기술을 쉽게 설명하기

누군가가 당신의 Windows PC에 원격으로 접근하고 있는지 확인하는 방법

로그인 페이지에 접근하는 수상한 남자와 테이블 위의 노트북

가장 위험한 유형의 악성 소프트웨어 중 하나는 피해자의 PC에 원격으로 접근하기 위해 설계된 것으로, 원격 접근 트로이 목마(RAT) 및 커널 수준 루트킷이 포함됩니다. 이들은 조용히 작동하여 탐지를 어렵게 만듭니다. 누군가가 당신의 Windows PC에 무단으로 원격 접근하고 있는지 걱정된다면, 위협을 확인하고 제거하는 방법을 알아보세요.

누군가가 당신의 PC에 접근하고 있다는 경고 신호

대부분의 원격 접근 시도는 조용하지만, 몇 가지 경고 신호가 있습니다. 이러한 신호는 일반적인 Windows 문제로 보일 수 있지만, 결합하면 원격 접근 활동의 확실한 증거가 될 수 있습니다.

  • 비정상적인 마우스/키보드 활동: 커서가 불규칙하게 움직이거나 텍스트가 입력되지 않은 상태에서 입력되는 경우, 이는 원격 도구의 작업일 수 있습니다. 이 도구들은 적극적으로 제어하지 않을 때도 커서가 점프하거나 순간 이동하는 등의 문제를 일으킬 수 있습니다. 마우스와 키보드가 브라우저 주소 표시줄에 접근하고 웹사이트 주소를 입력하는 등의 작업을 수행하기 시작하면 이 신호는 확인으로 작용할 수 있습니다.
  • 프로그램이 스스로 열리고 닫힘: 해커는 특정 앱(예: 안티바이러스 또는 명령 프롬프트)을 열기 위한 명령을 보내 시스템을 더 제어하거나 보안 기능을 비활성화할 수 있습니다. 프로그램이 스스로 열리고 닫히는 것을 발견하면 이는 경고 신호입니다.
  • 새로운 알 수 없는 사용자 계정 생성: 일부 악성 행위자는 탐지 후에도 지속적으로 접근하기 위해 보조 계정을 만들려고 할 수 있습니다. 이들은 아마도 사용자 전환을 비활성화하여 잠금 화면에서 계정을 숨길 것입니다. Windows 설정 -> 계정으로 이동하여 가족기타 사용자 섹션에서 보조 계정을 찾아보세요.

Windows 11 설정의 계정 옵션

  • 갑작스러운 성능 저하: 원격 제어 활동은 많은 자원을 소모하므로 갑작스러운 성능 저하를 경험할 수 있습니다. 성능 저하가 가끔 발생하는 경우, 이는 원격 제어 활동으로 인한 것일 수 있으므로 특히 주의해야 합니다.
  • Windows 원격 데스크톱이 스스로 활성화됨: Windows 원격 데스크톱은 매우 취약하므로 해커들이 종종 이를 사용하여 원격 연결을 생성합니다. 기본적으로 비활성화되어 있으므로, 당신의 개입 없이 활성화되었다면 해커의 소행일 수 있습니다. Windows 설정에서 시스템 -> 원격 데스크톱으로 이동하여 활성화되었는지 확인하세요.

Windows 설정에서 비활성화된 원격 데스크톱

PC가 원격으로 접근되고 있는지 확인하는 방법

위의 신호를 발견했다면, 의심을 확인하기 위해 필요한 조치를 취하세요. 원격 접근 과정에 관련된 구성 요소/앱의 활동을 추적하여 누군가가 당신의 Windows PC에 접근하고 있는지 확인할 수 있습니다. 다음은 가장 신뢰할 수 있는 방법 중 일부입니다:

Windows 이벤트 뷰어 로그 확인

Windows 이벤트 뷰어는 사용자 활동을 추적하고 RDP 활동 및 로그인 로그를 추적하여 원격 접근 시도를 감지하는 데 도움이 되는 훌륭한 내장 도구입니다.

Windows 검색에서 “이벤트 뷰어”를 검색하고 이벤트 뷰어를 엽니다.

Windows 로그 -> 보안으로 이동하고 이벤트 ID 탭을 클릭하여 이벤트를 ID별로 정렬합니다. ID 4624가 있는 모든 이벤트를 찾아 세부 정보를 확인하여 로그온 유형 10이 없는지 확인하세요. 이벤트 ID 4624는 로그인 시도를 나타내며, 로그온 유형 10은 원격 접근 서비스를 사용하는 원격 로그온에 해당하며 해커가 사용할 수 있습니다.

