복사 붙여넣기 안될 때 해결 방법 총정리 (클립보드 오류 완벽 해결)

날짜:

원격 데스크톱 차단 복구: 로컬 보안 정책 초기화로 RDP 접속 되살리는 방법

날짜:

이 글의 목적은 로컬 보안 정책(Local Security Policy) 설정 오류로 원격 데스크톱(RDP)이 차단된 상황에서, 정책을 안전하게 초기화하고 필요한 값만 재구성하여 RDP 접속을 복구하는 실무 절차를 정리하는 것이다.

1. 증상 정리: 로컬 보안 정책으로 인한 RDP 차단 사례

원격 데스크톱 연결이 되지 않을 때 단순 포트 차단이나 네트워크 문제 외에 로컬 보안 정책(Local Security Policy) 설정 오류로 인해 차단되는 경우가 많다.

1.1 자주 발생하는 증상

  • 같은 네트워크에서는 핑(Ping)은 정상인데 RDP만 “연결할 수 없습니다” 오류가 발생한다.
  • RDP 연결 시도 시 자격 증명 입력 화면까지 가지 못하고 즉시 연결 실패가 뜬다.
  • 이전에 접속이 잘 되던 계정이 어느 순간부터 “로그온이 허용되지 않습니다”류의 메시지를 띄운다.
  • 방화벽에서 3389 포트가 허용되어 있고, 서비스도 실행 중인데 원격 접속이 되지 않는다.

이런 증상은 대개 다음 위치의 정책이 잘못 설정되어 있는 경우가 많다.

  • 로컬 정책 → 사용자 권한 할당 → 원격 데스크톱 서비스 통해 로그온 허용
  • 로컬 정책 → 사용자 권한 할당 → 네트워크에서 이 컴퓨터 액세스 허용
  • 로컬 정책 → 보안 옵션 → 계정, 네트워크 액세스, 사용자 계정 컨트롤(UAC) 관련 항목
주의 : 도메인 환경에서는 그룹 정책(GPO)이 상위에서 내려와 로컬 보안 정책을 덮어쓸 수 있다. 이 글의 내용은 단독 워크그룹 PC 또는 GPO 영향이 크지 않은 환경을 전제로 한다.

1.2 로컬 보안 정책이 꼬이는 대표 상황

  • 보안 강화를 이유로 RDP 관련 권한을 임의로 삭제·수정한 경우
  • 인터넷에 떠도는 “보안 강화 스크립트”나 레지스트리를 그대로 적용한 경우
  • 서드파티 보안 프로그램이 윈도우 보안 설정을 강하게 조정한 경우
  • 이전 운영체제 정책 템플릿을 그대로 가져와 덮어쓰기 했을 때

2. 사전 점검: RDP 차단 원인이 로컬 보안 정책인지 확인

정책 초기화를 하기 전에 네트워크와 서비스 상태를 기본적으로 점검해야 한다.

2.1 기본 네트워크 및 서비스 점검

  1. 목표 PC에 Ping 테스트를 수행한다.
    • Ping이 되지 않으면 네트워크·방화벽 레벨 문제일 가능성이 크다.
    • Ping은 되는데 RDP만 안되면 RDP 포트/정책을 의심한다.
  2. 서비스 상태 확인 
    services.msc
    • 원격 데스크톱 서비스(Remote Desktop Services)가 동작 중인지 확인한다.
    • 중지되어 있다면 자동 또는 수동으로 시작 후 재시도한다.
  3. 방화벽 예외 확인
    • 제어판 또는 설정 → Windows Defender 방화벽 → “앱 또는 기능 허용”에서 원격 데스크톱이 허용되어 있는지 확인한다.
    • 고급 보안이 포함된 Windows Defender 방화벽에서 인바운드 규칙 “원격 데스크톱 - 사용자 모드(TCP-In)”가 활성 상태인지 확인한다.

2.2 로컬 보안 정책에서 직접 차단되었는지 확인

네트워크·서비스·방화벽이 정상인데도 연결이 되지 않는다면 로컬 보안 정책을 확인한다.

