어떤 증상을 말하는가

Clash 클라이언트에서 노드를 고르고 「시스템 프록시(System Proxy)」까지 켠 뒤에도, Microsoft Edge나 Google Chrome에서 IP 확인 페이지를 열어 보면 여전히 집 회선 그대로이거나, 해외 노드를 기대했는데 응답이 오지 않는 경우가 있습니다. 또 다른 패턴으로는 데스크톱용 브라우저는 어느 정도 따라오는데, Microsoft Store나 일부 UWP(스토어 앱)만 업데이트·콘텐츠 로딩이 되지 않거나 속도가 이상하게 느려지는 경우입니다.

이런 현상은 「구독이 잘못됐다」거나 「규칙만 틀렸다」고 단정하기 전에, 트래픽이 애초에 Clash의 로컬 프록시 포트(예: 127.0.0.1:7890)까지 도달하지 못하는지를 먼저 가려야 합니다. 특히 Windows 11에서는 시스템 설정의 프록시 항목, 브라우저의 자체 프록시 정책, 그리고 UWP가 기본적으로 막아 두는 루프백(loopback) 접근이 겹치면, 겉보기에는 Clash가 정상인데도 일부 앱만 빠져나가는 형태가 자주 나타납니다. 이 글에서는 그때마다 어디를 어떤 순서로 보면 되는지, Clash Windows 11 시스템 프록시 관련 검색으로 이 페이지를 찾은 분도 바로 따라 할 수 있게 정리했습니다.

왜 이런 일이 생기나

Clash가 제공하는 「시스템 프록시」는 간단히 말해 Windows에 「HTTP/HTTPS 트래픽은 이 주소의 프록시로 보내라」라고 등록해 주는 동작입니다. 그런데 실제로 그 설정을 읽는 방식은 앱마다 다릅니다. Chromium 기반 브라우저는 대체로 시스템 프록시를 따르지만, 사용자가 예전에 수동으로 프록시 확장 프로그램이나 고정 서버를 지정해 두었거나, 조직 정책으로 시스템 설정을 무시하도록 되어 있으면 Clash가 바꾼 값이 반영되지 않을 수 있습니다.

한편 UWP 앱은 보안 모델상 로컬 호스트로의 루프백 연결이 기본 차단되는 경우가 많습니다. Clash가 로컬에서 수신 대기하는 프록시는 결국 127.0.0.1 또는 이에 해당하는 루프백 주소이므로, 스토어 앱 입장에서는 「같은 PC 안의 다른 프로그램으로 가는 연결」이 됩니다. 이 경로가 허용되지 않으면 앱은 프록시를 전혀 쓰지 못하고 직접 외부로 나가려 하거나, 연결이 막혀 실패하는 식으로 나타납니다. 이것이 흔히 말하는 UWP 루프백 프록시 이슈이며, Clash Windows 11 시스템 프록시가 켜져 있어도 스토어 앱만 예외인 것처럼 보이는 대표 원인입니다.

ℹ️
참고: 모든 앱을 한 번에 끌어오려면 시스템 프록시만으로는 부족한 경우가 있어, TUN 모드처럼 커널 쪽에서 트래픽을 가로채는 방식을 쓰기도 합니다. 다만 TUN은 권한·드라이버·다른 VPN과의 충돌을 고려해야 하므로, 우선은 본문의 순서대로 시스템 프록시·브라우저·UWP만 점검하는 편이 부담이 적습니다. TUN 개요는 TUN 모드 가이드를 함께 참고하세요.

1단계: Windows 11에서 시스템 프록시가 실제로 켜졌는지

작업 표시줄에서 「설정 → 네트워크 및 인터넷 → 프록시」로 이동합니다. 「설정 사용」이 켜져 있고, 주소와 포트가 Clash 클라이언트에 표시된 값(예: 127.0.0.1과 HTTP 포트)과 일치하는지 확인하세요. Clash 쪽에서 시스템 프록시 토글을 껐다 켜 보면서 이 화면의 값이 같이 바뀌는지 보는 것도 좋습니다. 만약 여기서 아무것도 켜지지 않았다면, 클라이언트가 관리자 권한 부족·다른 보안 소프트웨어에 의해 레지스트리/설정 쓰기에 실패했을 가능성을 의심해 볼 수 있습니다.

