Windows에서 PC 종료 기록(누가 언제 종료했는지) 확인하는 방법
이 문서는 관리자나 네트워크 담당자가 누가, 언제 PC를 종료했는지 확인할 때 유용한 방법들을 설명합니다. 각 방법의 설치·운영 팁, 실패 사례, 보안·프라이버시 주의사항, 역할별 체크리스트와 테스트 기준도 포함합니다.
왜 종료 기록을 확인하는가
종료 기록은 다음 상황에서 중요합니다:
- 업무용 PC 관리: 사용 패턴이나 비인가 종료 탐지
- 문제 해결: 예상치 못한 종료(전원 문제, 애플리케이션 충돌) 원인 추적
- 감사와 규정 준수: 운영 로그 보관 및 증빙
중요: 개인 사용자의 경우 민감한 정보가 아닐 수 있지만, 조직 환경에서는 로그 접근 권한 및 보관 정책을 반드시 정의해야 합니다.
1) Windows 로그(이벤트 뷰어) 사용
Windows에 기본 제공되는 이벤트 뷰어는 가장 신뢰 가능한 출처입니다. 시스템 수준 이벤트를 기록하며 별도 설치가 필요 없습니다.
방법:
- Windows 키를 누른 후 X, V를 차례로 눌러 이벤트 뷰어(Event Viewer)를 엽니다.
- 왼쪽 패널에서 Windows Logs를 클릭합니다.
- System을 클릭합니다.
- 오른쪽 패널에서 Filter Current Log를 클릭합니다.
- Event Sources(또는 Event ID) 항목에 6006을 입력하고 필터를 적용합니다.
- 가운데 패널에 최근 시스템 종료 기록 목록이 표시됩니다.
팁: 시스템 업타임은 작업 관리자(Task Manager)의 Performance 탭 하단 우측에서 확인할 수 있습니다. 작업 표시줄을 우클릭하고 Task Manager를 연 다음 Performance를 선택하세요.
단점 및 주의사항:
- 이벤트 ID 6006은 정상적인 종료를 나타냅니다. 예기치 않은 종료(전원 장애 등)는 이벤트 ID 6008로 기록됩니다.
- 하이브리드 부팅(Fast Startup)이나 일부 펌웨어/전원 이슈로 로그가 남지 않을 수 있습니다.
중요: 이벤트 로그는 로컬 시스템에 보관되므로 중앙 집중형 감사가 필요하면 별도 수집·보관 방법을 도입하세요.
2) Shutdown Logger 사용
Shutdown Logger는 전용 서비스로 동작하며 시스템 종료만을 텍스트 로그로 기록합니다. 설치 후 C:\ShutdownLoggerSvc\Logs 경로에 로그 파일이 생성됩니다.
특징:
- 설치형 서비스: 시스템 시작 시 자동으로 동작
- 기록 대상: 정상 종료만(절전 상태는 기록하지 않음)
- 로그 포맷: 간단한 텍스트(시간·날짜)
배포 팁:
- 소규모 환경: 수동 설치 후 서비스 실행 확인
- 대규모 환경: GPO나 관리 도구(SCCM/Intune)로 MSI/스크립트 배포
- 보안: 실행 파일의 출처와 해시를 검증하고, 서명된 바이너리를 우선 사용하세요.
검증 방법:
- 재부팅 후 C:\ShutdownLoggerSvc\Logs에 새 항목이 기록되는지 확인
- 접근 권한: 로그 파일에 대한 읽기 권한을 제한하여 정보 노출을 방지
단점:
- Sleep/Hibernate는 기록하지 않음
- 타사 소프트웨어이므로 신뢰성·보안 검토 필요
3) TurnedOnTimesView 사용
TurnedOnTimesView는 설치가 필요 없는 포터블 도구로, 부팅·종료·절전·최대 수 주간의 기록을 자동으로 읽어 보여줍니다. 이벤트 로그의 다양한 항목을 파싱해 보기 쉽게 정리해 주므로 문제 원인 추적에 유용합니다.
