이 글의 목적은 Windows 10·11 환경에서 사용자 계정 컨트롤(UAC) 경고창이 전혀 뜨지 않거나, 묻지도 않고 자동으로 거부·승인되는 문제를 정책·레지스트리 기준으로 정확히 진단하고 안전하게 복구하는 실무 절차를 정리하는 것이다.
1. 증상 정리 – UAC 프롬프트가 사라졌을 때 나타나는 현상
UAC 프롬프트가 정책으로 비정상 설정되면 다음과 같은 현상이 발생한다.
- 관리자 권한이 필요한 작업을 실행해도 “이 앱이 디바이스를 변경하도록 허용하시겠습니까?” 창이 전혀 뜨지 않는다.
- 표준 사용자 계정에서 프로그램을 실행하면 바로 “액세스가 거부되었습니다” 오류만 나오고, 관리자 계정 입력 창이 뜨지 않는다.
- “관리자 권한으로 실행”을 눌렀을 때 아무 변화 없이 프로그램이 실행되지 않거나, 조용히 실패한다.
- 도메인 환경에서 특정 OU에만 UAC 경고창이 사라지고, 다른 PC에서는 정상적으로 표시된다.
- 레지스트리 편집기(regedit), mmc 스냅인, 설치 관리자(msi) 등 시스템 수준 작업이 너무 조용히 실행되거나, 반대로 아무 반응 없이 종료된다.
대부분은 그룹 정책 혹은 레지스트리의 UAC 관련 키가 잘못 설정된 경우이며, 특히 “승격 프롬프트 동작”을 잘못 지정한 경우에 위와 같은 증상이 발생한다.
2. 기본 점검 – UAC 슬라이더 설정 복구
가장 먼저 사용자 계정 컨트롤 슬라이더 수준부터 확인한다. 이 단계만으로도 많은 경우 프롬프트가 다시 표시된다.
- 제어판을 연다.
- 사용자 계정 > 사용자 계정을 선택한다.
- “사용자 계정 컨트롤 설정 변경”을 클릭한다.
- 슬라이더가 맨 아래 “알리지 않음”으로 내려가 있다면, 위에서 두 번째 또는 위에서 세 번째 수준으로 올린다.
- 확인을 눌러 저장하고, 재부팅 후 관리자 권한 작업을 실행해 경고창이 뜨는지 확인한다.
| 슬라이더 위치 | 동작 요약 | 보안 관점 권장 여부 |
|---|---|---|
| 맨 위 (항상 알림) | 모든 변경 시 항상 UAC 프롬프트 표시 | 보안이 매우 중요한 PC에 권장 |
| 위에서 두 번째 | 앱이 변경 시도 시에만 프롬프트 표시 | 업무용 PC 일반 권장 값 |
| 위에서 세 번째 | 화면 흐리기(보안 데스크톱) 없이 프롬프트 | 원격지원·다중 모니터 환경에서 사용 가능 |
| 맨 아래 (알리지 않음) | 사실상 UAC 비활성화와 유사, 프롬프트 미표시 | 일반 환경에서는 비권장 |
주의 : 슬라이더를 맨 아래로 내리면 EnableLUA 레지스트리 값이 0으로 변경되어 UAC가 사실상 꺼진 상태가 된다. 이 경우 일부 애플리케이션이 오히려 오동작하거나 설치에 실패할 수 있으므로, 업무용 PC에서는 사용하지 않는 것이 안전하다.
3. 로컬 보안 정책에서 UAC 정책 복구
슬라이더가 정상인데도 UAC 프롬프트가 표시되지 않는다면 보안 옵션 정책이 잘못 지정된 경우일 가능성이 크다. Windows Pro·Enterprise·Education 에디션에서는 로컬 보안 정책(secpol.msc)이나 그룹 정책 편집기(gpedit.msc)로 UAC 동작을 세밀하게 제어한다.