또한 일부 사용자는 회사나 학교 PC에 그룹 정책이 걸려 있어, 사용자가 바꾼 프록시가 곧바로 덮어쓰이기도 합니다. 그런 환경에서는 로컬 Clash만으로는 시스템 전역 설정을 유지하기 어렵고, IT 정책을 벗어나지 않는 범위에서 TUN·브라우저 단독 설정 등 대안을 검토해야 합니다. 개인 PC라면 방화벽 제품이 「신뢰할 수 있는 앱만」 네트워크를 제어하는 모드로 Clash의 변경을 막고 있지 않은지도 함께 확인하세요.

2단계: Edge·Chrome이 시스템 설정을 따르는지

Microsoft Edge에서는 edge://settings/system 근처에서 프록시 관련 항목을 확인할 수 있습니다. Chrome도 chrome://settings/system에서 「컴퓨터의 프록시 설정을 엽니다」로 이어지는지, 또는 확장 프로그램이 자체 프록시를 강제하고 있지 않은지 봅니다. 프록시 스위치 확장이나 광고 차단 확장 중 일부는 별도의 PAC·고정 서버를 쓰기 때문에, Clash를 켠 뒤에도 예전 서버로만 나가는 착시가 생깁니다.

개발자 도구나 chrome://net-export 같은 도구까지 쓸 필요는 없고, 우선 「시스템 기본값 사용」에 가깝게 맞추고 확장을 잠시 끄고 IP 테스트 페이지를 다시 열어 보는 것만으로도 원인이 좁혀지는 경우가 많습니다. 새 프로필로 Edge·Chrome을 띄워 같은 사이트에 접속해 보면, 기존 프로필에 남은 정책 때문인지도 금방 갈립니다. 처음 Clash를 설치하고 구독을 넣는 절차는 설치·기본 설정 문서와 맞춰 두면 이후 이런 단계에서 헷갈릴 여지가 줄어듭니다.

3단계: UWP 루프백 예외(LoopbackExempt) 다루기

Microsoft Store, Xbox 앱, 일부 설정 앱 등은 UWP 샌드박스 안에서 동작합니다. 이때 Clash가 리슨하는 127.0.0.1 프록시로 가려면, Windows가 허용하는 루프백 예외 목록에 해당 앱의 패밀리 이름이 들어가 있어야 합니다. 관리자 권한이 있는 PowerShell이나 명령 프롬프트에서 CheckNetIsolation 유틸리티를 사용합니다.

먼저 현재 예외 목록을 보려면 다음과 같이 실행할 수 있습니다.

CheckNetIsolation LoopbackExempt -s

특정 앱 패키지에 대해 루프백을 허용하려면 -a-n=<패밀리 이름> 형식을 씁니다. 패밀리 이름은 앱마다 다르므로, 개발자나 커뮤니티에서 안내하는 값을 쓰거나, 시스템에 설치된 패키지 목록을 참고해 확인합니다. 예시는 이해를 돕기 위한 형태이며, 실제 값은 사용자 환경에 맞게 바꿔야 합니다.

CheckNetIsolation LoopbackExempt -a -n=Microsoft.WindowsStore_8wekyb3d8bbwe

여러 UWP 앱을 한꺼번에 허용하고 싶다는 요구는 흔하지만, 보안상 모든 앱에 루프백을 열어 두는 것은 신중해야 합니다. 실무에서는 문제가 되는 앱만 골라 예외를 추가하고, 증상이 사라졌는지 확인한 뒤 필요 최소한으로 유지하는 편이 좋습니다. 예외를 제거할 때는 -d 옵션으로 동일한 패밀리 이름을 지정합니다. 이 과정이 바로 많은 사용자가 검색하는 UWP 루프백 프록시 대응의 핵심입니다.

⚠️
주의: 관리자 권한 없이는 LoopbackExempt 변경이 적용되지 않을 수 있습니다. 또한 잘못된 패밀리 이름을 넣어도 오류 메시지가 명확하지 않을 수 있으니, 입력값을 한 글자씩 다시 확인하세요.