이벤트 ID를 보여주는 Windows 이벤트 뷰어

이벤트 ID 4778도 찾아볼 수 있으며, 이는 원격 세션 재연결을 보여줍니다. 각 이벤트의 세부 정보 페이지는 계정 이름이나 네트워크 IP 주소와 같은 중요한 식별 세부 정보를 알려줍니다.

네트워크 트래픽 추적

원격 접근은 네트워크 연결에 의존하므로 네트워크 트래픽을 추적하는 것은 이를 감지하는 신뢰할 수 있는 방법입니다. 이를 위해 GlassWire 무료 버전을 사용하는 것을 추천합니다. 이 앱은 악성 연결을 추적하고 자동으로 방어하는 데 도움이 됩니다.

GlassWire 앱에서 GlassWire 보호 섹션 아래의 모든 앱 연결을 볼 수 있습니다. 이 앱은 자동으로 연결을 평가하고 신뢰할 수 없는 연결에 경고합니다. 대부분의 경우 악성 원격 연결을 감지하고 경고할 수 있어야 합니다.

주 인터페이스의 Glasswire 평가 섹션

앱의 알고리즘 외에도 알 수 없는 앱의 높은 데이터 사용량과 같은 단서를 찾아볼 수 있습니다. 원격 연결은 지속적인 데이터를 사용하므로 쉽게 감지할 수 있어야 합니다.

예약된 작업 확인

많은 원격 접근 시도는 Windows의 작업 스케줄러 도구를 사용하여 관리됩니다. 이는 PC 재시작을 통해 지속되도록 하고 지속적으로 실행할 필요 없이 작업을 실행할 수 있도록 합니다. PC가 감염된 경우, 작업 스케줄러에서 알 수 없는 앱의 작업을 볼 수 있어야 합니다.

Windows 검색에서 “작업 스케줄러”를 검색하고 작업 스케줄러 앱을 엽니다. 왼쪽 패널에서 작업 스케줄러(로컬) -> 작업 스케줄러 라이브러리를 엽니다. Microsoft 외의 낯선 또는 의심스러운 폴더를 찾아보세요. 발견하면 작업을 마우스 오른쪽 버튼으로 클릭하고 속성을 선택합니다.

Windows 작업 스케줄러의 작업 속성 메뉴

속성에서 트리거작업 탭을 살펴보아 작업이 무엇을 하는지, 언제 실행되는지를 확인하여 나쁜 것인지 이해할 수 있어야 합니다. 예를 들어, 작업이 로그인 시 또는 시스템이 유휴 상태일 때 알 수 없는 앱이나 스크립트를 실행하는 경우, 이는 악의적인 목적일 수 있습니다.

작업 속성 트리거 및 작업 탭

의심스러운 작업을 찾지 못한 경우, Microsoft 폴더를 살펴보는 것이 좋습니다. 정교한 악성 소프트웨어가 시스템 폴더에 숨겨져 있을 가능성이 있습니다. “systemMonitor”와 같은 일반적인 이름이나 잘못된 철자의 이름을 가진 작업을 찾아보세요. 다행히도 대부분의 작업은 Microsoft Corporation이 저자로 되어 있어 건너뛰어도 안전합니다.

원격 접근을 중지하고 PC를 보호하는 방법

누군가가 당신의 Windows PC에 원격 접근하고 있다는 것을 확인했다면, 첫 번째 단계는 인터넷에서 연결을 끊어 추가 피해를 방지하는 것입니다. 당신의 우선 순위는 위협을 제거하기보다는 피해 통제여야 합니다. 따라서 다른 장치를 사용하여 이메일, 금융 계좌, 소셜 미디어 계정 등과 같은 중요한 계정의 비밀번호를 재설정하세요. 또한 중요한 데이터를 백업하는 것을 잊지 마세요.

다음 방법을 따라 원격 접근 악성 소프트웨어를 제거하세요:

Microsoft Defender 오프라인 스캔 실행

보안 시스템이 이 원격 접근 공격을 감지하거나 방어할 수 없는 경우, 이는 루트킷이나 부트킷과 같은 고급 악성 소프트웨어일 수 있습니다. Microsoft Defender의 오프라인 스캔이 도움이 될 수 있습니다. 이는 비활성 상태일 때 악성 소프트웨어를 찾기 위해 안전하고 최소한의 환경에서 PC를 시작할 때 스캔합니다.

스캔을 실행하려면 Windows 검색에서 “Windows 보안”을 검색하고 Windows 보안 앱을 엽니다.

바이러스 및 위협 보호 -> 스캔 옵션으로 이동하여 Microsoft Defender Antivirus(오프라인 스캔)을 선택하고 지금 스캔을 클릭합니다.

