기술 가이드

Windows Server에서 누가 로그인했는지 확인하는 방법

6 min read 시스템 관리 업데이트됨 26 Sep 2025
Windows Server에서 로그인한 사용자 확인하는 방법
Windows Server에서 로그인한 사용자 확인하는 방법

Windows Server에 로그인한 사용자와 원격 접속을 보여주는 화면

방법 개요

이 문서는 세 가지 주요 방법을 단계별로 안내합니다. 추가로 실패 상황, 대체 방법, 보안 권장사항, 역할별 체크리스트와 점검 기준도 제공합니다.

  • PowerShell로 원격 세션 확인
  • PsLoggedOn으로 로컬/원격 로그인 조회
  • 작업 관리자에서 직접 로그인 확인
  • 대체 명령 및 감사 로그 검색
  • 보안, 개인정보, 운영 절차

1. PowerShell로 원격 세션 확인

이 방법은 SMB/파일 공유를 통해 서버에 연결된 원격 세션을 빠르게 확인할 때 유용합니다.

절차:

  1. PowerShell을 관리자 권한으로 실행합니다.
  2. 다음 명령을 입력하고 Enter를 누릅니다.
net session

설명:

  • net session 명령은 현재 서버에 세션을 연 원격 클라이언트와 해당 클라이언트의 네트워크 주소를 나열합니다.
  • 주로 파일 공유(SMB)를 통해 연결된 사용자를 보여주며, 터미널 서비스(RDS) 세션이나 일부 서비스 연결은 표시되지 않을 수 있습니다.

중요: net session은 로컬에서 실행해야 하며, Server 서비스(서비스 이름: LanmanServer)가 실행 중이어야 결과를 반환합니다.

2. PsLoggedOn으로 로컬 로그인 확인

PsLoggedOn은 Microsoft Sysinternals 도구 모음의 유틸리티로, 특정 컴퓨터에 로컬로 로그인한 사용자와 네트워크로 리소스에 접근한 계정을 식별하는 데 적합합니다.

절차:

  1. PsTools 번들을 Microsoft Sysinternals에서 다운로드하고 ZIP을 압축 해제합니다.
  2. psloggedon.exe를 예를 들어 C:\pstools 같은 폴더로 복사합니다.
  3. 관리자 권한으로 명령 프롬프트를 실행합니다.
  4. PsTools 폴더로 이동합니다.
cd C:\pstools
  1. 도구를 실행합니다.
psloggedon

주요 사용 예시:

  • 로컬 컴퓨터의 로그인된 사용자 보기: psloggedon
  • 원격 서버의 로그인 확인: psloggedon \ServerName
  • 특정 사용자 검색: psloggedon username

설명 및 주의사항:

  • PsLoggedOn은 네트워크 접근 계정(파일 공유로 연결한 사용자)과 물리적 로그인을 구분해 보여줍니다.
  • 원격 검사 시에는 대상 서버에 대한 권한이 필요합니다.
  • 일부 보안 설정이나 엔드포인트 보호 소프트웨어가 도구의 작동을 차단할 수 있습니다.

3. 작업 관리자에서 확인

작업 관리자는 서버에 직접 콘솔로 연결했거나 RDS(Remote Desktop Services) 세션이 있는 경우 유용합니다.

절차:

  1. 서버에서 Ctrl + Shift + Esc를 눌러 작업 관리자를 엽니다.
  2. 상단 탭에서 Users 탭을 선택합니다.

보는 항목:

  • 현재 로그인된 사용자 계정 목록
  • 각 세션의 상태(Active 또는 Disconnected)
  • 일부 버전에서는 세션별 리소스 사용량(메모리/CPU) 확인 가능

제한사항:

  • 작업 관리자는 해당 머신에서의 대화형 세션만 보여줍니다. 네트워크로 파일 공유만 한 클라이언트는 표시되지 않을 수 있습니다.