  1. secpol.msc
    를 실행한다.
  2. 로컬 정책 → 사용자 권한 할당을 연다.
  3. 다음 항목을 중점적으로 확인한다.
    • 원격 데스크톱 서비스 통해 로그온 허용
    • 네트워크에서 이 컴퓨터 액세스 허용
    • 로컬에서 로그온 거부
    • 터미널 서비스 통해 로그온 거부
  4. RDP 접속에 사용할 계정이 “허용” 항목에서 빠져있거나, 반대로 “거부” 항목에 들어 있으면 RDP 차단이 발생한다.
주의 : 정책을 개별적으로 수정해도 되지만, 설정이 많이 꼬인 상태라면 부분 수정보다 기본 정책으로 초기화 후 필요한 권한만 다시 부여하는 편이 더 안전하다.

3. 로컬 보안 정책 전체 초기화(secedit) 개요

윈도우에서는 secedit 명령을 사용해 로컬 보안 정책을 기본값 템플릿으로 재구성할 수 있다. 이 방법은 사용자 권한 할당, 보안 옵션, 감사 정책 등 대부분의 로컬 보안 설정을 운영체제 기본값 상태로 돌리는 방식이다.

3.1 secedit 초기화 명령 구조

가장 널리 쓰이는 기본 초기화 명령은 다음과 같다.

secedit /configure /cfg %windir%\inf\defltbase.inf /db defltbase.sdb /verbose
  • /configure : 지정한 템플릿을 현재 시스템 보안 설정에 적용한다.
  • /cfg : 적용할 보안 템플릿 파일 경로이다(일반적으로 defltbase.inf).
  • /db : 내부적으로 사용할 보안 데이터베이스 파일 이름이다.
  • /verbose : 처리 과정을 상세 출력한다.

3.2 초기화 시 변경되는 대표 항목

로컬 보안 정책 초기화 시 다음 항목들이 기본값으로 돌아간다.

  • 사용자 권한 할당(로그온 허용/거부, 서비스 계정 권한 등)
  • 보안 옵션(계정 잠금 정책 일부, 네트워크 액세스, UAC 관련 기본값)
  • 감사 정책(성공/실패 감사 설정)

이는 RDP 차단뿐 아니라 다른 권한·보안 설정까지 광범위한 영향을 줄 수 있으므로 사전에 구조를 이해하고 진행해야 한다.

구분 예시 항목 초기화 영향
사용자 권한 할당 원격 데스크톱 서비스 통해 로그온 허용 기본 그룹(Administrators 등)으로 재설정된다.
로그온 거부 정책 터미널 서비스 통해 로그온 거부 임의로 추가한 계정이 제거되며 기본 상태로 돌아간다.
보안 옵션 네트워크 접근, UAC, 계정 정책 OS 설치 시 기본값으로 재설정된다.
주의 : 서버에 특수 권한을 부여해 운영 중이었다면 초기화 이전에 현재 로컬 보안 정책을 내보내 백업해 두는 것이 좋다.

4. 로컬 보안 정책 초기화 실제 절차

아래는 워크그룹 환경 또는 단독 서버를 기준으로 한 초기화 절차이다.

4.1 현재 로컬 보안 정책 백업

초기화 전 현재 정책을 템플릿으로 내보내 백업해두면, 문제가 발생했을 때 다시 적용할 수 있다.

  1. 관리자 권한으로 명령 프롬프트 또는 PowerShell을 실행한다.
  2. 적당한 폴더를 만들고 이동한다. 
    mkdir C:\SecBackup cd C:\SecBackup
  3. 현재 보안 설정을 내보낸다. 
    secedit /export /cfg C:\SecBackup\local_backup.inf /areas SECURITYPOLICY USER_RIGHTS /log C:\SecBackup\export.log
    • /areas에는 필요한 영역만 선택적으로 지정할 수 있다.

4.2 로컬 보안 정책 초기화 명령 실행

  1. 여전히 관리자 권한 콘솔에서 다음 명령을 실행한다. 
    secedit /configure /cfg %windir%\inf\defltbase.inf /db C:\SecBackup\defltbase.sdb /verbose /log C:\SecBackup\secedit_config.log
  2. 처리가 완료될 때까지 기다린 후, 로그 파일에서 오류 여부를 확인한다.
  3. 완료 후 시스템 재시작을 수행한다. 
    shutdown /r /t 0
주의 : 도메인 환경에서 이 명령을 실행하면 도메인 정책과 충돌하거나 일부 설정이 다시 덮어쓰기될 수 있다. 이 경우에는 반드시 도메인 관리자와 협의 후 진행해야 한다.

5. RDP 관련 핵심 정책 재구성

초기화 이후에는 RDP 접속에 필요한 최소한의 정책을 다시 구성해야 한다. 이 과정이 제대로 되지 않으면 여전히 접속이 되지 않을 수 있다.