3-1. UAC 관련 정책 위치
로컬 보안 정책을 통해 다음 경로로 이동한다.
secpol.msc 실행 → 로컬 정책(Local Policies) → 보안 옵션(Security Options) → "User Account Control: ..." 시작 정책들 확인그룹 정책 편집기를 사용하는 경우 경로는 다음과 같다.
gpedit.msc 실행 → 컴퓨터 구성(Computer Configuration) → Windows 설정(Windows Settings) → 보안 설정(Security Settings) → 로컬 정책(Local Policies) → 보안 옵션(Security Options)3-2. 관리자용 승격 프롬프트 동작 복구
관리자 계정에서만 UAC 프롬프트가 보이지 않는다면 다음 정책을 점검한다.
- User Account Control: Behavior of the elevation prompt for administrators in Admin Approval Mode
이 정책 값이 “Elevate without prompting(프롬프트 없이 승격)”으로 설정되면 관리자 계정은 UAC 창 없이 자동 승격된다. 이 경우 경고창이 전혀 보이지 않아, 실제로는 권한 상승이 발생하는데도 사용자가 인지하지 못하게 된다.
권장 설정은 다음과 같다.
- 일반 사무·개발용 PC: Prompt for consent for non-Windows binaries
- 보안이 엄격한 환경: Prompt for credentials on the secure desktop
정책을 변경한 뒤 gpupdate /force 실행 또는 재부팅 후 관리자 권한 작업을 실행해 UAC 경고창이 정상적으로 표시되는지 확인한다.
3-3. 표준 사용자 승격 프롬프트 동작 복구
표준 사용자에서만 UAC 프롬프트가 나타나지 않고 즉시 거부된다면 다음 정책을 확인한다.
- User Account Control: Behavior of the elevation prompt for standard users
이 정책이 Automatically deny elevation requests(승격 요청 자동 거부)로 설정되면 표준 사용자는 어떤 상황에서도 관리자 계정을 입력할 수 있는 창을 볼 수 없고 곧바로 “액세스 거부” 상태가 된다.
프롬프트 복구를 위해 다음 중 하나로 설정한다.
- Prompt for credentials : 표준 사용자에게 관리자 계정과 암호 입력 창을 표시한다.
- Prompt for credentials on the secure desktop : 화면이 어두워진 보안 데스크톱에서만 계정 입력이 가능하도록 한다.
주의 : 도메인 환경에서 표준 사용자에게 관리자 권한 입력 자체를 허용하지 않는 보안 정책을 설계한 경우, 이 값을 함부로 변경하면 조직 보안 기준을 위반할 수 있다. 이 글에서는 단일 PC 혹은 테스트 환경에서의 복구 관점으로 설명한다.
3-4. 기타 UAC 관련 정책 점검
다음 정책들도 UAC 프롬프트 표시 방식에 영향을 준다.
- User Account Control: Run all administrators in Admin Approval Mode – 관리자 계정을 항상 승격 확인 절차 아래에서 동작하도록 강제한다.
- User Account Control: Switch to the secure desktop when prompting for elevation – 프롬프트를 일반 바탕화면이 아닌 보안 데스크톱에서 표시한다.
- User Account Control: Only elevate executables that are signed and validated – 서명이 없는 실행 파일 승격을 거부할 수 있다.
일반적으로 “Run all administrators in Admin Approval Mode”는 Enabled로 유지해야 UAC가 의도대로 동작한다.
주의 : 원격 제어(원격 지원·RMM) 툴을 사용하는 환경에서 “Switch to the secure desktop when prompting for elevation”을 Enabled로 두면, UAC 창이 원격 화면에 보이지 않고 로컬 콘솔에만 표시되는 경우가 있다. 이때는 일시적으로 Disabled로 내려 확인한 뒤 보안 요구 수준에 맞게 재조정한다.
4. 레지스트리에서 직접 UAC 프롬프트 정책 초기화
로컬 보안 정책이 제대로 보이지 않거나 Home 에디션처럼 정책 편집기가 없는 환경에서는 레지스트리를 직접 수정하여 UAC 동작을 복구할 수 있다. 주요 키는 다음 경로에 있다.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System4-1. 레지스트리 편집 전 사전 작업
- 관리자 권한 계정으로 로그인한다.
