원격 액세스 트로이 목마(RAT) 및 커널 수준 루트킷을 포함한 원격 액세스 맬웨어는 악의적인 행위자가 귀하의 동의 없이 귀하의 시스템을 제어할 수 있도록 하여 Windows PC에 상당한 위험을 초래합니다.이러한 위협의 은밀한 특성으로 인해 감지하기가 특히 어렵습니다.장치에 대한 무단 액세스가 의심되는 경우 이 가이드는 원격 존재를 확인하고 위협을 효과적으로 제거하는 데 도움이 됩니다.
원격 액세스의 경고 신호 식별
원격 액세스는 종종 눈에 띄지 않게 발생하지만, 침해를 나타낼 수 있는 몇 가지 징후가 있습니다.이러한 증상은 관련 없는 문제를 나타낼 수도 있지만, 이러한 증상이 합쳐지면 원격 활동을 시사할 수 있습니다.
- 불규칙한 마우스 또는 키보드 동작: 커서가 일관되지 않게 움직이거나 예상치 못한 텍스트가 입력되는 것을 발견하면 원격 제어 소프트웨어 때문일 수 있습니다.여기에는 커서 점프나 명령을 자율적으로 실행하는 것과 같은 동작이 포함됩니다.이러한 발생을 면밀히 모니터링하는 것이 중요합니다.이는 무단 액세스를 확인할 수 있기 때문입니다.
- 예상치 못한 애플리케이션 동작: 애플리케이션이 사용자의 입력 없이 열리고 닫히기 시작하면 이는 위험 신호일 수 있습니다.해커는 원격으로 소프트웨어에 작업을 실행하도록 명령할 수 있으며, 종종 중요한 앱을 표적으로 삼아 보안 조치를 비활성화합니다.
- 새로운 사용자 계정 감지: 사이버 범죄자는 종종 발각된 후 접근을 유지하기 위해 보조 계정을 만듭니다. Windows 설정 -> 계정에서 가족 및 다른 사용자 섹션 에 익숙하지 않은 항목이 있는지 확인하세요.
- 성능 저하: 시스템 성능이 갑자기 저하되면 리소스를 많이 사용하는 원격 작업이 발생하고 있음을 시사할 수 있습니다.이 문제가 산발적으로 발생하는 경우 주의 깊게 살펴보세요.불법적인 원격 액세스 시도와 관련이 있을 수 있습니다.
- 원격 데스크톱의 무단 활성화: Windows 원격 데스크톱은 본질적으로 취약하기 때문에 해커가 사용자 동의 없이 자주 이를 활성화합니다. Windows 설정에서 시스템 -> 원격 데스크톱 으로 이동하여 꺼져 있는지 확인하세요.
PC에서 원격 액세스 확인
우려스러운 징후를 발견했다면 원격 액세스에 대한 의심을 확인하기 위한 조치를 취하는 것이 중요합니다.내장된 Windows 도구를 사용하여 활동을 추적하여 잠재적인 무단 액세스의 증거를 수집합니다.
Windows 이벤트 뷰어 활용
Windows 이벤트 뷰어는 사용자 활동을 추적하는 데 매우 귀중한 리소스입니다.무단 로그인 시도와 RDP(원격 데스크톱 프로토콜) 로그인을 보여줄 수 있습니다. Windows 검색창에서 “이벤트 뷰어”를 검색하여 시작하세요.
Windows Logs -> Security 로 이동합니다.이벤트를 ID별로 정렬합니다.특히 로그온 시도를 나타내는 이벤트 ID 4624 에 집중합니다.원격 로그온을 암시하므로 Logon Type 10을 표시하는 이벤트에 특히 주의하세요.
또한 원격 세션 재연결에 대한 기록을 제공하는 이벤트 ID 4778을 확인하여 네트워크 ID와 활동의 타임스탬프에 대한 통찰력을 얻으세요.
네트워크 트래픽 모니터링
네트워크 트래픽을 추적하는 것은 원격 액세스를 감지하는 실용적인 방법입니다.GlassWire 와 같은 도구를 활용하면 잠재적 침입자에 대한 자동 방어 메커니즘을 제공하는 동시에 의심스러운 연결을 식별하는 데 도움이 될 수 있습니다.
GlassWire에서 GlassWire Protect 섹션에서 활성 연결을 확인합니다.이 앱은 신뢰할 수 없는 연결을 표시하여 악의적인 원격 활동을 발견하는 데 도움이 됩니다.
