이 글의 목적은 Windows 11에서 원격 데스크톱 연결이 안될 때 포트 3389 설정, 방화벽, 서비스, 네트워크 환경을 체계적으로 점검하여 실무에서 바로 적용 가능한 해결 절차를 제공하는 것이다.
1. Windows 11 원격 데스크톱 동작 원리와 포트 3389 개요
Windows 원격 데스크톱(Remote Desktop, RDP)은 기본적으로 TCP 3389 포트를 사용하여 원격 접속을 처리한다. 클라이언트 PC에서 서버 역할을 하는 PC의 IP 주소와 포트 3389로 접속 요청을 보내고, 서버 PC는 RDP 서비스(TermService)를 통해 이를 수신하고 세션을 생성한다.
따라서 다음 조건이 모두 충족되어야 정상적으로 접속이 가능하다.
- 원격 대상 PC에서 원격 데스크톱 기능이 활성화되어 있어야 한다.
- 대상 PC의 RDP 서비스(TermService)가 실행 중이어야 한다.
- 대상 PC 방화벽에서 TCP 3389 포트가 허용되어 있어야 한다.
- 공유기·라우터 환경이라면 포트 포워딩(3389)이 올바르게 설정되어야 한다.
- 회사망, VPN, 보안 솔루션에서 RDP 프로토콜 또는 포트 3389가 차단되어 있지 않아야 한다.
2. 기본 원격 데스크톱 설정 활성화 확인
2.1 시스템 설정에서 원격 데스크톱 켜기
- 시작 버튼을 누르고 설정을 실행한다.
- 시스템 > 원격 데스크톱 메뉴로 이동한다.
- 원격 데스크톱 스위치를 켬으로 변경한다.
- 경고 메시지가 나오면 확인을 눌러 기능을 활성화한다.
- 아래쪽에 표시되는 이 PC에 연결 섹션에서 PC 이름을 확인해두면 이후 접속 테스트에 활용할 수 있다.
주의 : 회사 정책이나 그룹 정책으로 원격 데스크톱이 강제로 비활성화된 환경에서는 위 메뉴가 회색으로 비활성화될 수 있다. 이 경우 IT 관리자에게 정책 해제를 요청해야 한다.
2.2 전원 및 절전 설정 확인
원격 대상 PC가 절전 모드나 최대 절전 모드에 진입하면 네트워크 연결이 끊어지고 포트 3389 역시 수신이 되지 않는다. 다음 항목을 점검한다.
- 설정 > 시스템 > 전원 메뉴로 이동한다.
- 전원 모드, 화면 끄기, 절전 모드 진입 시간 등을 넉넉하게 설정하거나, 상시 켜둘 PC라면 절전 진입을 사용 안 함으로 설정한다.
- 노트북의 경우 덮개를 닫을 때 동작을 아무 작업도 안 함으로 설정해야 원격 시 세션이 유지된다.
3. RDP 서비스 및 포트 3389 기본 동작 확인
3.1 서비스(TermService) 상태 확인
- Windows 키 + R을 눌러 실행 창을 열고
services.msc를 입력한다. - 서비스 목록에서 Remote Desktop Services 또는 원격 데스크톱 서비스(TermService)를 찾는다.
- 상태가 실행 중인지 확인하고, 중지됨이라면 마우스 오른쪽 버튼을 눌러 시작을 선택한다.
- 시작 유형이 자동이 아니면 속성에서 시작 유형을 자동으로 바꾸고 적용한다.
3.2 포트 3389 리스닝 상태 확인 (netstat)
명령 프롬프트 또는 PowerShell에서 포트 3389가 실제로 열려 있는지 확인할 수 있다.
netstat -ano | find "3389" 위 명령 실행 시 다음과 같은 결과가 나오면 포트 3389가 리스닝 중인 것이다.
TCP 0.0.0.0:3389 0.0.0.0:0 LISTENING 1234 TCP [::]:3389 [::]:0 LISTENING 1234 - LISTENING 상태가 보이면 포트 3389가 열려 있는 것이다.
- 결과가 아무 것도 나오지 않으면 RDP 서비스가 정상적으로 포트를 열지 못한 상태이므로, 앞 단계의 서비스 설정 및 원격 데스크톱 옵션을 다시 확인해야 한다.
4. Windows Defender 방화벽에서 포트 3389 허용하기
4.1 기본 원격 데스크톱 규칙 활성화
- 제어판을 열고 시스템 및 보안 > Windows Defender 방화벽을 클릭한다.
