윈도우 로그인 기록을 어떻게 조회하나요?

윈도우 로그인 기록 확인 방법: MFA로 안전하게 보호

윈도우 로그인 기록 확인 방법을 이해하면 계정 무단 접근 위험을 줄이고 내부 보안을 강화할 수 있습니다.윈도우 로그인 기록 확인 방법으로 이벤트 모니터링을 통해 사용 이력을 점검하면 권한 없는 접근을 빠르게 발견합니다.
기록을 확인하고 2단계 인증을 활성화해 계정 안전성을 유지하세요.

윈도우 로그인 기록 확인 방법: 내 PC 접속 이력 추적하기

윈도우 로그인 기록은 내장된 이벤트 뷰어(Event Viewer)를 통해 가장 상세하고 정확하게 조회할 수 있습니다.
키보드에서 윈도우 키와 R 키를 동시에 누르고 eventvwr 명령어를 입력하여 실행한 뒤, 보안 로그 탭에서 이벤트 ID 4624를 검색하면 접속 시간과 대상 계정을 즉시 확인할 수 있습니다.

솔직히 말해서 처음 이 화면을 열어보면 수천 개의 영어와 숫자가 뒤섞인 로그 목록에 압도당하기 십상입니다.
저도 예전에 자리를 비운 사이 누군가 제 컴퓨터를 몰래 쓴 것 같아 무작정 로그를 열었다가, 알 수 없는 코드들만 보고 식은땀을 흘린 적이 있습니다.

하지만 이 과정은 생각보다 훨씬 가치가 있습니다.
일반적인 업무 환경에서 발생한 내부 데이터 유출의 약 43퍼센트가 인가된 사용자의 비정상적인 접근에서 시작됩니다.윈도우 보안 시스템 - 많은 분들이 전문가의 영역이라고 생각하며 지레 포기하지만 - 사실 몇 가지 핵심 이벤트 ID만 기억하면 누구나 쉽게 모니터링할 수 있는 직관적인 도구입니다.

기본 개념: 헷갈리는 이벤트 ID와 로그온 유형 해독하기

컴퓨터 전원을 켜고 끄는 행위부터 바탕화면에 진입하는 모든 순간은 윈도우 시스템에 고유한 번호표를 달고 기록됩니다.

가장 중요한 4가지 이벤트 ID

기록을 분석할 때 다음 네 가지 숫자만 기억해도 절반은 성공입니다.
ID 4624는 로그인 성공을, 4634와 4647은 각각 시스템 및 사용자에 의한 로그오프를 의미합니다.컴퓨터 부팅 시간 조회만 보고 싶다면 시스템 로그에서 6005(시작)와 6006(종료)을 찾으면 됩니다.

시스템(SYSTEM) 계정은 해킹이 아닙니다

많은 분들이 4624 로그를 처음 검색한 뒤 SYSTEM이나 DWM 같은 낯선 계정 이름이 수백 개씩 찍혀 있는 것을 보고 소스라치게 놀랍니다.
하지만 이는 대부분 정상적인 시스템 동작입니다.윈도우 10 로그인 기록 어떻게 보나요는 백그라운드에서 자동 업데이트나 디스크 조각 모음 같은 유지 관리를 수행할 때마다 자체 시스템 권한으로 로그인과 로그아웃 기록을 반복적으로 남깁니다.

진짜 사람이 키보드를 두드려 접속한 기록만 걸러내려면 로그온 유형(Logon Type)을 반드시 확인해야 합니다.
유형 2번은 물리적으로 컴퓨터 앞에 앉아 접속한 것을 뜻하며, 유형 10번은 원격 데스크톱 연결을 통해 외부에서 들어온 기록입니다.

파워쉘(PowerShell)을 이용한 3초 컷 조회법

마우스로 여러 번 클릭하는 과정이 번거롭다면 파워쉘 윈도우 최근 접속 확인 스크립트를 활용하는 것이 훨씬 효율적입니다.
그래픽 인터페이스를 거치지 않기 때문에 대용량 로그 로딩 속도가 상당히 향상됩니다.

시작 메뉴에서 파워쉘을 검색해 관리자 권한으로 실행한 뒤, Get-WinEvent 기반의 필터링 명령어를 입력하면 최근 접속 기록 50개를 순식간에 표 형태로 뽑아볼 수 있습니다.

