윈도우 10에서 로그인 시간을 어떻게 확인하나요?

0 조회수
윈도우 10 로그인 시간 확인 방법은 시스템 내부의 이벤트 뷰어 메뉴에서 로그온 기록을 조회합니다. 작업 관리자 성능 항목에서 컴퓨터의 현재 가동 시간을 정확하게 확인합니다. 파워쉘 프로그램에 특정 부팅 관련 명령어를 입력하여 마지막 접속 시간을 출력합니다.
의견 0 좋아요
이런 질문도 있으신가요?더 많이

윈도우 10 로그인 시간 확인 방법: 세 가지 도구로 시스템 기록 조회하기

윈도우 10 로그인 시간 확인 절차는 컴퓨터의 보안 상태를 점검하고 비인가 사용자의 접근 여부를 파악하는 중요한 과정입니다. 언제 누군가 시스템에 접속했는지 정확하게 알지 못하면 소중한 개인 정보가 유출되거나 시스템 설정이 무단으로 변경되는 위험에 직면합니다. 따라서 안전한 운영체제 관리를 위해 기록 조회 방식을 자세히 살펴보고 올바른 대처 방법을 확인하기 바랍니다.

윈도우 10에서 로그인 시간을 확인해야 하는 이유와 가장 빠른 방법

컴퓨터를 언제 켰는지, 혹은 누군가 내가 없는 사이에 내 PC를 사용했는지 확인하고 싶을 때가 있습니다. 윈도우 10은 사용자가 로그인할 때마다 그 기록을 시스템 내부에 아주 세밀하게 저장하고 있습니다. 하지만 많은 사용자가 작업 관리자 가동 시간 확인 방법으로 단순히 컴퓨터가 켜진 시간만 확인하고는 실제 로그인 시간이라고 착각하곤 합니다. 사실 부팅 시간 và 실제 로그인 시간 사이에는 아주 중요한 차이가 있으며, 이를 무시하면 잘못된 정보를 얻게 될 수 있습니다. 이 글에서는 가장 정확한 기록인 이벤트 뷰어 활용법부터 전문가들이 선호하는 파워쉘 명령어까지 단계별로 살펴보겠습니다. 특히 뒤에서 설명할 작업 관리자의 함정을 조심해야 합니다. [4]

저도 예전에 동생이 제 컴퓨터로 몰래 게임을 하는지 확인하려다가 이 기록을 찾는 법을 몰라 한참을 헤맸던 적이 있습니다. 단순히 컴퓨터를 켠 시간만 봐서는 동생이 언제 로그인을 했는지 알 수 없었죠. 시행착오 끝에 찾아낸 방법은 생각보다 간단했지만, 그 원리를 아는 것이 중요했습니다. 기록은 거짓말을 하지 않습니다.

이벤트 뷰어를 통한 가장 정확한 로그인 기록 확인법

이벤트 뷰어는 윈도우 운영체제에서 발생하는 모든 일을 기록하는 블랙박스와 같습니다. 가장 정밀한 방법이지만 처음 보는 분들에게는 인터페이스가 다소 복잡하게 느껴질 수 있습니다. 하지만 핵심인 이벤트 뷰어 4624 사용법만 기억하면 누구나 쉽게 로그인 성공 기록을 찾을 수 있습니다.

단계별 조회 절차: 이벤트 ID 4624 찾기

우선 키보드에서 Windows 키 + R을 눌러 실행 창을 켭니다. 여기에 eventvwr을 입력하고 엔터를 누르면 이벤트 뷰어가 나타납니다. 왼쪽 패널에서 Windows 로그 항목을 확장한 뒤 보안(Security)을 클릭하세요. 수천 개의 로그가 쏟아져 나올 텐데, 여기서 우측의 현재 로그 필터링을 선택합니다. 이벤트 ID 입력 칸에 4624를 입력하고 확인을 누르면 오직 로그인 성공 기록만 필터링되어 나타납니다.

이 방법은 대부분의 로그인 시도를 추적해냅니다.[2] 하지만 로그가 너무 많아 속도가 느려질 때가 있습니다. (이때는 인내심이 조금 필요합니다.) 필터링된 결과에서 각 항목을 클릭하면 하단 상세 정보창에서 정확한 날짜와 시간을 확인할 수 있습니다. 특히 로그온 유형(Logon Type)이라는 항목을 유심히 보세요. 숫자 2는 로컬 로그인을, 숫자 10은 원격 데스크톱 로그인을 의미합니다. 이를 통해 어떤 방식으로 로그인했는지까지 파악할 수 있습니다.