- 왼쪽 메뉴에서 고급 설정을 눌러 고급 보안이 적용된 Windows Defender 방화벽을 연다.
- 왼쪽에서 들어오는 규칙을 선택한다.
- 목록에서 원격 데스크톱 - 사용자 모드 (TCP-In) 또는 비슷한 이름의 규칙을 찾는다.
- 규칙 상태가 사용 안 함이면 마우스 오른쪽 버튼을 눌러 규칙 사용을 선택한다.
- 도메인, 개인, 공용 프로필 중 실제 사용하는 네트워크 프로필에 대해 허용되어 있는지 확인한다.
4.2 수동으로 포트 3389 허용 규칙 추가
기본 규칙이 없거나 커스텀 규칙이 필요할 경우 직접 포트 규칙을 추가한다.
- 고급 방화벽에서 들어오는 규칙 > 새 규칙을 클릭한다.
- 포트를 선택하고 다음을 클릭한다.
- TCP를 선택하고 특정 로컬 포트에 3389를 입력한다.
- 연결 허용을 선택한다.
- 도메인, 개인, 공용 프로필 중 적용할 네트워크 유형을 선택한다. 일반적으로 사무실 내에서는 도메인/개인, 외부에서는 공용을 신중히 검토한다.
- 규칙 이름을 예를 들어 RDP 3389 Allow 등으로 지정하여 생성한다.
주의 : 공용 네트워크에서 포트 3389를 무조건 허용하면 보안 위험이 커진다. 외부에서 접속해야 한다면 VPN, IP 제한, 포트 변경 등 추가 보안 장치를 반드시 함께 고려해야 한다.
4.3 PowerShell로 방화벽 규칙 확인 및 생성
스크립트로 다수 PC를 관리하는 환경에서는 PowerShell 명령 사용이 효율적이다.
# RDP 관련 규칙 조회 Get-NetFirewallRule -DisplayName "*Remote Desktop*" | Format-Table -Auto
포트 3389 수신 허용 규칙 추가 예시
New-NetFirewallRule -DisplayName "RDP 3389 Allow" -Direction Inbound -Protocol TCP -LocalPort 3389
-Action Allow -Profile Domain,Private
5. 공유기(라우터) 포트 포워딩으로 3389 외부 개방
가정 또는 소규모 사무실 환경에서 원격 대상 PC가 공유기 뒤에 있을 경우, 외부에서 접속하려면 포트 포워딩 설정이 필요하다.
5.1 내부 IP 주소 확인
- 원격 대상 PC에서 Windows 키 + R을 눌러 실행 창을 열고
cmd를 입력한다. - 명령 프롬프트에서 다음 명령을 실행한다.
ipconfig 활성화된 이더넷 또는 Wi-Fi 어댑터의 IPv4 주소(예: 192.168.0.10)를 확인한다.
5.2 공유기 포트 포워딩 설정
공유기 관리 페이지에 접속하여 다음과 같이 포트 포워딩 규칙을 추가한다. 실제 메뉴 이름은 제조사마다 다르지만 개념은 동일하다.
| 설정 항목 | 예시 값 | 설명 |
|---|---|---|
| 서비스 이름 | RDP-3389 | 관리자가 알아보기 위한 이름이다. |
| 외부 포트 | 3389 또는 커스텀 포트 | 외부에서 접속 시 사용할 포트 번호이다. |
| 내부 포트 | 3389 | 원격 대상 PC에서 RDP가 수신하는 포트이다. |
| 내부 IP | 192.168.0.10 | 원격 대상 PC의 사설 IP 주소이다. |
| 프로토콜 | TCP | RDP는 TCP를 사용한다. |
| 활성화 여부 | 사용 | 규칙을 저장 후 반드시 활성화해야 한다. |
주의 : 외부 포트를 3389 그대로 사용하면 알려진 기본 포트 사용으로 공격 시도가 증가할 수 있다. 가능하다면 외부 포트를 다른 번호(예: 53389 등)로 두고, 내부 포트만 3389로 매핑하는 편이 상대적으로 안전하다.
6. 포트 3389가 실제로 열려 있는지 테스트하는 방법
6.1 내부 네트워크에서 telnet 또는 Test-NetConnection 사용
같은 네트워크에 있는 다른 PC에서 원격 대상 PC IP와 포트 3389로 연결이 가능한지 테스트한다.