- 중요 데이터는 별도 백업한다.
- 가능하면 시스템 복원 지점을 하나 생성한다.
regedit.exe실행 후 전체 키를 내보내기(export)하여 백업본을 만들어 둔다.
주의 : EnableLUA 값 변경은 시스템 전체의 권한 모델에 영향을 주며, 값 변경 후에는 반드시 재부팅해야 한다. 잘못된 설정은 로그온 불가, 앱 오동작 등의 문제를 유발할 수 있다.
4-2. UAC 관련 핵심 값과 권장 설정
다음 표는 UAC 프롬프트 표시와 직접 관련된 대표적인 레지스트리 값과 일반적인 복구 권장 값을 정리한 것이다. 실제 환경에서는 조직 보안 기준에 따라 조정해야 한다.
| 값 이름 | 형식 | 권장 값 예시 | 의미 |
|---|---|---|---|
| EnableLUA | DWORD | 1 | 0이면 UAC 완전 비활성화, 1이면 UAC 활성화 |
| ConsentPromptBehaviorAdmin | DWORD | 2 또는 5 | 관리자 계정 승격 시 프롬프트 동작 정의, 0은 묻지 않고 승격 |
| ConsentPromptBehaviorUser | DWORD | 1 또는 3 | 표준 사용자 승격 시 계정·암호 입력 여부 제어 |
| PromptOnSecureDesktop | DWORD | 1 | 1이면 보안 데스크톱에서 UAC를 표시, 0이면 일반 바탕화면에서 표시 |
| ValidateAdminCodeSignatures | DWORD | 0 또는 1 | 관리자 승격 허용 시 서명 검증 요구 여부 |
ConsentPromptBehaviorAdmin 값 의미는 일반적으로 다음과 같이 해석한다.
- 0 – Elevate without prompting (프롬프트 없음, 매우 위험)
- 1 – Prompt for credentials on the secure desktop
- 2 – Prompt for consent on the secure desktop 또는 유사 수준
- 5 – Prompt for consent for non-Windows binaries(Windows 자체 구성 요소에 대해서는 별도 동작)
표준 사용자용 ConsentPromptBehaviorUser 값 또한 0(자동 거부)에 가까운 설정으로 두면 승격 프롬프트가 표시되지 않는다. 값이 의심스럽다면 레지스트리 편집기에서 해당 값을 삭제한 뒤, 그룹 정책 갱신 및 재부팅으로 기본 정책을 다시 적용받는 방식도 사용할 수 있다.
4-3. 예시 – 기본값에 가깝게 UAC 레지스트리 복구
다음은 단일 PC 환경에서 UAC 프롬프트가 전혀 뜨지 않는 상태를 기본에 가깝게 복구하는 예시이다.
1) regedit.exe 실행 2) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System 이동 3) 다음 값을 확인 및 변경 EnableLUA = 1 ConsentPromptBehaviorAdmin = 5 ConsentPromptBehaviorUser = 1 PromptOnSecureDesktop = 1 4) 레지스트리 편집기를 닫고 재부팅 5) '관리자 권한으로 실행' 테스트로 UAC 프롬프트 확인주의 : 도메인 환경에서는 로그온 시점에 GPO가 동일 레지스트리 키를 다시 덮어쓴다. 이 경우 로컬에서 값을 바꾸더라도 재부팅 후 다시 되돌아갈 수 있으므로, 반드시 GPO 측 설정을 먼저 점검해야 한다.
5. 도메인·조직 환경에서 GPO로 UAC 프롬프트 복구
Active Directory 도메인에 가입된 PC라면, 로컬 설정보다 도메인 GPO 설정이 우선한다. 한 조직 내 일부 PC에서만 UAC 프롬프트가 사라진다면 해당 OU에 연결된 GPO를 먼저 확인해야 한다.