대체 방법 및 추가 도구

다음 명령과 도구도 상황에 따라 유용합니다.

  • query user: 현재 서버의 세션과 사용자 정보를 표시합니다. 원격 데스크톱 환경에서 유용합니다.
query user
  • qwinsta: 세션 정보 확인에 사용합니다.
qwinsta
  • Event Viewer(이벤트 뷰어) 보안 로그: 로그인 시도(성공/실패) 기록을 통해 시간, 계정, 소스 컴퓨터를 확인합니다. 보안 로그의 이벤트 ID 4624(로그온 성공)와 4625(로그온 실패)를 참조하세요.

PowerShell에서 최근 보안 로그의 로그온 이벤트를 가져오기(예시):

Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4624} -MaxEvents 50

주의: 이벤트 로그 분석은 로그 보존 정책, 감사 설정, 그리고 이벤트 메시지의 포맷에 따라 추가 파싱이 필요할 수 있습니다.

언제 해당 방법들이 실패하는가

  • net session: Server 서비스가 중지되었거나 SMB를 사용하지 않는 연결은 표시되지 않습니다.
  • PsLoggedOn: 원격 검사 권한이 없거나 관리자 권한이 없으면 정보가 제한됩니다. 엔드포인트 보호 소프트웨어가 프로세스 접근을 차단할 수 있습니다.
  • 작업 관리자: 비대화형 세션(예: 파일 공유만 사용)은 보여주지 않습니다.
  • 이벤트 로그: 감사(로그온 이벤트 기록)가 비활성화되어 있으면 관련 이벤트가 남지 않습니다.

대응 방법: 실패 상황이 의심되면 권한과 서비스 상태를 확인하고, 필요한 경우 이벤트 뷰어와 네트워크 트래픽 로그를 함께 확인하세요.

보안 권장사항 및 하드닝

  • 최소 권한: 로그인 조회 작업은 관리자 또는 해당 권한이 부여된 계정으로 수행하세요.
  • 감사 활성화: 보안 감사에서 로그온/로그오프 이벤트를 활성화하면 문제 추적이 쉬워집니다.
  • 세션 타임아웃: 원격 데스크톱 세션에 시간 초과 정책을 적용해 유휴 세션을 줄이세요.
  • 기록 보관 정책: 로그 보존 기간을 운영 정책에 따라 설정하고, 주기적으로 백업하세요.
  • 접근 제어: 원격 관리 도구에 대한 네트워크 접근을 제한하고, 필요 시 VPN을 통해서만 접근하도록 하세요.

중요: 로그인 정보(사용자 이름, IP)는 개인정보에 해당할 수 있습니다. 법적 규정에 따라 보존·처리 정책을 명확히 하세요.

역할별 체크리스트

관리자:

  • net session으로 열린 원격 세션 검사
  • PsLoggedOn으로 로컬 및 네트워크 접근 확인
  • 보안 로그에서 의심스러운 로그인 패턴 검색

헬프데스크:

  • 작업 관리자 Users 탭으로 사용자의 세션 상태 확인
  • 필요 시 세션 로그오프 또는 재연결 안내

감사자 / 보안팀:

  • 이벤트 로그에서 인증 실패/성공 패턴 분석
  • IP와 사용자 매핑, 장기 보존이 필요한 경우 아카이빙 수행

SOP: 로그인 확인 및 간단 대응 절차

  1. 목적 정의: 누가 연결되어 있는지 확인하고 비정상 세션을 차단한다.
  2. 최소 권한의 관리자 계정으로 접속한다.
  3. net session으로 파일 공유 세션을 확인한다.
  4. PsLoggedOn으로 로컬/네트워크 접속 계정을 확인한다.
  5. 작업 관리자에서 대화형 세션을 확인한다.
  6. 의심스러운 세션 발견 시 세션 로그오프 후 관련 이벤트 로그 저장 및 조사한다.
  7. 필요하면 계정 비활성화, 비밀번호 초기화, 그리고 보안팀 통지 절차를 진행한다.

