▲ AI generated image @Google Gemini 2.5 Flash

최근 재택근무와 유연 근무제가 확산되면서, 집이나 카페 같은 공공장소에서 노트북을 사용하는 경우가 부쩍 늘고 있다. 문제는 사무실과 달리 보안이 취약한 환경이라는 점이다. 잠깐 자리를 비운 사이, 혹은 내가 모르는 사이에 누군가 내 PC를 열어보진 않았을까 하는 불안감이 생길 수 있다. 혹시 개인적인 파일까지 들여다본 건 아닐까?

물론 이런 일이 발생하지 않는 게 최선이지만, 만약 조금이라도 의심되는 정황이 있다면 Windows의 ‘이벤트 뷰어(Event Viewer)’를 확인해보자. 이벤트 뷰어는 PC에서 일어나는 다양한 활동을 꼼꼼히 기록해 두는 일종의 블랙박스 같은 존재다. 시스템 로그부터 사용자 로그인 기록까지 남겨주기 때문에, 혹시 이번 명절 동안 조카나 사촌이 슬쩍 내 컴퓨터를 열어봤는지 검증해내는 것도 가능하다. 제대로 활용만 한다면, 소중한 나의 디지털 라이프를 지켜내는 강력한 도구가 되어줄 것이다.

일단 이벤트 뷰어 시동부터 걸어보자~

이벤트 뷰어는 Windows의 기본 기능 중 하나로, PC에서 발생하는 모든 주요 사건을 기록하는 일종의 로그 저장소다. 하지만 Windows 특유의 ‘숨겨진 기능’답게 이벤트 뷰어 역시 깊숙이 자리 잡고 있어 초보자가 아이콘이나 실행 파일을 직접 찾아 실행하기는 쉽지 않다. 따라서 가장 빠른 방법은 먼저 Win 키를 눌러 시작하는 것이다.

이벤트 뷰어를 실행하는 방법은 크게 두 가지가 있다. 첫 번째는 Win 키를 누른 뒤 ‘이벤트’라고 입력하는 것이다. 그러면 자동으로 응용 프로그램이 검색되며 실행 메뉴가 나타난다. 여기서 엔터를 누르거나 마우스로 클릭하면 곧바로 실행된다.

두 번째는 [Win+R] 단축키로 [실행] 창을 열고, [eventvwr.msc]라고 입력한 뒤 확인을 누르는 방법이다. 이렇게 해도 이벤트 뷰어가 바로 시작된다.

부재중 언제 PC가 켜졌나?

이제 본격적으로 이벤트 뷰어를 살펴보자. 가장 먼저 확인해야 할 것은 내가 없는 동안 PC가 켜졌는지, 혹은 잠금 상태의 Windows에 누군가 로그인했는지 여부다. 이를 확인하려면 이벤트 뷰어의 좌측 창에서 [Windows 로그 → 보안]을 클릭하면 된다. 이 보안 로그에는 사용자 인증과 관련된 모든 기록이 모두 저장되어 있다.

이벤트 뷰어의 가운데 창에는 다양한 이벤트가 ID 번호와 함께 기록되어 있다. 여기서 우리가 주목해야 할 것은 바로 ‘성공적인 로그온’, 즉 이벤트 ID 4624다. 이 항목을 찾아 클릭하면 상세 내역을 확인할 수 있다. 만약 내가 자리를 비운 동안 PC가 켜졌다면, 해당 시간대의 가장 이른 4624 이벤트가 바로 그 증거가 된다.

역으로, 로그온 암호가 설정된 PC에서 로그인 실패를 의미하는 이벤트 ID 4625가 기록되어 있다면, 누군가 내 PC에 무단으로 접근하려 했다는 정황 증거가 된다. 불미스러운 일이 발생했을 때는 이 기록이 중요한 단서가 될 수 있다.

하지만 이벤트는 많게는 한 시간에 수천 건씩 발생하기 때문에, 4624나 4625 같은 특정 이벤트 ID만 손으로 일일이 찾기에는 너무 번거롭고 시간이 오래 걸린다. 이럴 때는 이벤트 뷰어의 오른쪽 [작업] 창에서 [현재 로그 필터링]을 클릭하면 된다. 팝업 창이 열리면 [이벤트 ID] 항목에 4624를 입력한 뒤 확인을 누른다. 그러면 정보창 상단에 이벤트 ID 4624만 모아 정렬된다. 이 방법을 활용하면 성공적인 로그온 기록만 한눈에 확인할 수 있어, 무단 사용이 의심되는 시간대의 흔적을 훨씬 빠르게 찾아낼 수 있다.

시스템상 이벤트 7001번을 이벤트 4624와 함께 알아보면 더 확실한 증거가 된다. 이 이벤트는 4624번 로그온 기록과 더불어 시스템 차원의 켜짐, 꺼짐 시간을 통해 무단 사용 시간을 교차 검증할 수 있는 수단이다. 아까 처음 클릭했던 왼쪽 창에서 [Windows 로그 → 시스템]으로 이동한다. 그 후 [현재 로그 필터링]을 누르면 아까와 똑같은 창이 뜨는데, 이번엔 [이벤트 원본을 Winlogon]으로 필터링한다. 