5-1. 그룹 정책 관리 콘솔에서 UAC 정책 확인
1) 도메인 컨트롤러 또는 GPMC 설치 PC에서 gpmc.msc 실행 2) 문제가 발생한 PC가 속한 OU 찾기 3) OU에 연결된 GPO 중 UAC 관련 설정을 포함한 GPO 확인 4) GPO 편집 후 다음 경로에서 UAC 정책 검토 컴퓨터 구성 → Windows 설정 → 보안 설정 → 로컬 정책 → 보안 옵션 "User Account Control: ..." 항목들 확인여기서 앞에서 언급한 세 가지 정책, 즉
- User Account Control: Run all administrators in Admin Approval Mode
- User Account Control: Behavior of the elevation prompt for administrators in Admin Approval Mode
- User Account Control: Behavior of the elevation prompt for standard users
를 우선적으로 점검하여, 프롬프트가 전혀 뜨지 않도록 만드는 값(자동 거부, 프롬프트 없이 승격 등)으로 설정되어 있지 않은지 확인한다.
5-2. 클라이언트 측에서 실제 적용 값 확인
클라이언트 PC에서는 다음 명령으로 실제 적용된 GPO와 UAC 관련 정책을 확인할 수 있다.
gpresult /h c:\gpresult.html start c:\gpresult.html또는
rsop.msc를 실행하여 결과 집합(RSoP)을 그래픽으로 확인한다. 여기서 보안 옵션 항목의 UAC 정책이 도메인 GPO에 의해 “강제(Enforced)”되는지 여부를 확인하고, 필요 시 GPO 우선순위나 링크 상태를 조정한다.
6. UAC 프롬프트가 떠 있지만 보이지 않는 경우
일부 환경에서는 UAC 프롬프트가 실제로는 떠 있지만 다음과 같은 이유로 사용자가 보지 못하는 경우도 있다.
- 다중 모니터 환경에서 보안 데스크톱 전환 시 화면이 모두 어둡게 되며, 원격 세션에서는 이 화면을 렌더링하지 못한다.
- 원격 지원·원격 제어 도구가 보안 데스크톱의 화면 캡처를 지원하지 않아 UAC 창이 검은 화면으로만 보인다.
- 디스플레이 드라이버 문제로 보안 데스크톱 전환 시 화면이 멈춘 것처럼 보이는 경우가 있다.
이 경우에는 정책 “User Account Control: Switch to the secure desktop when prompting for elevation”을 임시로 Disabled로 내려 일반 데스크톱에서 UAC 창이 뜨도록 조정해 보면서 원인을 좁혀볼 수 있다.
주의 : 보안 데스크톱을 비활성화하면 키 로거 등 악성 코드가 UAC 창에 포커스를 훔치거나 클릭을 조작할 위험이 높아진다. 문제 원인을 확인한 뒤에는 가능하면 다시 Enabled로 되돌리는 것이 좋다.
7. UAC 프롬프트 정책 복구 후 확인 및 재발 방지 체크리스트
정책과 레지스트리를 수정했다면 다음 항목을 순서대로 점검해 UAC 프롬프트가 안정적으로 동작하는지 확인한다.
7-1. 기능 테스트 시나리오
- 일반 사용자 계정으로 로그인한 뒤, 관리자 권한이 필요한 프로그램을 “관리자 권한으로 실행”하여 계정 입력 창이 뜨는지 확인한다.
- 관리자 계정으로 로그인한 뒤,
cmd.exe,regedit.exe,compmgmt.msc등을 관리자 권한으로 실행했을 때 허용/거부를 묻는 창이 뜨는지 확인한다. - 원격 제어 환경에서 UAC 프롬프트가 어떻게 표시되는지 확인하고, 보안 데스크톱 정책과의 조합을 검증한다.