Windows Defender 오프라인 스캔 실행

이것은 PC를 재시작하고 전체 시스템 스캔을 실행합니다. 위협이 발견되면 Windows 보안 앱의 보호 기록 섹션에 표시됩니다.

의심스러운 프로그램 제거

스캔이 무언가를 감지하든 아니든, 알 수 없는 프로그램이 게이트웨이 역할을 하지 않도록 프로그램을 수동으로 감사해야 합니다. Windows 설정에서 앱 -> 설치된 앱으로 이동하여 Windows의 일부가 아니고 설치한 기억이 없는 앱을 찾아보세요. 또한 TeamViewer, AnyDesk, VNC, Chrome 원격 데스크톱 등과 같이 손상될 수 있는 원격 접근 앱을 제거하세요.

악성 브라우저 확장이 원인일 가능성도 있습니다. 모든 확장을 확인하고 수상한 확장을 제거하세요.

방화벽에서 수신 원격 접근 포트 차단

PC에 원격으로 접근하지 않거나 누군가의 도움을 받지 않는 경우, 방화벽에서 원격 연결을 위한 일반적인 수신 포트를 차단할 수 있습니다. 이는 들어오는 원격 연결을 차단하지만 필요할 경우 다른 장치를 제어할 수 있도록 허용합니다.

Windows 검색에서 “Windows Defender 방화벽”을 검색하고 고급 보안이 포함된 Windows Defender 방화벽 앱을 엽니다.

수신 규칙 -> 새 규칙을 선택한 다음 포트 -> 다음을 선택합니다. TCP를 선택하고 아래 나열된 포트 번호 중 하나를 제공합니다.

  • 3389 (Windows 원격 데스크톱)
  • 5900 (가상 네트워크 컴퓨팅)
  • 5938 (TeamViewer)
  • 6568 (AnyDesk)
  • 8200 (GoToMyPC)

Windows 방화벽에서 수신 규칙 만들기

연결 차단을 선택하고 규칙 생성을 완료합니다. 나중에 식별할 수 있도록 규칙에 명확한 이름을 지정하세요. 각 포트에 대해 이 과정을 반복하여 차단하세요.

필요시 Windows를 새로 설치

아무것도 작동하지 않거나 위험을 감수하고 싶지 않은 경우, Windows를 새로 설치하는 것도 하나의 옵션입니다. 오프라인 안티바이러스 스캔과 클린 OS 설치를 모두 견디는 악성 소프트웨어는 극히 드뭅니다. 그러나 클린 설치는 PC의 모든 데이터를 삭제하므로 중요한 데이터를 백업해야 합니다.

클린 Windows 설치를 안전하게 수행하는 모든 단계를 배우려면 클린 설치 방법에 대한 가이드를 확인하세요.

PC 접근에 의심이 가는 경우, 원격 접근이든 로컬 접근이든 절대 위험을 감수하지 마세요. 이러한 제어는 항상 더 큰 보안 문제로 확대됩니다. 물론 처음부터 발생하지 않도록 예방하는 것이 가장 좋으므로, 이러한 Windows 보안 설정 및 고급 Windows Defender 옵션을 사용하세요.

이미지 출처: Vecteezy. 모든 스크린샷은 Karrar Haider가 촬영했습니다.

내용

  1. 누군가가 당신의 PC에 접근하고 있다는 경고 신호
  2. PC가 원격으로 접근되고 있는지 확인하는 방법
  3. Windows 이벤트 뷰어 로그 확인
  4. 네트워크 트래픽 추적
  5. 예약된 작업 확인
  6. 원격 접근을 중지하고 PC를 보호하는 방법
  7. Microsoft Defender 오프라인 스캔 실행
  8. 의심스러운 프로그램 제거
  9. 방화벽에서 수신 원격 접근 포트 차단
  10. 필요시 Windows를 새로 설치
Ello-dashboardprofile

Ello: 개인 소셜 네트워크 탐험하기

비트디펜더 설치 안됨: 사용할 수 있는 3가지 간단한 솔루션

비트디펜더 수정 사항에 대한 더 많은 정보

구글, 인박스를 종료하고 6개월의 생명을 부여하다

aspect-ratios-16x9

비디오 종횡비 이해하기

태그로 파일을 정리하는 파일 관리자: 상위 5개

Wake on LAN 작동하지 않음 수정

윈도우에서 Wake On LAN이 작동하지 않음 [해결됨]

easycap-mac-mspacman-console

EasyCAP을 사용하여 Mac에서 VHS 및 콘솔 캡처하기

구글, 윈도우 11 업그레이드 자격을 위한 새로운 크롬 기능 테스트