Telnet을 이용한 테스트
- Windows 기능에서 Telnet 클라이언트를 설치한다.
- 명령 프롬프트를 열고 다음 명령을 실행한다.
telnet 192.168.0.10 3389 - 화면이 검게 바뀌며 커서만 깜박이는 상태로 전환되면 포트 3389 연결이 가능한 것이다.
- 연결 실패 메시지가 나오면 방화벽 또는 네트워크 장비에서 포트가 차단된 것일 가능성이 높다.
PowerShell Test-NetConnection 사용
Test-NetConnection -ComputerName 192.168.0.10 -Port 3389 결과에서 TcpTestSucceeded : True이면 포트가 열려 있는 것이다. False이면 연결이 차단되었거나 대상이 응답하지 않는 상태이다.
6.2 외부에서 접속할 때 확인해야 할 추가 요소
- 공유기의 외부 IP 주소가 자주 바뀌는 환경에서는 DDNS(동적 DNS) 설정을 활용하여 도메인 이름으로 접속하는 것이 관리에 유리하다.
- 회사망에서는 상위 방화벽이나 IPS에서 포트 3389 자체를 차단하는 경우가 많다. 이 경우 네트워크 관리자와 협의가 필요하다.
- ISP에서 특정 포트를 막는 정책이 있을 수 있으므로, 외부 포트를 변경하거나 VPN을 사용하는 방법도 고려해야 한다.
7. 레지스트리에서 RDP 포트 3389 값 직접 확인 및 변경
일부 환경에서는 보안을 위해 RDP 포트가 3389에서 다른 번호로 변경되어 있을 수 있다. 이 경우 레지스트리에서 실제 포트 값을 확인해야 한다.
7.1 현재 포트 값 확인
- Windows 키 + R을 눌러 실행 창을 열고
regedit를 입력하여 레지스트리 편집기를 연다. - 다음 경로로 이동한다.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp - 오른쪽에서 PortNumber 값을 찾는다.
- 기본적으로는 3389가 10진수 기준으로 설정되어 있다. 값 데이터가 다르게 표시되면 10진수 또는 16진수 표시 여부를 확인한다.
주의 : 레지스트리를 잘못 수정하면 시스템에 심각한 문제가 발생할 수 있다. 변경 전 반드시 백업을 수행하고, 필요 시 전문 인력과 상의 후 변경해야 한다.
7.2 포트 변경 시 클라이언트 접속 형식
보안상 포트를 변경하여 예를 들어 53389로 사용한다면, 클라이언트에서 접속할 때 다음과 같이 입력한다.
서버이름또는IP:53389 예: 203.0.113.10:53389
8. 계정 권한 및 네트워크 레벨 인증(NLA) 점검
8.1 원격 데스크톱 허용 사용자 확인
- 원격 대상 PC에서 설정 > 시스템 > 원격 데스크톱 화면으로 이동한다.
- 사용자 선택 또는 원격 사용자 선택 버튼을 클릭한다.
- 원격 접속을 허용할 사용자 계정을 추가한다.
일반적으로 Administrators 그룹 사용자는 기본적으로 허용되지만, 로컬 표준 계정이나 도메인 계정은 별도로 추가해야 할 수 있다.
8.2 네트워크 레벨 인증(NLA) 옵션
보안을 위해 NLA가 활성화되어 있는 환경에서, 구형 클라이언트 또는 인증 설정이 맞지 않는 계정으로 접속하면 오류가 발생할 수 있다.
- 내 PC 아이콘에서 마우스 오른쪽 버튼을 눌러 속성을 선택한다.
- 원격 설정 메뉴를 열고, 원격 탭에서 네트워크 수준 인증을 사용하여 원격 데스크톱을 실행하는 컴퓨터만 연결 허용 옵션을 확인한다.
- 문제 원인 파악을 위해 일시적으로 체크를 해제하고 테스트할 수 있다. 단, 보안상 위험이 있으므로 테스트 후에는 다시 활성화하는 것이 좋다.
9. 회사망·VPN·보안 솔루션에서 RDP 차단 여부 확인
엔터프라이즈 환경에서는 단말 보안 에이전트, 중앙 방화벽, IDS/IPS가 RDP 트래픽을 제어하는 경우가 많다.
- 사내 보안 정책 상 외부로의 RDP 접속이 전면 차단된 경우에는 기술적으로 아무리 설정해도 연결이 되지 않는다.
- VPN 접속 시에만 RDP가 허용되도록 설계된 네트워크도 많으므로, 반드시 IT 관리자에게 정책을 확인해야 한다.