시스템 이벤트 중 이벤트 ID 7001을 4624와 함께 확인하면 훨씬 확실한 증거를 확보할 수 있다. 7001 이벤트는 4624 로그온 기록과 더불어, 시스템 차원의 전원 켜짐·꺼짐 시점을 보여주기 때문에 무단 사용 여부를 교차 검증하는 데 유용하다. 방법은 간단하다. 처음과 마찬가지로 왼쪽 창에서 [Windows 로그 → 시스템]으로 이동한다. 이어서 오른쪽의 [현재 로그 필터링]을 클릭하면 동일한 팝업 창이 뜨는데, 이번에는 [원본을 Winlogon]으로 지정하면 된다.

도대체 무슨 짓을 한거야! 

불상의 침입자가 PC를 켰다면, 이제는 그가 어떤 행동을 했는지 확인해봐야 한다. 다만 이 기능은 기본적으로 비활성화되어 있으므로, 자리를 비우기 전에 미리 설정을 활성화해 두어야 한다. 방법은 간단하다. Win 키를 누른 뒤 ‘그룹 정책 편집기’를 입력해 실행하거나, [Win+R]을 눌러 실행 창을 열고 [gpedit.msc]를 입력해 실행하면 된다.

그 후 왼쪽 로컬 컴퓨터 정책 창에서 [컴퓨터 구성 → Windows 설정 → 보안 설정 → 로컬 정책 → 감사 정책] 순서로 이동한다. 

오른쪽 정책 창의 맨 아래에 있는 [프로세스 추적 감사]를 클릭해 속성 창을 열자. 여기서 성공과 실패 체크박스를 모두 선택한 뒤 확인을 누르면 된다. 이 설정을 적용하면 PC에서 새로운 프로그램(프로세스)이 실행될 때마다 자동으로 보안 로그에 기록이 남기 시작한다. 이제 다시 [이벤트 뷰어 → Windows 로그 → 보안]으로 돌아가자.

앞서와 동일하게 [현재 로그 필터링]을 눌러 이벤트 ID에 4688을 입력해 보자. 이 ID는 새로운 프로세스가 생성되었다는 의미로, 어떤 응용 프로그램이 실행되었는지를 알려준다. 해당 이벤트를 클릭한 뒤 하단의 [자세히] 탭을 열면 실행된 프로그램의 정보가 기록되어 있어 결정적인 증거를 확보할 수 있다. 위 이미지를 보면 해당 시간대에 동영상 플레이어인 팟플레이어(PotPlayer64.exe)가 실행되었다는 내역이 남아 있는 것을 확인할 수 있다.

설마, 그 파일을 열어본 건 아니겠지?

마지막으로 확인해야 할 것은 내 PC에서 어떤 파일이 열렸는지 여부다. 이 검증은 이벤트 뷰어를 사용하지 않아도 된다. Windows 자체의 자동 기록 기능만으로도 충분히 가능하다. 사용자가 최근에 열었던 파일 목록이 자동으로 저장되는 폴더를 직접 살펴보면 된다. 방법은 간단하다. [Win+R]을 눌러 실행 창을 연 뒤 [recent]라고 입력하고 확인을 누르면 된다.

그러면 탐색기 창이 열리면서 최근에 사용했던 문서, 사진, 프로그램 바로가기 등의 목록이 나타난다. 여기서 무단 사용이 의심되는 시간대에 내가 열어본 적 없는 낯선 파일이 있는지 확인해 보자. 파일 목록은 이름이나 수정한 날짜 기준으로 정렬할 수 있어 원하는 기록을 훨씬 쉽게 찾아낼 수 있다.

파일을 단순히 열어본 경우뿐만 아니라, 문서나 이미지를 새로 만들어 PC에 저장했을 때도 기록은 남는다. 이럴 땐 탐색기 상단의 카테고리 항목에서 우클릭해 [만든 날짜] 항목을 추가한 뒤 정렬하면, 새로 생성된 파일까지 한눈에 확인할 수 있다.

▲ AI generated image @Google Gemini 2.5 Flash

지금까지 Windows의 이벤트 뷰어 활용법을 살펴보았다. 서두에서도 언급했듯, 이런 불미스러운 상황이 애초에 발생하지 않는 것이 가장 바람직하다. 하지만 어쩔 수 없는 경우라면 이벤트 뷰어는 매우 유용한 도구가 될 수 있다. 예를 들어, 수험생 자녀가 몰래 PC로 게임을 하는 것 같아 사용 시간을 확인해야 하거나, 직장인이 출퇴근 기록을 증빙하기 위해 회사 PC의 전원 켜짐, 로그인 시간을 제출해야 하는 경우에도 활용할 수 있다. 무엇보다 중요한 것은 평소 자리를 비울 때 Win+L 키로 화면을 잠그는 습관을 들이는 것이다. 이렇게 하면 애초에 이벤트 뷰어를 열어볼 필요조차 없는, 안전한 PC 사용 환경을 만들 수 있다는 것을 잊지말자. 

기획, 편집, 글 / 다나와 정도일 doil@cowave.kr

(c) 비교하고 잘 사는, 다나와 www.danawa.com