5.1 “원격 데스크톱 서비스 통해 로그온 허용” 설정

  1. secpol.msc를 실행한다.
  2. 로컬 정책 → 사용자 권한 할당으로 이동한다.
  3. 원격 데스크톱 서비스 통해 로그온 허용 항목을 더블클릭한다.
  4. 기본적으로 Administrators 그룹이 포함되어 있는지 확인한다.
    • 관리자 계정으로만 접속할 계획이라면 기본값으로도 충분하다.
    • 일반 사용자 계정도 RDP 허용 대상이라면 해당 계정 또는 그룹을 추가한다.

5.2 “터미널 서비스 통해 로그온 거부” 확인

  1. 동일한 위치에서 터미널 서비스 통해 로그온 거부 항목을 찾는다.
  2. RDP로 접속해야 할 계정이나 그룹이 여기에 들어있지 않은지 확인한다.
  3. 불필요한 그룹 또는 계정이 있으면 제거한다.

5.3 “네트워크에서 이 컴퓨터 액세스 허용” 확인

파일 공유 또는 기타 네트워크 로그온과 연계되는 권한이므로, RDP 접속 후 리소스 액세스에도 영향을 준다.

  1. 네트워크에서 이 컴퓨터 액세스 허용 항목을 연다.
  2. Administrators, Users 등의 기본 그룹이 포함되어 있는지 확인한다.
  3. 특정 보안 정책으로 인해 Users가 제거되어 있으면 필요에 따라 다시 추가한다.
정책 이름 권장 구성 설명
원격 데스크톱 서비스 통해 로그온 허용 Administrators, 원격용 전용 그룹 RDP 로그온 가능한 계정·그룹 정의
터미널 서비스 통해 로그온 거부 비워두거나 최소 제한 특정 계정의 RDP 로그인 아예 차단
네트워크에서 이 컴퓨터 액세스 허용 Administrators, Users 네트워크 로그온 가능 계정 범위
주의 : 보안상 필요하다면 “원격 데스크톱 사용자” 전용 로컬 그룹을 만들어 여기에만 권한을 부여하고, 일반 Users 그룹은 제외하여 최소 권한 원칙을 적용하는 것이 좋다.

6. RDP 기능 전반 점검 단계

로컬 보안 정책 초기화 및 재구성이 끝났다면 RDP 기능 전체를 다시 점검해야 한다.

6.1 시스템 속성에서 RDP 허용 여부 확인

  1. 시스템 속성 → 원격 탭을 연다.
    • Windows 10/11에서는 “이 컴퓨터에 원격 데스크톱 연결 허용” 옵션이 활성화되어 있어야 한다.
    • 보안상 NLA(네트워크 수준 인증)을 요구하도록 설정하는 것이 일반적이다.
  2. “사용자 선택” 또는 “사용자 선택하기” 버튼을 눌러, RDP 허용 대상 계정·그룹을 확인한다.

6.2 Windows Defender 방화벽 재확인

정책 초기화로 인해 방화벽 규칙이 바뀌지는 않지만, RDP 허용 상태를 재확인하는 것이 좋다.

  1. 제어판 또는 설정에서 Windows Defender 방화벽을 연다.
  2. 왼쪽 메뉴의 “앱 또는 기능을 Windows Defender 방화벽을 통해 허용”을 선택한다.
  3. 목록에서 “원격 데스크톱” 항목이 체크되어 있는지, 도메인/개인/공용 프로필에 대해 허용되는지 확인한다.

6.3 포트 수동 확인(고급 환경)

포트 변경이나 고급 설정을 사용했다면 실제 포트가 열려 있는지도 확인한다.

netstat -ano | find "3389"
  • 3389 포트가 LISTEN 상태가 아니면 RDP 서비스 자체가 정상적으로 리슨하지 않는 상황이다.
  • 레지스트리에서 포트 변경을 한 경우 해당 포트 번호 기준으로 다시 확인해야 한다.

7. 운영 환경에서의 안전한 활용 팁

로컬 보안 정책 초기화는 강력한 조치이므로, 운영 환경에서는 다음 원칙을 지키는 것이 중요하다.

7.1 정책 변경 이력 관리

  • 정책 변경 전에는 반드시 현재 설정을 내보내 백업해둔다.
  • 중요 서버는 변경 내역을 간단한 문서로 기록해두어 추후 사고 분석에 활용한다.

