누군가가 당신의 Windows 컴퓨터에 원격으로 접속할 수 있는지 어떻게 알 수 있나요?

가장 위험한 유형의 맬웨어로는 원격 액세스 트로이 목마(RAT) 및 커널 수준 루트킷 등이 있으며, 이러한 악성코드는 피해자의 PC에 원격으로 액세스하도록 설계되었습니다 . 이들은 조용히 작동하기 때문에 감지하기 어렵습니다. 누군가가 귀하의 Windows PC에 원격으로 무단으로 접근했다는 우려가 있는 경우, 해당 위협을 확인하고 제거하는 방법을 알아보세요.

누군가가 귀하의 PC에 접근할 때 나타나는 경고 신호

대부분의 원격 접속 시도는 조용하게 진행되지만, 여전히 몇 가지 경고 신호가 나타납니다. 이러한 징후는 Windows의 인기를 나타내는 지표일 수 있지만, 이를 모두 합치면 원격 액세스 활동의 강력한 증거가 될 수 있습니다.

• 비정상적인 마우스/키보드 동작 : 커서가 불규칙하게 움직이거나 사용자의 개입 없이 텍스트가 입력되는 경우 원격 도구의 작동일 수 있습니다. 이러한 도구를 적극적으로 제어하지 않더라도 커서 점프/순간이동과 같은 문제가 발생할 수 있습니다. 이 신호는 마우스와 키보드가 브라우저 주소 표시줄에 접근하거나 웹사이트 주소를 입력하는 등의 작업을 수행할 때 확인 역할을 할 수도 있습니다.
• 스스로 열리고 닫히는 프로그램 : 해커는 특정 애플리케이션(예: 바이러스 백신 소프트웨어 나 명령 프롬프트 )을 여는 명령을 보내 시스템을 더 많이 제어하거나 보안 기능을 비활성화할 수도 있습니다. 프로그램이 저절로 열리고 닫히는 것을 본다면 경고 신호입니다.
• 새로운 알 수 없는 사용자 계정 생성 : 일부 악의적인 행위자는 감지된 후에도 지속적으로 액세스하기 위해 보조 계정을 생성하려고 시도할 수 있습니다. 잠금 화면에서 계정을 숨기기 위해 사용자 전환 기능을 비활성화할 가능성이 높습니다. Windows 설정 -> 계정 으로 가서 가족 및 기타 사용자 아래에서 보조 계정을 찾으세요 .

• 갑자기 성능이 저하됨 : 원격 제어 작업도 리소스를 많이 사용하므로 성능이 갑자기 떨어지는 것을 느낄 수 있습니다. 특히 원격 제어 작업으로 인해 가끔 성능 저하가 발생하는 경우 이 점을 고려해 볼 가치가 있습니다.
• Windows 원격 데스크톱은 자동으로 활성화됩니다 . Windows 원격 데스크톱은 매우 취약하므로 해커는 종종 이 기능을 사용하여 원격 연결을 만듭니다. 이 기능은 기본적으로 비활성화되어 있으므로, 사용자의 개입 없이 활성화되면 해커가 이를 실행할 수 있습니다. Windows 설정에서 시스템 -> 원격 데스크톱 으로 이동하여 이 기능이 활성화되어 있는지 확인하세요.

원격으로 PC에 접속되고 있는지 확인하는 방법

위의 징후가 나타나면 의심을 확인하기 위해 필요한 조치를 취하세요. 원격 액세스 프로세스에 관련된 구성 요소/응용 프로그램의 활동을 모니터링하여 누군가가 귀하의 Windows PC에 액세스하고 있는지 확인할 수 있습니다. 가장 신뢰할 수 있는 방법은 다음과 같습니다.

Windows 이벤트 뷰어 로그 확인

Windows 이벤트 뷰어는 사용자 활동을 모니터링하고 RDP 활동과 로그인 로그를 모니터링하여 원격 액세스 시도를 감지하는 데 도움이 되는 훌륭한 기본 제공 도구입니다.

Windows 검색에서 "이벤트 뷰어"를 검색하여 이벤트 뷰어를 엽니다 .

Windows 로그 -> 보안 으로 이동하여 이벤트 ID 탭을 클릭하여 이벤트를 ID별로 정렬합니다. ID가 4624 인 모든 이벤트를 검색 하고 세부 정보를 확인하여 로그온 유형이 10 인 이벤트가 없는지 확인하세요 . 이벤트 ID 4624는 로그온 시도를 위한 것이고, 로그온 유형 10은 해커가 사용할 수 있는 원격 액세스 서비스를 사용한 원격 로그인에 해당합니다.

원격 세션 재연결을 나타내는 이벤트 ID 4778을 찾아볼 수도 있습니다 . 각 이벤트의 세부 정보 페이지에는 계정 이름이나 네트워크 IP 주소와 같은 중요한 식별 정보가 나와 있습니다.

네트워크 트래픽 모니터링

원격 접속은 네트워크 연결에 따라 달라지므로, 네트워크 트래픽을 모니터링하는 것은 원격 접속을 감지하는 신뢰할 수 있는 방법입니다. 이러한 목적으로는 악성 연결을 모니터링하고 자동으로 보호하는 GlassWire의 무료 버전을 사용하는 것이 좋습니다.

GlassWire 애플리케이션에서는 GlassWire Protect 섹션 아래에서 모든 애플리케이션 연결을 볼 수 있습니다 . 이 애플리케이션은 자동으로 연결을 평가하고 신뢰할 수 없는 연결을 표시합니다. 대부분의 경우, 해당 애플리케이션은 악의적인 원격 연결을 감지하고 경고를 표시합니다.

앱 알고리즘 외에도 알 수 없는 앱의 높은 데이터 사용량과 같은 단서를 찾을 수도 있습니다. 원격 연결은 영구적인 데이터를 사용하므로 쉽게 감지할 수 있습니다.

예약된 작업 보기

많은 원격 액세스 시도는 Windows의 작업 스케줄러 도구를 사용하여 관리됩니다 . 이를 통해 PC 재부팅 시에도 문제가 없고, 계속해서 실행하지 않고도 작업을 수행할 수 있습니다. PC가 바이러스에 감염되면 작업 스케줄러에 알 수 없는 응용 프로그램의 작업이 표시됩니다.

Windows 검색에서 "작업 스케줄러"를 검색하고 작업 스케줄러 응용 프로그램을 엽니다. 왼쪽 패널에서 작업 스케줄러(로컬) -> 작업 스케줄러 라이브러리를 엽니다 . Microsoft 외에 이상하거나 의심스러운 폴더가 있는지 찾아보세요. 폴더를 찾았다면 작업을 마우스 오른쪽 버튼으로 클릭하고 속성을 선택하세요.

속성 에서 트리거 및 작업 탭을 살펴보고 작업이 무엇을 하는지, 언제 실행되는지 확인하세요. 이를 통해 작업이 잘못된 것인지 파악하기에 충분합니다. 예를 들어, 작업이 로그인 시 또는 시스템이 유휴 상태일 때 알 수 없는 애플리케이션이나 스크립트를 실행하는 경우 해당 작업은 악의적일 수 있습니다.

의심스러운 작업을 찾을 수 없다면 Microsoft에서 확인해 보세요. 정교한 맬웨어가 시스템 폴더에 숨어 있을 가능성이 있습니다. "systemMonitor"와 같은 일반적인 이름이나 철자가 잘못된 이름 등 의심스러운 작업을 찾아보세요. 다행히도 대부분의 작업은 Microsoft Corporation에서 작성했기 때문에 각 작업을 직접 조사할 필요는 없으며, 이는 무시해도 됩니다.