장점:
- 설치 불필요, 즉시 실행
- 절전·최대 절전 상태도 함께 표시
- 시간 범위 필터링 및 CSV 내보내기 가능
주의사항:
- 포터블 특성상 관리자가 원격으로 일괄 배포하거나 중앙 감사에 통합하려면 별도 스크립트나 수집기가 필요
- 시스템 로그가 손상된 경우 일부 항목이 누락될 수 있음
비교 표
| 항목 | 이벤트 뷰어 | Shutdown Logger | TurnedOnTimesView |
|---|---|---|---|
| 설치 필요 | 아니오 | 예(서비스) | 아니오(포터블) |
| 종료 외 상태(절전) | 제한적(로그에 따라 다름) | 아니오 | 예(절전 포함) |
| 중앙 수집 용이성 | 예(수집기 사용) | 예(배포 후) | 보통(스크립트 필요) |
| 사용 편의성 | 중 | 높음 | 높음 |
언제 이 방법들이 실패하는가
- 전원 손실(예: 전원 코드 분리, UPS 실패)은 정상 종료 로그(6006)를 남기지 않습니다. 대신 6008 같은 비정상 종료 이벤트가 기록됩니다.
- 하드웨어 수준의 로그 손상이나 디스크 오류는 로그 자체를 손상시킬 수 있습니다.
- 로컬 보안 정책이나 파일 권한이 잘못 설정되어 로그 접근이 차단될 수 있습니다.
네트워크/조직 배포를 위한 역할별 체크리스트
관리자용 체크리스트:
- 배포 전 테스트 환경에서 도구 동작 검증
- 로그 보관 정책(보존 기간·암호화) 수립
- 중앙 수집기(예: SIEM)와 연동 계획
- 도구 서명 및 출처 검증
현장 담당자용 체크리스트:
- 설치 후 서비스 기동 여부 확인
- 로그 파일 경로와 접근 권한 확인
- 주기적으로 로그 백업 및 보존 상태 점검
감사/보안 담당자용 체크리스트:
- 로그 접근 권한 최소화
- 개인 식별 가능 정보(PII) 포함 여부 검토
- GDPR·내부 규정에 따른 보관·삭제 정책 적용
테스트 케이스 및 수용 기준
TC1: 정상 종료 기록
- 절차: Shutdown 명령 실행
- 수용 기준: 이벤트 뷰어에 이벤트 ID 6006 기록 또는 Shutdown Logger 로그에 종료 시간 기록
TC2: 전원 강제 차단
- 절차: 전원 차단
- 수용 기준: 이벤트 ID 6008(비정상 종료) 기록 또는 로그에 해당 비정상 항목 존재
TC3: 절전 진입 후 복귀
- 절차: Sleep 진입 후 Wake
- 수용 기준: TurnedOnTimesView에서 절전 및 복귀 항목 확인
보안 및 프라이버시 주의사항
- 로그에는 시간·사용자 계정 등 민감한 메타데이터가 포함될 수 있습니다. 접근 권한을 최소화하고 전송·보관 시 암호화를 사용하세요.
- 외부 소프트웨어를 도입할 때는 공급자 신원, 디지털 서명, 악성코드 검사, 내부 보안 승인을 반드시 수행하세요.
- 규정 준수가 필요한 조직에서는 로그 보존 기간과 삭제 절차를 문서화해야 합니다.
간단한 운영 방법론(배포 · 검증 · 유지)
- 시험 배포: 소규모 파일럿 그룹에서 설치·동작 점검
- 중앙 수집: 이벤트 포워딩 또는 SIEM 연동 구성
- 검증 스케줄: 주간/월간 로그 무결성 검사
- 보존 정책 적용: 자동 아카이빙 및 안전한 삭제
1줄 용어집
- 이벤트 ID 6006: 시스템이 정상적으로 종료되었다는 Windows 시스템 이벤트.
- 이벤트 ID 6008: 시스템이 예기치 않게 종료되었음을 나타내는 이벤트.
요약
- 이벤트 뷰어는 설치 불필요하고 신뢰할 수 있는 첫 번째 선택입니다.
- Shutdown Logger는 간단한 텍스트 로그로 빠르게 종료만 추적할 때 유용합니다.
- TurnedOnTimesView는 포터블 도구로 절전·부팅·종료 이력을 빠르게 파악할 때 좋습니다.
- 배포 전 테스트, 로그 보안·보존 정책 수립, 중앙 수집 계획이 필수입니다.
중요: 조직 내 로그 접근 권한과 보존 정책을 먼저 정의한 뒤 도구를 선택하세요.
어떤 도구를 사용하고 있나요? 조직에서 사용 중인 모니터링·유지보수 방식이 있다면 댓글로 공유해 주세요.
관련 기사:
- How to access unknown file extensions in Windows 10/8/7
- What are the risks of using pirated Windows 10?
- How to disable Microsoft To-Do account