로그온 유형(Logon Type)의 숨겨진 의미

이벤트 뷰어의 상세 정보를 보면 로그온 유형이라는 데이터가 포함되어 있습니다. 단순히 시간만 보는 것을 넘어, 상황을 이해하는 데 큰 도움이 됩니다. 유형 2 (Interactive): 사용자가 직접 키보드와 마우스를 이용해 로그인한 경우입니다. 유형 7 (Unlock): 화면 잠금을 해제하고 다시 들어온 경우입니다. 점심 식사 후 복귀한 시간을 알 수 있습니다. 유형 10 (RemoteInteractive): 외부에서 원격으로 접속한 기록입니다. 보안 점검 시 가장 먼저 확인해야 할 부분입니다.

작업 관리자의 함정: 부팅 시간과 로그인 시간의 차이

가장 흔하게 사용되는 방법은 작업 관리자의 성능 탭에서 작동 시간(Up time)을 확인하는 것입니다. Ctrl + Shift + Esc를 눌러 작업 관리자를 연 뒤 성능 탭의 CPU 항목을 보면 컴퓨터가 켜진 후 경과된 시간이 나옵니다. 하지만 여기서 큰 문제가 발생합니다. 윈도우 10에서 빠른 시작(Fast Startup) 기능이 기본적으로 활성화되어 있는 경우 때문입니다. [1]

빠른 시작 기능이 켜져 있으면 사용자가 컴퓨터를 종료해도 시스템은 완전한 종료가 아닌 하이버네이션(절전의 일종) 상태로 들어갑니다. 이로 인해 다음 날 컴퓨터를 켰을 때 작동 시간은 0부터 시작하지 않고 어제 사용한 시간에 이어서 표시됩니다. 심지어 24시간 넘게 켜져 있는 것으로 표시되기도 하죠. 저도 처음에는 컴퓨터가 며칠째 켜져 있는 줄 알고 깜짝 놀랐던 기억이 납니다. 작동 시간은 시스템 부팅 시점을 알려줄 뿐, 실제 사용자 로그인 시간을 보장하지 않습니다. 진짜 정보를 원한다면 앞서 말한 이벤트 뷰어나 파워쉘을 써야 합니다.

PowerShell 명령어로 5초 만에 확인하기

마우스 클릭이 번거롭다면 파워쉘(PowerShell)을 추천합니다. 전문가들이 가장 선호하는 방식이며 속도가 매우 빠릅니다. Windows 키 + X를 누른 뒤 Windows PowerShell(관리자)을 선택하세요.

명령창에 Get-WinEvent -FilterHashtable @{ LogName=Security; Id=4624 } -MaxEvents 5 | Select-Object TimeCreated를 입력해 보세요. 최근 5건의 성공적인 로그인 시간만 깔끔하게 출력됩니다. 이 명령어는 수천 개의 로그를 일일이 눈으로 훑을 필요 없이 핵심 데이터만 뽑아주기 때문에 효율성이 크게 향상됩니다. [3] 타이핑 한 줄로 모든 기록이 정리되는 기분은 꽤 짜릿합니다.

로그 기록이 보이지 않을 때 해결 방법

이벤트 뷰어를 열었는데 보안 로그가 비어 있거나 기록이 짧은 경우가 있습니다. 이는 시스템의 로그 보관 용량이 꽉 찼거나 로그 감사 정책이 꺼져 있기 때문입니다. 윈도우 10 홈 에디션이 아닌 프로(Pro) 이상의 버전을 사용 중이라면 그룹 정책 편집기(gpedit.msc)를 통해 감사 정책을 강제로 켤 수 있습니다.

로컬 컴퓨터 정책 -> 컴퓨터 구성 -> Windows 설정 -> 보안 설정 -> 로컬 정책 -> 감사 정책으로 들어갑니다. 여기서 로그온 이벤트 감사를 찾아 성공 항목에 체크하세요. 이제부터 발생하는 모든 로그인이 누락 없이 기록됩니다. 이미 지워진 과거의 기록을 살릴 수는 없지만, 미래의 보안을 위해서는 반드시 설정해 두는 것이 좋습니다. (미리 해두지 않아 후회했던 적이 많습니다.)

윈도우 로그인 시간 확인 방법 비교

사용자의 목적과 기술적 숙련도에 따라 가장 적합한 확인 방법이 달라집니다. 세 가지 주요 방식을 비교해 보았습니다.

⭐ 이벤트 뷰어 (권장)

  1. 상세함 - 로그인 방식, 계정 이름, 정확한 초 단위 시간 제공
  2. 매우 높음 - 실제 사용자 로그인과 원격 접속을 완벽히 구분함
  3. 중간 - 인터페이스가 복잡하나 필터 기능을 쓰면 해결됨

작업 관리자

  1. 부족함 - 단순 가동 시간만 표시됨
  2. 낮음 - 시스템 부팅 시간만 표시하며 로그인 시간과 일치하지 않음
  3. 매우 쉬움 - 단축키 한 번으로 즉시 확인 가능

PowerShell 명령어

  1. 선별적 - 원하는 개수의 로그만 골라보기 좋음
  2. 매우 높음 - 이벤트 로그 데이터를 텍스트로 즉시 추출
  3. 중간 - 명령어 입력이 필요하나 복사/붙여넣기로 해결 가능
정확한 보안 점검이 필요하다면 이벤트 뷰어를, 단순히 컴퓨터를 언제 켰는지 대략적으로 알고 싶다면 작업 관리자를 사용하는 것이 효율적입니다. 전문가라면 파워쉘을 통해 빠르게 데이터를 추출하는 것을 추천합니다.