4단계: 그래도 안 되면 TUN·모드·규칙 점검

시스템 프록시와 UWP 루프백을 정리했는데도 특정 프로그램만 계속 직접 연결된다면, 그 프로그램이 아예 시스템 프록시 API를 무시하는지, 또는 Clash의 규칙 모드에서 해당 트래픽이 DIRECT로 빠지는지를 봐야 합니다. 클라이언트의 연결 로그를 잠시 켜 두고, 해당 앱이 접속하려는 도메인이 어떤 규칙에 매칭되는지 확인하면 원인 분리가 빨라집니다.

브라우저와 무관하게 시스템 전체를 한 경로로 모으고 싶다면 TUN 모드를 검토합니다. 앞서 말했듯 권한과 다른 네트워크 소프트웨어와의 상호작용을 신경 써야 하므로, TUN 가이드의 주의 사항을 읽은 뒤 켜는 것이 안전합니다. 규칙 기반 분할이 필요하면 규칙 분류 설정 글과 조합해 보세요.

5단계: 다른 VPN·가속기와의 충돌

상용 VPN, 게임 부스터, 일부 「네트워크 최적화」 유틸리티는 자체 가상 어댑터나 프록시를 등록합니다. 이들이 활성화된 상태에서는 Windows의 시스템 프록시 항목이 자주 바뀌거나, Clash가 쓰려는 포트와 충돌합니다. 문제를 재현할 때는 가능한 한 다른 터널형 앱을 종료하고, 작업 관리자에서 관련 프로세스가 남아 있지 않은지 확인한 뒤 Clash만 단독으로 켜 보세요.

또한 방화벽에서 Clash 실행 파일이 아웃바운드·인바운드 모두 허용되어 있는지, 「공용 네트워크」 프로필에서만 차단되는 프로필이 아닌지도 점검합니다. Wi-Fi 속성에서 네트워크를 「프라이빗」으로 표시해 두면 Windows Defender 방화벽 규칙이 달라지는 경우가 있어, 증상이 특정 장소에서만 난다면 그런 차이도 의심해 볼 만합니다.

한눈에 보는 점검 순서

  1. Clash에서 시스템 프록시가 실제로 ON인지, Windows 설정 화면의 주소·포트가 일치하는지 확인한다.
  2. Edge·Chrome에서 확장·고정 프록시·프로필 문제를 제거하거나 시스템 기본을 따르도록 맞춘다.
  3. Microsoft Store 등 UWP 앱에 한정된 문제면 CheckNetIsolation LoopbackExempt로 루프백 예외를 검토한다.
  4. 여전히 특정 앱만 직행이면 규칙 로그와 TUN 필요 여부를 본다.
  5. 다른 VPN·터널 앱과의 충돌, 방화벽 프로필을 정리한다.
팁: 증상을 기록할 때 「어떤 앱」「어떤 사이트」「시스템 프록시 ON/OFF 시 차이」를 짧게 메모해 두면, 이후 규칙을 손볼 때 큰 도움이 됩니다.

맺음말

Clash Windows 11 시스템 프록시가 기대대로 동작하지 않을 때는, 구독이나 노드 품질 이전에 「운영체제와 앱이 프록시 주소를 실제로 쓰고 있는가」를 확인하는 것이 첫 단추입니다. 브라우저는 시스템 설정을 따르는 경우가 많지만 예외도 흔하고, UWP는 UWP 루프백 프록시 제약 때문에 같은 PC의 Clash에도 닿지 못하는 경우가 있습니다. 위 순서대로 좁혀 가면 대부분 재현 가능한 원인에 도달할 수 있습니다.

Clash 계열 클라이언트는 GUI에서 시스템 프록시와 코어 로그를 한 화면에서 다룰 수 있어, 규칙·TUN·프록시 토글을 반복 실험하기에도 편합니다. 다른 도구에 비해 설정이 한곳에 모이는 편이라 일상적인 끊김을 줄이는 데 유리합니다. 최신 빌드와 설치 패키지는 Clash 공식 다운로드 페이지에서 받을 수 있습니다. → Clash를 무료로 내려받아 Windows 11 환경에서 시스템 프록시와 UWP까지 한 번에 점검해 보세요.