7.2 테스트 환경에서 선검증

  • 가능하다면 동일 OS 버전의 테스트 VM에서 먼저 초기화·적용 절차를 검증한다.
  • 운영 서버에는 검증된 설정만 반영하여 예기치 않은 서비스 중단을 방지한다.

7.3 RDP 보안 강화 병행

RDP를 다시 살려놓는 것과 별개로, 다음과 같은 보안 강화 항목을 함께 고려하는 것이 좋다.

  • 강력한 비밀번호 정책 및 계정 잠금 정책 설정
  • RDP 포트 접근을 VPN 또는 특정 IP로 제한
  • RDP Gateway 사용 또는 Zero Trust 방식 도입
  • 특정 시간대 외 RDP 차단(방화벽, 스케줄러 등 활용)
주의 : 로컬 보안 정책 초기화를 RDP 차단 우회 수단으로만 인식하면 보안 수준이 급격하게 낮아질 수 있다. 최소 권한 원칙과 네트워크 보안 정책을 함께 적용해야 한다.

FAQ

Q1. 로컬 보안 정책 초기화 후에도 여전히 RDP가 안된다면 무엇을 확인해야 하나?

첫째, 위치 기반 방화벽 정책을 확인해야 한다. 공용 네트워크 프로필에서 원격 데스크톱이 허용되지 않으면 사설망에서는 접속되다가, 네트워크 위치가 바뀌면 갑자기 차단될 수 있다.

둘째, 보안 소프트웨어가 RDP 프로세스 또는 포트를 차단하고 있는지 점검해야 한다. 일부 EDR·백신 제품은 정책에서 원격 관리 포트를 별도 허용해주어야 한다.

셋째, 이중 네트워크 카드 또는 VPN을 사용하는 경우, 실제로 어느 인터페이스가 RDP를 수신하고 있는지 확인해야 한다. 잘못된 인터페이스에만 포트가 열려 있는 경우가 있다.

Q2. 도메인에 가입된 PC에서도 secedit로 로컬 보안 정책을 초기화해도 되는가?

도메인 환경에서는 상위 그룹 정책(GPO)이 주기적으로 로컬 정책을 덮어쓴다. secedit로 초기화하더라도 다음 그룹 정책 갱신 시 다시 설정이 변경될 수 있다.

또한 도메인 보안 정책 설계에 따라 로컬 정책 초기화가 예상치 못한 영향(예: 도메인 계정 로그온 정책 변화)을 줄 수 있으므로, 도메인 환경에서는 반드시 도메인 관리자와 협의한 뒤 중앙 GPO에서 정책을 수정하는 것이 권장된다.

Q3. 로컬 보안 정책을 전체 초기화하지 않고 RDP 관련 항목만 되돌릴 수 있는가?

가능하다. secpol.msc에서 사용자 권한 할당과 관련된 RDP 항목(원격 데스크톱 서비스 통해 로그온 허용, 터미널 서비스 통해 로그온 거부 등)만 수동으로 수정하면 된다.

다만 여러 항목이 동시에 꼬여 있고, 정확한 원인을 파악하기 어려운 경우에는 전체 초기화 후 최소 권한 원칙에 맞게 다시 구성하는 것이 실무에서 더 빠른 경우가 많다.

Q4. 초기화 후 일부 서비스 계정이 동작하지 않는 문제가 생기면 어떻게 하나?

초기화 전에 내보냈던 local_backup.inf를 사용하여 특정 영역만 다시 적용하는 방법이 있다.

secedit /configure /cfg C:\SecBackup\local_backup.inf /db C:\SecBackup\restore.sdb /areas USER_RIGHTS /log C:\SecBackup\restore.log

이렇게 하면 사용자 권한 할당 영역만 복원할 수 있어, 서비스 계정이 필요로 하는 권한만 되살리는 식의 선택적 복원이 가능하다.

Q5. RDP를 복구했는데 보안이 걱정된다. 최소한으로 꼭 해야 할 보안 설정은 무엇인가?

첫째, 가능한 한 VPN 또는 전용 터널을 통해서만 RDP를 허용해야 한다.

둘째, RDP 허용 계정은 별도 그룹으로 분리하고, 관리자·일반 사용자 전체에 권한을 부여하지 않는다.

셋째, 계정 잠금 정책과 강력한 비밀번호 정책을 적용해 무차별 대입 공격을 방지한다.

넷째, RDP 접속 로그를 정기적으로 점검하여 이상 징후를 빠르게 발견할 수 있도록 한다.

:
추천·관련글