- 보안 제품에서 RDP를 위험 응용 프로그램으로 분류해 자동 차단하는 경우, 예외 정책 등록이 필요하다.
10. 점검 순서 정리 및 실무 체크리스트
실무에서 반복적으로 활용할 수 있도록 점검 순서를 표로 정리한다.
| 순서 | 점검 항목 | 확인 방법 | 정상 상태 |
|---|---|---|---|
| 1 | 원격 데스크톱 기능 활성화 | 설정 > 시스템 > 원격 데스크톱 | 스위치가 켬 상태이다. |
| 2 | RDP 서비스 실행 | services.msc에서 Remote Desktop Services 상태 확인 | 실행 중, 시작 유형 자동이다. |
| 3 | 포트 3389 리스닝 여부 | netstat -ano | find "3389" | LISTENING 상태가 표시된다. |
| 4 | 방화벽 규칙 | 고급 보안 방화벽에서 RDP 관련 규칙 확인 | TCP 3389 인바운드 허용 규칙이 활성화되어 있다. |
| 5 | 내부 연결 테스트 | 다른 PC에서 Test-NetConnection 또는 telnet 테스트 | TcpTestSucceeded True 또는 telnet 연결 성공이다. |
| 6 | 공유기 포트 포워딩 | 라우터 관리 페이지 포트 포워딩 설정 확인 | 외부포트→내부IP:3389 규칙이 활성화되어 있다. |
| 7 | 레지스트리 포트 값 | RDP-Tcp PortNumber 값 확인 | 3389 또는 설계된 포트 번호로 일치한다. |
| 8 | 계정 및 NLA 설정 | 원격 사용자 권한, NLA 옵션 확인 | 허용 사용자에 계정이 포함되고, 정책에 맞게 NLA가 설정되어 있다. |
| 9 | 회사망·VPN 정책 | IT 관리자 또는 보안 담당자 문의 | RDP 사용이 허용된 네트워크 구간이다. |
FAQ
포트 3389가 LISTENING인데도 외부에서 접속이 안되는 경우 무엇을 먼저 확인해야 하나?
우선 내부 네트워크에서 Test-NetConnection 또는 telnet으로 대상 PC의 3389 포트에 접속이 되는지 확인해야 한다. 내부에서는 접속이 되지만 외부에서만 안된다면 공유기 포트 포워딩 설정, 상위 방화벽, ISP 정책 등 네트워크 경계 구간을 우선적으로 의심해야 한다.
보안상 포트 3389를 그대로 사용하는 것이 위험한가?
포트 3389는 자동 스캔의 주요 대상이기 때문에 인터넷에 그대로 노출할 경우 무차별 대입 공격, 취약점 스캔이 집중된다. VPN을 통해 접속하거나, 포트를 변경하고 IP 제한, 계정 잠금 정책, MFA를 적용하는 등 복합적인 방어 전략을 사용하는 것이 바람직하다.
회사 PC에 원격 데스크톱을 설정했는데 IT 보안 정책 때문에 접속이 안될 수 있는가?
가능하다. 많은 기업 환경에서는 중앙 방화벽 및 엔드포인트 보안 솔루션에서 RDP 트래픽을 차단한다. 이 경우 개인이 임의로 설정을 바꾸는 것은 보안 위반이 될 수 있으며, 반드시 IT 보안 부서의 승인과 정책에 따른 절차를 따르는 것이 원칙이다.
레지스트리에서 RDP 포트를 바꾼 후 바로 적용되지 않는 이유는 무엇인가?
포트 변경 후에는 원격 데스크톱 서비스 또는 운영체제를 재시작해야 새 포트 설정이 반영된다. 또한 방화벽 규칙과 포트 포워딩 설정 역시 새 포트 번호에 맞게 함께 수정해야 한다. 어느 한 곳이라도 이전 포트 번호로 남아 있으면 접속이 되지 않는다.
동일 네트워크 내에서만 RDP를 사용하고 외부에는 노출하고 싶지 않을 때 어떤 설정이 좋은가?
방화벽 인바운드 규칙에서 프로필을 도메인 또는 개인으로만 제한하고, 공용 프로필에서는 규칙을 비활성화하는 것이 좋다. 또한 공유기에서는 포트 포워딩을 설정하지 않고, 사설 IP 대역 내에서만 사용하는 구조로 설계하면 외부 노출 위험을 줄일 수 있다.