이 증상이면 이 글을 먼저 보면 됩니다
Clash·Clash Verge Rev·Clash Meta 계열(코어 Mihomo) Windows 클라이언트를 설치·업데이트한 직후, 실행 파일이 갑자기 없어지거나 바로가기만 남는 경우가 있습니다. 트레이에 아이콘이 뜨지 않고, Windows 보안(Windows Defender) 알림에 「위협이 발견됨」「파일이 격리됨」 류의 문구가 함께 뜨면, 네트워크·구독 문제가 아니라 백신이 프록시 도구의 exe·dll·업데이트용 임시 파일을 오탐으로 잡은 가능성이 큽니다. 반대로 앱은 떠 있는데 7890 등 포트만 충돌하는 증상은 포트·mixed-port 점검 가이드 쪽이 맞고, 구독 URL은 갱신됐는데 UI만 그대로인 경우는 구독·캐시 글에서 다루는 흐름과 결이 다릅니다. 이 글은 「백신 때문에 클라이언트 본체가 사라짐/실행 불가」에 초점을 맞춥니다.
왜 Clash 쪽이 Defender에 자주 걸릴까
프록시·터널링 소프트웨어는 트래픽을 우회하고 로컬에 수신 소켓을 여는 것이 본질이라, 휴리스틱·클라우드 평가에서「정상」과「악성 루트킷·백도어 유사」 경계에 자주 올라갑니다. 특히 서명이 없는 빌드·사용자 지역이 다른 배포 zip·최신 릴리스 직후의 미확인 해시는 오탐률이 올라가기 쉽습니다. 이는 제작자의 악의라기보다, 보안 엔진이 행위를 보고 판단하는 구조 때문입니다. 회사·학교 그룹 정책·제3자 EDR이 Clash를 별도로 막는 경우도 있으나, 먼저 Windows에 내장된 Defender 흐름을 정리하는 것이 집·개인 PC에서 가장 복기하기 쉽습니다.
1단계: 격리(차단) 기록에서 Clash가 있는지 보기
Windows 10·11에서는 설정 > 개인 정보 보호 및 보안 > Windows 보안 > 바이러스 및 위협 방지로 이동합니다. 보호 기록 또는 차단·격리한 위협에 들어가면, 날짜·이름·경로·조치(격리, 제거 등)를 역순으로 볼 수 있습니다. Clash, Verge, Mihomo, clash-meta 등 본인이 방금 풀었던 경로와 맞는 항목이 있으면, 그 행의 세부 정보를 열어 어떤 파일이 히트했는지 확인하세요. 가끔 업데이트어가 풀어둔 임시 자식 exe만 격리되고 메인 런처는 남는 경우도 있으니, 한 건씩 살펴보는 편이 안전합니다.
2단계: 격리에서 복원과 예외(허용) 신뢰
보호 기록에서 해당 위협을 선택하면 작업으로 복원(허용)·검사에서 제외 등이 나올 수 있습니다. 복원은 격리함에 갇혀 있던 파일을 원래 위치로 돌리는 동작이고, 그 직후에도 실시간 보호가 다시 잡을 수 있으므로, 폴더 수준의 제외는 다음 단계에서 함께 구성하는 것이 좋습니다. UI 표현은 빌드(홈/프로)마다 달리 “허용” “신뢰” “이 위협을 보고”로 보일 수 있으나, 흐름은 동일합니다. 본인이 공식·신뢰하는 채널에서 내려받은 설치본이라는 전제하에 복원하세요(출처가 의심스럽다면 재다운로드가 더 낫습니다).
3단계: Clash가 깔린 폴더를 제외(화이트리스트)에 넣기
같은 바이러스 및 위협 방지 화면에서 설정 관리 또는 바이러스 및 위협 방지 설정을 연 뒤, 제외 / 검사에서 제외 항목을 찾습니다. 폴더를 추가할 때 Clash 전체를 덮는 상위 경로를 잡는 편이 유지보수에 유리합니다. 예를 들어 Program Files\... 아래 Clash Verge 설치 디렉터리, 또는 사용자 AppData\Local 쪽 앱 전용 경로가 흔합니다(클라이언트가 코어·리소스를 사용자 프로필에 풀기도 합니다). 제한적으로 exe 하나만 제외하면 업데이트로 새 경로의 파일이 다시 히트하는 경우가 있으니, 앱 루트 폴더를 묶는 방식이 재발을 줄이는 데 유리합니다. 다른 백신·EDR을 쓰는 경우, 그 제품 콘솔에도 동일한 제외를 맞춰 주어야 합니다.