초보자에게는 검은 화면의 텍스트가 다소 낯설게 느껴질 수 있습니다.
하지만 명령어를 텍스트 파일로 저장해두고 필요할 때마다 복사해 실행하면, 이벤트 뷰어의 느린 로딩을 기다리지 않고도 최근 로그인 기록을 빠르게 확인할 수 있습니다.

마이크로소프트 연동 계정의 웹 활동 확인하기

만약 윈도우 로그인에 로컬 계정이 아닌 마이크로소프트 이메일 계정을 사용 중이라면, 로컬 PC의 로그만 보는 것으로는 부족합니다.
누군가 다른 컴퓨터나 스마트폰에서 내 계정으로 로그인을 시도했을 수 있기 때문입니다.

이럴 때는 마이크로소프트 공식 홈페이지의 보안 탭에 접속하여 최근 활동 검토 메뉴를 확인해야 합니다.
여기서는 지난 30일 동안의 모든 로그인 시도 시간은 물론, 접속이 이루어진 국가와 IP 주소, 사용된 브라우저 정보까지 상세히 제공합니다.

여기서 발견되는 계정 무단 도용 시도의 99.9퍼센트는 다중 인증(MFA) 설정만으로도 방어 가능합니다.
조금 번거롭더라도 휴대폰 앱 기반의 2단계 인증은 반드시 활성화해 두는 것이 좋습니다.

나에게 맞는 윈도우 로그인 기록 확인 도구 선택하기

접속 기록을 추적하는 세 가지 주요 방법은 각각의 목적과 편의성이 다릅니다. 상황에 맞게 적절한 도구를 선택하세요.

이벤트 뷰어 (Event Viewer)

• 매우 높음 - 로그인 유형부터 시스템 백그라운드 프로세스까지 모든 활동을 로컬 디스크에 기록함
• 로컬 PC의 전반적인 보안 상태 점검 및 오프라인 무단 접근자 식별
• 보통 - 별도 설치 없이 윈도우에 내장되어 있으나 인터페이스가 복잡함

⭐ 파워쉘 스크립트 (PowerShell)

• 높음 - 명령어 필터링 옵션에 따라 원하는 정보만 정밀하게 추출 가능
• IT 관리자나 고급 사용자가 대량의 로그를 빠르고 반복적으로 분석할 때
• 다소 어려움 - 기초적인 커맨드라인 인터페이스 지식이 필요함

마이크로소프트 보안 대시보드

• 보통 - 기기 내부 동작이 아닌 웹 기반의 계정 인증 시도에 집중됨
• 해킹 의심 시 외부 IP의 원격 접근 시도나 지리적 위치를 파악할 때
• 매우 쉬움 - 스마트폰이나 외부 PC의 웹 브라우저에서도 언제든 확인 가능

개발자 지훈의 사라진 파일 미스터리

재택근무를 주로 하는 30대 개발자 지훈은 3일간의 짧은 휴가를 마치고 돌아온 월요일 아침, 바탕화면의 프로젝트 폴더 위치가 미세하게 바뀐 것을 발견했습니다. 누군가 주말에 자신의 PC를 건드린 게 확실했지만 심증만 있을 뿐이었습니다.

그는 인터넷에서 본 대로 이벤트 뷰어를 열고 ID 4624를 검색했습니다. 하지만 웬걸, 휴가 기간 동안 SYSTEM과 DWM이라는 이름의 접속 기록이 400개나 넘게 쏟아졌습니다. 지훈은 순간 악성코드에 감염되어 해커가 수백 번 들락날락한 줄 알고 포맷을 심각하게 고민했습니다.

답답한 마음에 IT 커뮤니티를 뒤지던 그는, 진짜 사람의 흔적을 찾으려면 로그온 유형 2번(Interactive)만 따로 필터링해야 한다는 사실을 깨달았습니다. 조건을 수정하고 다시 검색하자 수백 개의 로그가 사라지고 토요일 자정 무렵 로그인한 단 하나의 진짜 기록이 나타났습니다.

결국 범인은 새벽에 몰래 고사양 게임을 즐기려던 고등학생 남동생으로 밝혀졌습니다. 이 사건 이후 지훈은 파워쉘 스크립트를 바탕화면 단축키로 만들어두고, 매주 월요일 아침마다 3초 만에 주말간의 로그인을 점검하는 습관을 들이게 되었습니다.