원격 데스크톱(이하 RDP)을 사용하면 원격에서 PC나 서버에 접속하여 작업할 수 있습니다. 하지만 보안 문제나 접속 기록을 확인할 필요가 있을 때, RDP 접속 로그를 확인하는 방법을 알아두면 유용합니다.
Windows 이벤트 뷰어(Event Viewer) 를 활용하여 원격 데스크톱 접속 기록을 확인하는 방법을 최신 Windows 버전에 맞춰 상세히 알아보도록 하겠습니다.
참고 : 윈도우11 원격데스크톱 연결 방화벽 포트허용 차단해제
1. 원격 데스크톱 접속 로그 확인 방법
Windows에서는 이벤트 뷰어(Event Viewer) 를 이용해 RDP 접속 로그를 조회할 수 있습니다.
① 이벤트 뷰어 실행 방법
이벤트 뷰어를 실행하는 방법은 두 가지가 있습니다.
방법 1: 시작 메뉴에서 실행
- 시작 버튼 클릭
- 관리 도구 → 이벤트 뷰어(Event Viewer) 선택
방법 2: 실행 창을 이용 (빠른 실행 방법)
Win + R키를 눌러 실행 창 열기eventvwr.msc입력 후 Enter 키
2. 원격 데스크톱 관련 이벤트 로그 위치
이벤트 뷰어가 실행되면, 아래 경로를 따라가면 RDP 접속 기록을 확인할 수 있습니다.
응용 프로그램 및 서비스 로그 → Microsoft → Windows → TerminalServices-LocalSessionManager → Operational
✅ 참고
- Windows Server 환경에서는 Security 로그에서 추가적인 RDP 기록을 확인할 수 있습니다.
- 보안 정책에 따라 감사 로그(Audit Log)가 비활성화된 경우, 일부 로그가 기록되지 않을 수도 있습니다.
3. 접속 로그 필터링 및 조회
이벤트 로그가 많기 때문에, 특정 조건에 맞는 로그만 조회하려면 필터링 기능을 활용해야 합니다.
① 필터링 기능 실행
- 작업 창에서 “현재 로그 필터링(Filter Current Log)” 클릭
- 만약 작업 창이 보이지 않는다면 “보기(View)” → “사용자 지정(Custom)” 클릭 후 “작업 창(Task Pane)” 활성화
- 필터링 창에서 조회 조건 설정
- 날짜 범위: 최근 30일 등 원하는 기간 설정
- 이벤트 ID: 원격 데스크톱 관련 이벤트 ID 입력
- 확인(OK) 버튼 클릭하여 필터 적용
4. 원격 데스크톱 관련 이벤트 ID 목록
각 이벤트 ID는 원격 데스크톱 접속의 상태를 나타냅니다.
| 이벤트 ID | 설명 |
|---|---|
| 21 | 원격 데스크톱 세션 로그온 성공 |
| 22 | 원격 데스크톱 세션에서 셸(shell) 시작됨 |
| 23 | 원격 데스크톱 세션 로그오프 성공 |
| 24 | 원격 데스크톱 세션 연결 끊김 (사용자가 연결 해제) |
| 25 | 원격 데스크톱 세션 다시 연결 성공 (재접속) |
5. RDP 접속 로그 예제 및 확인 방법
① 특정 기간 동안 RDP 접속 기록 확인 (예: 최근 30일)
- 이벤트 뷰어 실행
- “TerminalServices-LocalSessionManager → Operational” 로그 선택
- 필터링 기능을 사용하여 이벤트 ID 21, 25를 선택
- 조회된 이벤트 중, 특정 로그를 클릭하면 세부 정보 확인 가능
② 접속한 사용자 및 IP 주소 확인
조회된 이벤트 로그를 선택하면 아래와 같은 정보를 확인할 수 있습니다.
- 로그온한 사용자 계정 (예:
Administrator,User1) - 접속한 IP 주소 (예:
192.168.1.100) - 로그온 시간
✅ 참고
- Windows Server의 보안(Security) 로그에서도 원격 접속 기록을 확인할 수 있습니다.
- 이벤트 ID 4624 (로그온 성공), 4634 (로그오프) 등을 함께 확인하면 더욱 정확한 정보를 얻을 수 있습니다.
6. 보안 강화 및 추가 설정 방법
① 원격 데스크톱 접속을 허용할 사용자 제한하기
보안 강화를 위해 특정 사용자만 원격 접속할 수 있도록 설정할 수 있습니다.
🔹 설정 방법
- 실행 창(
Win + R) →gpedit.msc입력 후 실행 - 로컬 그룹 정책 편집기(GPEDIT)에서 아래 경로 이동
컴퓨터 구성→Windows 설정→보안 설정→로컬 정책→사용자 권한 할당- “원격 데스크톱 서비스를 통한 로그온 허용” 항목에서 허용할 사용자만 추가
② 원격 데스크톱 포트 변경하기 (보안 강화)
기본적으로 RDP는 TCP 포트 3389를 사용하지만, 보안 강화를 위해 다른 포트로 변경할 수 있습니다.
🔹 설정 방법
- 실행 창(
Win + R) →regedit입력 후 실행 - 레지스트리 편집기에서 아래 경로 이동
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
- “PortNumber” 값을 원하는 포트 번호(예: 50000)로 변경
- 변경 후 재부팅 필요
✅ 참고
- 변경한 포트는 방화벽에서 허용해야 정상적으로 접속할 수 있습니다.
- 보안 강화를 위해 원격 데스크톱 네트워크 수준 인증(NLA) 활성화도 고려할 수 있습니다.
7. 원격 데스크톱 접속 로그 확인의 중요성
원격 데스크톱(RDP)을 사용할 때 누가, 언제, 어디서 접속했는지 확인하는 것은 보안상 매우 중요합니다.
이번 글에서는 Windows 이벤트 뷰어를 활용한 RDP 접속 로그 확인 방법과 함께 필터링 방법, 이벤트 ID별 의미, 보안 강화 팁까지 상세히 설명했습니다.
✅ 요약 정리
- 이벤트 뷰어(Event Viewer)를 활용하여 RDP 접속 기록 확인 가능
- TerminalServices-LocalSessionManager → Operational 로그에서 접속 정보 확인
- 이벤트 ID 21(로그온 성공), 25(다시 연결) 등을 필터링하여 확인
- 접속한 사용자 및 IP 확인 가능
- 보안을 위해 접속 가능 사용자 제한, 포트 변경 등의 추가 조치 고려
💡 보안 강화를 위해 정기적으로 원격 접속 로그를 점검하고, 불필요한 원격 접속을 차단하는 것이 중요합니다.
참고 : 원격데스크톱 연결 CredSSP 암호화 Oracle 수정 때문일 수 있습니다.
📌 추가 질문이 있다면 댓글로 남겨 주세요! 😊