7-2. 재발 방지용 정책 관리 표
| 점검 항목 | 권장 상태 | 점검 주기 | 비고 |
|---|---|---|---|
| UAC 슬라이더 수준 | 위에서 두 번째 이상 | 정기 점검·이미지 배포 시 | OS 재설치·이미징 후 자동 확인 |
| Run all administrators in Admin Approval Mode | Enabled | GPO 변경 시 | 테스트 GPO가 덮어쓰지 않도록 관리 |
| Behavior of the elevation prompt (Admin) | Prompt for consent 또는 Prompt for credentials | 보안 정책 변경 시 | Elevate without prompting은 사용 금지 |
| Behavior of the elevation prompt (Standard) | Prompt for credentials 계열 | 도메인 정책 변경 시 | Automatically deny는 테스트 환경에 한정 |
| 레지스트리 EnableLUA | 1 | 보안 점검·취약점 진단 시 | 0으로 변경된 PC가 없는지 스크립트로 탐지 |
주의 : 일부 서드파티 관리 도구·튜닝 유틸리티는 “UAC 무력화”, “경고창 제거” 같은 기능을 제공한다. 이러한 기능을 사용하면 조직 차원에서 설계한 보안 정책을 알 수 없이 뒤집어 버릴 수 있으므로, 업무용 PC에서는 사용하지 않는 것이 바람직하다.
FAQ
UAC 경고창이 안 뜨면 더 편한데, 굳이 복구해야 하는가?
UAC는 악성 코드나 실수로 인한 시스템 변경을 막기 위한 최소한의 안전장치이다. 경고창이 전혀 뜨지 않는 상태는 관리자 권한이 사실상 항상 열려 있는 것과 같아서, 이메일 첨부 실행 파일이나 브라우저 취약점 공격이 성공했을 때 피해 규모가 훨씬 커진다. 따라서 편의보다 보안을 우선해야 하며, 최소한 관리자·표준 사용자 모두에게 중요 변경 시에는 한 번씩 확인을 요구하는 수준으로 유지하는 것이 바람직하다.
EnableLUA를 다시 1로 바꾸고 재부팅했더니 일부 오래된 프로그램이 동작하지 않는다.
UAC 활성화 전제를 고려하지 않고 설계된 구형 프로그램은, 관리자 권한이 항상 열려 있다고 가정하고 데이터·설정 파일을 시스템 영역에 저장하는 경우가 많다. 이 경우 다음과 같은 대응을 고려한다. (1) 가능하면 최신 버전으로 업그레이드한다. (2) 해당 프로그램만 “관리자 권한으로 실행”하도록 바로가기를 따로 만든다. (3) 데이터 저장 경로를 사용자 프로필 하위로 변경한다. 시스템 전체의 UAC를 다시 끄는 방식은 장기적으로 보안 리스크가 크다.
도메인 GPO가 계속 덮어써서 로컬에서 정책을 바꿔도 금방 원상복구된다.
이 경우에는 로컬에서의 수정보다는 GPO 설계를 조정해야 한다. 문제 PC가 속한 OU에 연결된 GPO 중 UAC 관련 설정이 포함된 GPO를 분리해 우선순위를 조정하거나, 테스트용 OU를 만들어 별도 GPO를 적용한 뒤 동작을 검증한다. 여러 GPO가 동시에 동일 UAC 정책을 정의하고 있다면, 링크 순서와 “강제(Enforced)” 설정에 따라 실제 적용 값이 달라질 수 있으므로, GPMC와 gpresult를 함께 사용해 최종 결과만이 아니라 상속 구조 자체를 분석하는 것이 좋다.
원격 지원 중에는 UAC 창을 안 보이게 두고, 현장에서는 다시 보이게 운영할 수 있는가?
기술적으로는 원격 지원 시에만 “Switch to the secure desktop when prompting for elevation” 정책을 일시적으로 끄고, 작업 종료 후 다시 켜는 방식으로 운용할 수 있다. 그러나 이런 수동 전환은 인적 실수로 인해 영구적으로 낮은 보안 설정이 방치될 위험이 있다. 원격 지원 도구 중에는 보안 데스크톱 전환을 지원하는 제품도 있으므로, 장기적으로는 도구 교체나 지원 방식 변경을 함께 검토하는 것이 안전하다.