테스트와 검증 기준

  • 명령이 관리자 권한으로 실행될 때 결과가 반환되는지 확인
  • 잘 알려진 테스트 계정으로 로그인한 뒤 각 방법이 해당 계정을 포착하는지 검증
  • 로그 보존과 감사 정책이 설정되어 로그온/로그오프 이벤트가 남는지 확인

간단 용어집

  • 세션: 사용자가 서버와 맺은 연결 단위
  • 원격 세션: 네트워크를 통한 접속(예: 파일 공유, RDS)
  • 로컬 로그인: 서버 콘솔 또는 직접 로그인
  • 감사 로그: 이벤트 뷰어의 보안 기록

개인정보 및 규정 주의사항

로그인 정보에는 사용자 계정명과 IP 주소가 포함됩니다. 이는 개인정보가 될 수 있으므로 관할 법규(예: GDPR, 국내 개인정보보호법)에 따라 수집·보관·삭제 정책을 수립하고 접근을 제한하세요.

요약

Windows Server에서 누가 로그인했는지 확인하려면 목적에 맞는 도구를 사용하세요. 네트워크 파일 공유 연결은 net session으로, 로컬 및 네트워크 접근 계정은 PsLoggedOn으로, 대화형 RDS/콘솔 접속은 작업 관리자로 빠르게 확인할 수 있습니다. 보안 및 감사를 위해 이벤트 로그 설정과 보존 정책을 함께 점검하는 것을 권장합니다.

자주 묻는 질문

원격에서 누가 로그인했는지 어떻게 확인하나요?

관리자 권한 PowerShell에서 net session을 실행하면 파일 공유를 통한 원격 세션과 연결된 IP를 볼 수 있습니다. 추가로 PsLoggedOn으로 원격 서버의 로그인 상태를 점검할 수 있습니다.

로컬 로그인만 보여주는 도구가 있나요?

네. PsLoggedOn은 로컬에 로그인한 사용자와 네트워크로 연결된 계정을 보여줍니다. 작업 관리자의 Users 탭도 대화형 로컬 로그인 정보를 제공합니다.

작업 관리자로 로그인 상태를 확인할 수 있나요?

네. 서버 콘솔이나 RDS 세션에서는 작업 관리자를 열고 Users 탭에서 활성 및 연결 해제된 세션을 확인할 수 있습니다.

Windows Server는 모든 로그인 시도를 기록하나요?

기본적으로는 이벤트 뷰어의 보안 로그에서 로그인 이벤트를 기록하지만, 기록을 남기려면 감사 정책이 활성화되어 있어야 합니다.

PsLoggedOn은 안전한 도구인가요?

네. PsLoggedOn은 Microsoft Sysinternals에서 제공하는 공식 도구이며 시스템 관리자들 사이에서 널리 사용됩니다. 다만 원격 검사 시 권한과 엔드포인트 보안 설정을 확인하세요.

공유하기: X/Twitter Facebook LinkedIn Telegram
저자
편집

유사한 자료

페이스북 활동 기록 완전 삭제 가이드
개인정보

페이스북 활동 기록 완전 삭제 가이드

JW Player 동영상 다운로드 가이드
튜토리얼

JW Player 동영상 다운로드 가이드

Microsoft Teams 부재중 설정 가이드
생산성

Microsoft Teams 부재중 설정 가이드

WhatsApp 삭제된 메시지 복원 가이드
메시징 가이드

WhatsApp 삭제된 메시지 복원 가이드

iCloud에서 영구 삭제된 사진 복구 가이드
데이터 복구

iCloud에서 영구 삭제된 사진 복구 가이드

CentOS/Fedora Kickstart 자동 설치 가이드
시스템 관리

CentOS/Fedora Kickstart 자동 설치 가이드