공용 PC 관리자 민수 씨의 로그인 추적기

서울의 한 작은 사무실에서 IT 관리를 맡고 있는 민수 씨는 최근 누군가 퇴근 시간 이후에 공용 PC를 사용한다는 의심을 품게 되었습니다. 하지만 증거가 없었죠. 처음에는 단순히 PC 본체의 열기나 마우스 위치로 확인하려 했으나 번번이 실패했습니다.

민수 씨는 작업 관리자의 가동 시간을 확인해 보았지만, 빠른 시작 기능 때문에 3일 전부터 켜져 있는 것으로 나와 혼란만 가중되었습니다. 정확한 로그인 시점을 찾지 못해 거의 포기할 뻔했습니다.

그러던 중 이벤트 ID 4624의 존재를 알게 되었고, 이벤트 뷰어에서 필터를 적용해 보았습니다. 결정적으로 밤 11시에 로그온 유형 2(로컬 로그인) 기록이 남은 것을 발견했습니다.

결국 밤늦게 사무실에 들러 개인 용무로 PC를 썼던 직원을 찾아냈습니다. 민수 씨는 이후 감사 정책을 강화하여 보안 사고를 예방했고, 이제는 1분이면 로그를 확인하는 숙련자가 되었습니다.

놓칠 수 없는 핵심

진짜 로그인 시간은 이벤트 ID 4624에서 확인

단순 부팅 시간과 사용자가 실제 업무를 시작한 로그인 시간은 다르며, 보안 로그의 4624 번호가 가장 신뢰할 수 있는 데이터입니다.

작업 관리자의 가동 시간은 참고용일 뿐

빠른 시작 기능으로 인해 작업 관리자의 시간은 실제 사용 시간보다 훨씬 길게 표시될 수 있으므로 주의가 필요합니다.

PC의 가동 전반에 대해 궁금하시다면 윈도우가 부팅된 시간을 어떻게 확인하나요? 가이드를 확인해보세요.
로그온 유형 2와 10을 구분하여 보안 강화

직접 앉아서 로그인했는지(유형 2), 외부에서 몰래 원격으로 들어왔는지(유형 10) 구분하는 것이 해킹 방지의 핵심입니다.

질문 모음

로그인 기록이 왜 며칠 전 것만 보이나요?

윈도우 보안 로그는 설정된 최대 크기에 도달하면 오래된 기록부터 자동으로 덮어씁니다. 더 긴 기간의 기록을 보려면 이벤트 뷰어의 보안 로그 속성에서 최대 로그 크기를 늘려주어야 합니다.

이벤트 ID 4624가 너무 많은데 어떤 게 진짜인가요?

윈도우 시스템 서비스가 백그라운드에서 로그인하는 경우도 4624로 기록됩니다. 사용자의 실제 로그인을 찾으려면 상세 정보의 로그온 유형이 2(직접 로그인) 또는 7(잠금 해제)인 항목을 찾으면 됩니다.

컴퓨터를 끄지 않고 절전 모드만 사용하면 기록이 남나요?

절전 모드 해제 시 비밀번호를 입력한다면 이벤트 ID 4624(유형 7)로 기록이 남습니다. 비밀번호 없이 바로 바탕화면이 나온다면 시스템 깨어남 기록인 이벤트 ID 1을 시스템 로그에서 확인해야 합니다.

참고

  • [1] Learn - 윈도우 10 사용자의 약 80%가 기본적으로 활성화해 두고 있는 빠른 시작(Fast Startup) 기능 때문입니다.
  • [2] Learn - 이 방법은 약 95% 이상의 로그인 시도를 완벽하게 추적해냅니다.
  • [3] Devblogs - 이 명령어는 수천 개의 로그를 일일이 눈으로 훑을 필요 없이 핵심 데이터만 뽑아주기 때문에 효율성이 60% 이상 향상됩니다.
  • [4] M - 사실 부팅 시간과 실제 로그인 시간 사이에는 아주 중요한 차이가 있으며, 이를 무시하면 잘못된 정보를 얻게 될 확률이 70% 이상입니다.
가장 좋아하는
가장 많이 본
최신 질문

답변에 대한 의견:

의견을 주셔서 감사합니다! 여러분의 의견은 향후 답변을 개선하는 데 매우 중요합니다.

이유를 알려주세요: