이 글의 목적은 엑셀에서 UNC 경로(\\server\share\path)로 파일을 열거나 저장할 때 발생하는 접근 거부·읽기 전용 전환·지연·보안 경고 문제를 시스템적으로 진단하고 해결하는 방법을 제시하여 현장에서 즉시 적용 가능하도록 돕는 것이다.
현상 요약과 빠른 진단 흐름
UNC 경로 접근 거부 문제는 운영체제 인증·네트워크 공유 권한·SMB 프로토콜·Office 보안 정책·신뢰할 수 있는 위치 설정·길이 제한·파일 잠금 등 다층 요인에서 발생한다. 아래 순서로 점검하면 시간을 절약할 수 있다.
| 증상 | 주요 원인 | 즉시 확인 |
|---|---|---|
| “액세스가 거부되었다” “권한이 없습니다” | 공유권한/NTFS 권한 불일치, 다른 자격 증명 캐시 충돌, Kerberos 실패 |
whoami /groups
로 그룹 확인,
icacls
로 NTFS 권한 조회,
cmdkey /list
로 자격 증명 확인
|
| “보안 경고” “보호된 보기에서 열기” “인터넷에서 가져온 파일” | Mark of the Web, 신뢰할 수 있는 위치 미설정, 파일 차단 정책 | 파일 속성 ‘차단 해제’, 엑셀 신뢰 위치 추가, 파일 차단 설정 검토 |
| 파일이 자동으로 ‘읽기 전용’ | 공유 잠금, 서버 측 AV 스캔 지연, WebDAV/DFS 경유, SMB 서명/암호화 오버헤드 | 잠금 파일(~$) 존재 확인, AV 예외 경로 검토, 실제 프로토콜이 SMB인지 확인 |
| 경로는 보이지만 열기 실패 | 길이 제한(260자), 잘못된 DFS 권한, 오래된 SMB1 의존 | 경로 길이 계산, “Win32 긴 경로” 정책 활성화, DFS 권한/참조 확인 |
주의 :
동일 서버 이름에 서로 다른 자격 증명을 섞어 쓰면 인증 루프가 발생한다. UNC 경로를 드라이브 문자로 매핑할 때는 접속 대상별로 일관된 FQDN과 자격 증명을 사용해야 한다.
1. 기본 개념 정리: UNC·SMB·권한 모델
-
UNC 경로
는
\\서버이름\공유명\하위경로\파일.xlsx형태이다. - 공유 권한 은 공유에 접근 가능한 보안 주체를 정의하고, NTFS 권한 은 실제 파일/폴더의 접근을 결정한다. 최종 권한은 두 권한의 교집합으로 결정된다.
- SMB 는 2.x/3.x가 표준이다. SMB1은 비활성화가 권장된다.
- Kerberos 인증은 도메인 환경에서 권장되며, SPN·시간 동기화·DNS가 정확해야 한다. 실패 시 NTLM으로 폴백될 수 있다.
2. 사용자·그룹·권한 즉시 점검
whoami whoami /groups icacls \\server\share\path net use
-
icacls결과에서(F)는 전체 제어,(M)는 수정,(RX)는 읽기 실행만 허용한다. 엑셀 저장에는 최소Modify가 필요하다. - 공유 권한은 서버에서 공유 속성 > 권한 을 확인한다. 일반적으로 “Everyone=Read, 그룹=Change/Full”보다 “Everyone=None, 보안 그룹으로 제한” 구성이 안전하다.
주의 :
“보이는데 저장만 실패”는 NTFS 상위 폴더에 대한
Create files / write data
권한 부재로 빈번히 발생한다. 상위·하위 폴더 상속을 재검토해야 한다.
3. 자격 증명 충돌과 캐시 정리
서버 A에 도메인 계정으로 접속한 후 로컬 계정 또는 다른 도메인 자격 증명으로 동일 호스트명에 재접속하면 접근 거부가 발생할 수 있다. 다음으로 정리한다.
cmdkey /list cmdkey /delete:TERMSRV/server cmdkey /delete:server.fqdn net use * /delete /y
이후 하나의 FQDN으로만 접속하고 동일 자격 증명을 사용한다.
4. Kerberos 실패와 SPN 문제 진단
klist klist purge gpupdate /force
-
klist에서cifs/server.fqdn티켓이 없으면 NTLM로 폴백될 수 있다. - 서버 SPN이 잘못 등록되면 Kerberos 인증이 실패한다. SPN은 서버 측에서 점검한다.
5. 엑셀 보안 정책: 보호된 보기·신뢰할 수 있는 위치·파일 차단
네트워크 경로는 인터넷/인트라넷 구분 및 Mark of the Web(MotW) 영향으로 보호된 보기나 파일 차단이 적용될 수 있다. 다음을 점검한다.
- 파일 속성의 차단 해제 : 네트워크에서 받은 파일은 MOTW가 붙어 보호된 보기가 강제될 수 있다. 파일의 속성에서 ‘차단 해제’를 적용한다.
- 신뢰할 수 있는 위치 추가 : 엑셀 옵션 > 보안 센터 > 보안 센터 설정 > 신뢰할 수 있는 위치에서 네트워크 위치를 허용하고 UNC 루트를 추가한다.
- 파일 차단 설정 : 오래된 파일 형식이 차단될 수 있다. 필요한 형식만 예외 처리한다.
주의 :
네트워크 전체 루트(
\\server\share
)를 신뢰 위치로 광범위하게 추가하면 보안 위험이 증가한다. 업무 전용 하위 폴더 수준으로 최소화한다.
6. UNC 하드닝과 영역(Zone) 판정
- UNC Hardened Access 정책이 적용된 환경에서 서명이 요구되는 경로로 접근 시 구식 클라이언트는 실패한다.
- Windows의 ‘인터넷 옵션’ 보안 영역에서 해당 UNC가 ‘로컬 인트라넷’으로 판정되는지 확인한다. 자동 감지 실패 시 FQDN 또는 사이트를 인트라넷에 수동 추가한다.
7. 경로 길이 260자 제한 해소
경로가 260자를 초과하면 열기·저장에 실패할 수 있다. Windows 10/11에서 긴 경로 정책을 활성화한다.
레지스트리: HKLM\System\CurrentControlSet\Control\FileSystem 값: LongPathsEnabled = 1 (DWORD)
또는 그룹 정책에서 ‘Win32 긴 경로 사용 가능’을 사용으로 설정한다.
8. DFS·연결 지연·잠금 파일 문제
- DFS 경로는 지사 간 WAN 또는 참조 전환으로 지연이 커질 수 있다. 직접 대상 서버 UNC로 테스트하여 원인 분리한다.
- 잠금 파일 (~$파일명.xlsx)이 남아 있으면 읽기 전용이 된다. 서버에서 숨김 파일 표시 후 삭제 가능한지 확인한다.
- 실시간 백신 스캔 이 저장 시점에 I/O를 지연시켜 타임아웃과 읽기 전용 전환을 유발할 수 있다. 예외 경로를 협의하여 최소화한다.
9. SMB 설정과 보안 요구 사항
| 항목 | 설명 | 권장 |
|---|---|---|
| SMB1 | 구형 장비 호환 목적이나 보안 취약 | 비활성화 |
| SMB 서명 | 무결성 보장. 성능 영향 있음 | 도메인 환경에서 필요 시 서버 강제, 클라이언트는 정책 일치 |
| SMB 암호화 | 데이터 보호. CPU 오버헤드 | 민감 데이터 공유에 선택적 적용 |
클라이언트 워크스테이션 매개변수는 아래 경로에서 점검한다.
HKLM\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters ; 예: RequireSecuritySignature (DWORD), EnableSecuritySignature (DWORD)
주의 :
서버와 클라이언트의 서명/암호화 요구 수준이 불일치하면 접속은 되지만 엑셀 저장 시 지연·실패가 반복될 수 있다.
10. Office 하드닝과 ASR 정책 영향
공격 표면 감소(ASR) 규칙이나 Office 마크로 하드닝이 네트워크 위치 파일을 차단할 수 있다. 다음 항목을 보안팀과 조정한다.
- 네트워크 위치의 매크로 차단 정책
- Office 응용 프로그램이 네트워크에서 파일을 만들거나 실행하는 동작 제한
- 필요 폴더에 한해 예외 경로 적용
11. WebDAV와 SMB 혼동 제거
일부 포털/문서관리 시스템은 UNC 유사 경로처럼 보이나 실제로는 WebDAV이다. 엑셀은 대용량 WebDAV에서 지연과 충돌이 잦다. 가능하면 SMB 네이티브 공유로 전환하거나 동기화 클라이언트를 사용한다.
12. 실무 체크리스트: 단계별 해결
12.1 사용자 측 점검
-
경로를 FQDN 기준으로 통일한다:
\\filesrv01.domain.local\Finance로 접속한다. -
자격 증명 캐시 초기화 후 재접속한다:
net use * /delete /y cmdkey /list cmdkey /delete:filesrv01.domain.local - 엑셀 신뢰 위치에 업무 폴더를 추가한다. 필요 시 ‘네트워크 위치를 신뢰’ 옵션을 활성화한다.
- 파일 속성에서 차단을 해제한다. 새 파일은 해당 신뢰 폴더에만 저장한다.
- 경로 길이를 200자 이하로 리팩터링한다. 폴더 깊이를 6단계 이내로 유지한다.
12.2 IT 관리자 측 점검
- 사용자/그룹이 공유권한과 NTFS 모두에 적절히 포함되는지 확인한다. 최소 권한 원칙을 적용한다.
- 서버 시간·DNS·SPN을 검증하여 Kerberos가 정상인지 확인한다.
- DFS 네임스페이스 권한과 대상 참조를 점검한다. 지연이 크면 로컬 사이트 우선 참조를 구성한다.
- 서버 실시간 백신의 업무 공유 예외를 설정한다. 잠금 파일(~$) 및 임시 폴더를 제외 대상에 포함한다.
- SMB 서명/암호화 요구 사항을 정책으로 일관되게 통일한다.
- 그룹 정책으로 ‘Win32 긴 경로 사용 가능’을 사용으로 설정한다.
- UNC Hardened Paths 정책이 필요한 경로에만 적용되도록 검토한다.
13. 문제 유형별 처방전
| 문제 유형 | 핵심 원인 | 처방 |
|---|---|---|
| 접근 거부 | NTFS 권한 부재 또는 공유권한과 불일치 | 그룹 정리 후 NTFS 상속 재설계, 최소 Modify 보장 |
| 보호된 보기 반복 | MOTW, 신뢰 위치 미설정, 파일 차단 | 차단 해제, 신뢰 위치 추가, 파일 차단 예외 |
| 읽기 전용 전환 | 잠금 파일 잔존, 백신 스캔, DFS 지연 | ~$ 파일 제거, AV 예외, 대상 서버 직접 경로 사용 |
| 저장 실패(간헐) | 자격 증명 충돌, Kerberos 폴백 | 자격 증명 정리, SPN/DNS/시간 동기화 |
| 경로 표시만 되고 열기 실패 | 260자 제한, SMB1 의존 | 긴 경로 정책 활성화, SMB1 제거·SMB2/3 사용 |
14. 그룹 정책·레지스트리 설정 예시
14.1 긴 경로 활성화
경로: 컴퓨터 구성 > 관리 템플릿 > 시스템 > 파일 시스템 정책: Win32 긴 경로 사용 가능 = 사용 레지스트리: HKLM\System\CurrentControlSet\Control\FileSystem 값: LongPathsEnabled = 1 (DWORD)
14.2 UNC Hardened Paths
HKLM\Software\Policies\Microsoft\Windows\NetworkProvider\HardenedPaths 문자열 값 예: \\*\NETLOGON = RequireMutualAuthentication=1, RequireIntegrity=1 \\*\SYSVOL = RequireMutualAuthentication=1, RequireIntegrity=1
14.3 엑셀 신뢰할 수 있는 위치 추가(예시)
HKCU\Software\Microsoft\Office\16.0\Excel\Security\Trusted Locations\Location1 경로(Path) = \\server\share\DeptA\ 허용 하위 폴더(SubFolders) = 1 (DWORD) 설명(Description) = DeptA Trusted
주의 :
조직 배포 시 GPO Preferences 또는 관리용 템플릿을 사용하여 표준화하고 사용자 임의 추가를 제한한다.
15. 파일 차단·보호된 보기 정책 기준선
- 보호된 보기는 ‘인터넷에서 가져온 파일’ 또는 첨부파일에 우선 적용된다. 네트워크 공유라도 영역 판정에 따라 적용될 수 있다.
- 업무 표준 템플릿은 신뢰 위치에서 배포하고, 개인 다운로드 폴더에서 직접 실행하지 않도록 교육한다.
