 Access 하지 못했다는 의미다. 윈도우 서비스 대부분은 SYSTEM 계정으로 실행되는데 SYSTEM 계정이 (윈도우 업데이트에 필요한) SoftwareDistribution 폴더에 접근할 수 없으니 빌 게이츠 형님이 와도 소용없다!

비록 보잘 것 없지만 광고 수익(Ad revenue)은 블로거의 콘텐츠 창작 의욕을 북돋우는 강장제이자 때론 하루하루를 이어주는 즐거움입니다