예약된 작업 조사
공격자는 종종 작업 스케줄러를 사용하여 재부팅을 통해 액세스를 유지합니다.이 유틸리티에 예약된 알 수 없거나 의심스러운 작업을 확인합니다. Windows 검색에서 작업 스케줄러를 검색하여 열고 작업 스케줄러(로컬) -> 작업 스케줄러 라이브러리 로 이동하여 익숙하지 않은 폴더를 자세히 살펴봅니다.
원격 액세스에 대한 조치 취하기
허가되지 않은 접근을 확인하면 즉시 인터넷 연결을 끊는 것이 단계입니다.이렇게 하면 피해 통제 조치를 시행하는 동안 추가적인 악의적인 활동을 방지할 수 있습니다.다른 장치를 사용하여 중요한 계정 비밀번호를 재설정하고 필수 데이터를 백업하세요.
Microsoft Defender로 오프라인 검사 실행
현재 보안 솔루션이 루트킷과 같은 고급 위협에 효과적이지 않은 경우 Microsoft Defender의 오프라인 검사 기능을 고려하세요.이 방법은 시작 중에 PC를 검사하여 지속적인 맬웨어를 감지할 수 있는 안전한 환경을 제공합니다.
“Windows 보안”을 검색하여 검사를 시작하고, 바이러스 및 위협 방지 -> 검사 옵션 으로 이동한 다음 Microsoft Defender 바이러스 백신(오프라인 검사)을 선택하고 지금 검사를 누릅니다.
의심스러운 프로그램 제거
검사 결과에 관계없이 익숙하지 않은 애플리케이션에 대한 수동 검사를 수행합니다.설정 -> 앱 -> 설치된 앱 으로 이동하여 의심스러운 소프트웨어를 식별합니다. TeamViewer, AnyDesk, Chrome Remote Desktop과 같이 사용자의 지식 없이 손상되거나 설치되었을 수 있는 애플리케이션을 제거합니다.
방화벽 설정 구성
허가되지 않은 원격 액세스를 방지하려면 방화벽 설정에서 일반적인 인바운드 원격 액세스 포트를 차단하세요.이러한 서비스를 사용하지 않는 경우 이 작업은 필수적입니다.
Windows 검색에서 고급 보안이 포함된 Windows Defender 방화벽을 검색하여 엽니다.인바운드 규칙 -> 새 규칙을 선택하고 포트를 선택한 다음 다음을 선택합니다. TCP를 지정하고 필요에 따라 다음 포트를 나열하여 차단합니다.
- 3389(Windows 원격 데스크톱)
- 5900(가상 네트워크 컴퓨팅)
- 5938(팀뷰어)
- 6568(애니데스크)
- 8200(GoToMyPC)
깨끗한 Windows 설치를 고려하세요
다른 수정 단계가 부족하면 Windows를 새로 설치해야 할 수 있습니다.이 방법은 맬웨어가 남을 가능성을 크게 줄이지만, 이 프로세스는 PC에서 모든 데이터를 지우므로 전체 데이터 백업이 필요합니다.
원격이든 로컬이든 잠재적인 무단 액세스에 관해서는 단호하게 행동하는 것이 중요합니다.예방 전략과 강력한 Windows 보안 옵션을 사용하는 것이 미래의 위협에 대한 최선의 방어책입니다.
이미지 출처: Vecteezy.모든 스크린샷은 Karrar Haider가 촬영했습니다.
자주 묻는 질문
1.누군가가 원격으로 내 PC에 접속하고 있는지 어떻게 알 수 있나요?
불규칙한 커서 움직임, 알 수 없는 프로그램이 열리거나 닫히는 것, 설정에 새로운 사용자 계정이 나타나는 것과 같은 비정상적인 징후를 살펴보세요.네트워크 트래픽을 모니터링하고 Windows 이벤트 뷰어를 확인하면 허가되지 않은 활동을 확인할 수 있습니다.
2.내 PC에서 원격 접속의 증거를 발견하면 어떻게 해야 합니까?
더 이상의 무단 활동을 중단하려면 인터넷 연결을 즉시 끊으세요.그런 다음 중요한 계정의 비밀번호를 재설정하고, 보안 도구로 시스템을 검사하고, 의심스러운 프로그램이나 네트워크 트래픽을 확인하세요.
3. Windows를 새로 설치해야 합니까?
다른 모든 방법이 실패하거나 악성 소프트웨어를 완전히 제거하려면 클린 설치를 고려해야 합니다.이 방법을 진행하기 전에 항상 데이터를 백업하세요.장치에서 모든 콘텐츠가 지워집니다.
답글 남기기 ▼