4단계: (선택) 프로세스·확장자 수준
윈도우 보안이 자주 실행 직전의 동작만 보고 잡는다면, 일부 환경에서는 프로세스 기준 제외가 공식에 가깝게 노출됩니다(에디션·정책에 따라 UI가 다름). 확장자 전체를 제외하는 것은 보안이 크게 떨어지므로 권장되지 않지만, 클라이언트의 공식 런처·코어 파일명만 전체 경로와 함께 제외에 넣는 식이 더 흔합니다. 여기는 조직·가정PC마다 다르므로, 최소한 Clash 루트 폴더만으로 해결되는지 먼저 시험한 뒤, 필요한 것만 층을 더하세요.
5단계: Windows Defender가 아닌 “SmartScreen”일 때
다운로드한 setup·zip을 실행하는 순간 Microsoft Defender SmartScreen만 “알 수 없는 앱”이라고 막는 경우, 격리와는 결이 다릅니다. 추가 정보 → 실행 흐름, 또는 파일 우클릭 → 속성에서 차단 해제가 보이는지 확인하세요. SmartScreen·코드 서명·다운로드 구역(Zone.Identifier)을 정리한 뒤에도 실시간 방어가 별도로 잡는 일이 있으니, 실행이 통과한 직후에 다시 보호 기록을 한 번 훑는 습관이 좋습니다. 초기 설치 전반은 Clash Verge Rev Windows 가이드와 겹쳐 읽을 수 있습니다.
6단계: 복원이 꼬였을 때는 깨끗이 재설치
격리·부분 복원 탓에 dll·리소스가 절반만 남은 상태가 되면, 앱이 뜨다가 죽거나 코어 프로세스만 반복 실패할 수 있습니다. 이때는 제어판·설정에서 클라이언트를 제거한 뒤, 남은 폴더를 수동으로 지우고(프로필·구독을 백업했다면 보존), 제외를 먼저 등록한 다음 같은 경로에 다시 풀기를 권장합니다. 검증된 설치 패키지는 사이트의 Clash 다운로드에서 언어에 맞게 고르는 편이 안전하고, GitHub Release는 소스·투명성을 확인할 링크로 별도로 두면 됩니다. 기업 PC라면 IT 팀에 제외·허용을 서면 요청해야 할 수 있습니다.
7단계: 다시 켠 뒤에만 점검하는 것
클라이언트가 정상 기동하면, 시스템 프록시·TUN은 기존 튜토리얼 흐름을 따르면 됩니다. 포트 7890·mixed-port 이슈는 이전 7890 가이드에, 연결·규칙 로그는 로그·문제 해결 글로 이어집니다. Defender가 아니라 연결이 약한지 헷갈릴 때는, 그때는 노드·DNS·SNI 쪽을 보면 됩니다. 이 글의 목표는 앱이 백신 때문에 아예 죽는 단계를 끝내는 것입니다.
빠른 체크리스트(2026)
1) Windows 보안 → 바이러스 및 위협 방지 → 보호 기록에서 Clash 관련 격리를 찾는다.
2) 필요한 항목을 복원하고, 검사에서 제외에 앱 루트 폴더를 넣는다.
3) SmartScreen으로 막힌 설치包이면 차단 해제·서명·출처를 확인한다.
4) 파일이 더러우면 삭제 후 재설치하고, 제외를 먼저 넣는다.
5) 회사/학교 그룹 정책·EDR이 있으면 동일 루트를 거기에도 반영한다.
6) 앱이 뜨면 포트·구독은 별도 글로 넘어간다.
정리
Clash가 Windows Defender에 의해 격리되거나 오탐으로 취급받는 일은, 프록시 도구의 특성상 드물지 않은 사례입니다. 보호 기록에서 복원하고, 설치 디렉터리를 제외(화이트리스트)에 올리면 대부분의 “업데이트하니 사라졌다” 상황이 정리됩니다. SmartScreen과 실시간 방어는 층이 다르니, 둘 다 훑는 것이 좋고, 재설치 시에는 제외를 선행하는 편이 덜 꼬입니다. 대안 클라이언트나 코어는 많지만, 같이 오픈 생태를 쓰는 이상 안정성·투명한 업데이트 측면에서 Clash·Mihomo 쪽이 여전히 균형이 잘 잡힌 선택인 경우가 많습니다. 개념은 사용 설명서와 맞닿아 있고, 패키지는 다운로드 페이지에서 잡는 흐름이 일관됩니다. 절차를 끝냈다면, → Clash를 무료로 내려받아 Windows에서 다시 한번 실행 경로를 확인해 보세요.