16. 명령 예시 모음: 현장 트러블슈팅
:: DFS 경로 대신 대상 서버로 테스트 start \\filesrv01.domain.local\Finance\Report.xlsx
:: 경로 길이 확인(PowerShell)
powershell -NoP -C "(Get-Item 'C:\very\long\path\file.xlsx').FullName.Length"
:: 잠금 파일 검색
dir \server\share\path~$*.xlsx /a:h
:: 네트워크 드라이브 재매핑(일관된 자격 증명)
net use Z: \filesrv01.domain.local\Finance /user:DOMAIN\user1 *
:: Kerberos 티켓 확인
klist
:: GPO 적용 여부
gpresult /r /scope user
gpresult /h %TEMP%\gpo.html
:: 서버 측 SMB 세션 관찰(관리자)
net session
17. 운영상 베스트 프랙티스
- 공유 루트별 보안 그룹 전용 권한 매트릭스를 유지한다.
- 서버·클라이언트 시간 오차를 5분 미만으로 관리한다.
- 문서명 규칙을 간결하게 설계하고 폴더 깊이를 제한한다.
- 엑셀 자동 복구 파일의 저장 위치를 로컬로 설정하여 네트워크 I/O를 줄인다.
- 대용량 파일은 로컬 임시 폴더에 작업 후 원본 위치로 원자적 이동을 고려한다.
18. 사례 기반 시나리오
사례 A: 신입 사용자만 저장 실패
원인: 보안 그룹 미편성으로 NTFS Modify 부재이다. 조치: 도메인 그룹 추가 후 상속 재적용으로 해결한다.
사례 B: 동일 PC에서 오전만 실패
원인: 야간 배치 백신 풀스캔이 오전까지 지속되어 I/O 지연이 발생한다. 조치: 업무 공유 경로 예외 설정 및 스케줄 조정으로 해결한다.
사례 C: 특정 부서만 보호된 보기
원인: 해당 OU에만 UNC 하드닝/파일 차단 정책 강화가 적용되었다. 조치: GPO 필터링 재검토와 신뢰 위치 표준 배포로 해결한다.
19. 점검·조치 체크리스트
| # | 항목 | 도구 | 상태 |
|---|---|---|---|
| 1 | FQDN·자격 증명 일관성 | net use, cmdkey | 완료/미완 |
| 2 | 공유/NTFS 권한 교집합 확인 | icacls | 완료/미완 |
| 3 | Kerberos 티켓·SPN 확인 | klist | 완료/미완 |
| 4 | 신뢰 위치·파일 차단 정책 | 엑셀 옵션 | 완료/미완 |
| 5 | 경로 길이 정책 | 레지스트리/GPO | 완료/미완 |
| 6 | DFS·잠금 파일·AV 영향 | dir, 서버 콘솔 | 완료/미완 |
| 7 | SMB 서명/암호화 정책 일치 | GPO, 레지스트리 | 완료/미완 |
FAQ
UNC 대신 IP 주소로 접속하면 해결되는가?
일시적으로 해결되는 경우가 있으나 Kerberos가 비활성화되고 DNS·SPN 검증이 우회되어 보안과 감사에 불리하다. FQDN 기반으로 원인 해결을 권장한다.
엑셀에서만 저장 실패하고 메모장에서는 저장된다면 무엇을 의심해야 하나?
보호된 보기·신뢰 위치·파일 차단·매크로 정책 등 Office 특유의 하드닝 영향을 우선 점검해야 한다. 또한 잠금 파일 생성 실패나 대용량 실시간 스캔도 고려한다.
네트워크 드라이브로 매핑하면 더 안전한가?
보안은 동일하다. 다만 매핑 시 일관된 자격 증명과 FQDN을 강제할 수 있어 운영상 안정성이 높아진다.
SMB1을 켜면 호환되는데 문제가 없는가?
보안상 권장하지 않는다. 가능하면 장비 펌웨어 갱신 또는 SMB2/3 호환 경로로 마이그레이션한다.
경로 길이를 줄이기 어렵다면 대안은 무엇인가?
경로 길이를 줄이기 어렵다면 대안은 무엇인가?
긴 경로 정책을 활성화하고 프로젝트 루트 구조를 재설계하여 폴더 계층을 평탄화한다. 파일명 규칙에서 날짜·버전 표기를 간결화한다.