이 글의 목적은 “로컬 관리자 계정으로 접속했는데도 C$·원격 서비스·관리 공유에서 접근 거부가 발생하는 문제”를 UAC 토큰 분리(원격 UAC 제한) 관점에서 정확히 진단하고, 보안 리스크를 관리하면서 재발 없이 해결할 수 있도록 절차와 점검표를 제공하는 것이다.
1. 증상 정리: ‘관리자’인데 왜 접근 거부가 나는가
윈도우에서는 로컬 Administrators 그룹 계정이라도 항상 ‘완전한 관리자 권한’으로만 동작하지 않는다. 대표적으로 UAC(User Account Control)가 켜져 있으면 로그인 토큰이 분리되어 표준 권한 토큰(필터링 토큰)과 관리자 권한 토큰(상승 토큰)로 나뉘어 동작한다. 이 구조 때문에 “내 PC에서는 관리자처럼 보이는데, 네트워크/원격 관리 경로로 들어가면 권한이 깎여서 접근 거부가 나는” 상황이 발생한다.
1-1. 자주 보이는 접근 거부 사례
| 상황 | 표면 증상 | 원인 가능성 | 대표 해결 방향 |
|---|---|---|---|
| 관리 공유(C$, ADMIN$) 접속 | 자격 증명은 맞는데 “Access is denied” | 원격 UAC 제한으로 로컬 관리자 토큰 필터링됨 | LocalAccountTokenFilterPolicy 설정 또는 다른 인증 전략 사용 |
| 원격 서비스 제어(SCM), 서비스 설치/시작 | 서비스 시작/생성 시 접근 거부 | 네트워크 로그온이 관리자 권한으로 인정되지 않음 | 도메인 관리자/관리 전용 계정 사용 또는 정책/레지스트리 조정 |
| 원격 레지스트리/관리 도구(WMI/WinRM/원격 컴퓨터 관리) | 연결은 되지만 권한 부족 | 필터링 토큰으로 접속되어 관리자 권한 누락 | 방화벽/서비스 점검 + 원격 UAC 제한 점검 |
| 로컬에서 관리자 권한 실행은 되는데 원격만 실패 | 로컬은 정상, 원격은 실패 | UAC 토큰 분리 자체보다 “원격 UAC 제한”이 핵심 | LocalAccountTokenFilterPolicy 우선 확인 |
2. 원인 핵심: UAC 토큰 분리와 ‘원격 UAC 제한(Remote Restrictions)’
사용자가 로컬 Administrators 그룹에 속해 있더라도, UAC가 활성화된 상태에서는 기본적으로 표준 권한 토큰으로 대부분의 작업이 실행된다. 사용자가 “관리자 권한으로 실행”을 수행하거나 시스템이 승인을 통해 상승을 허용할 때에만 관리자 토큰이 사용된다.
문제는 네트워크로 접속하는 로컬 계정(로컬 사용자/로컬 관리자)이 원격 관리 작업을 수행할 때이다. 윈도우는 보안 강화를 위해 “네트워크 로그온으로 들어오는 로컬 계정 관리자 권한”을 제한하는 동작을 기본값으로 적용할 수 있으며, 이때 원격 세션에는 필터링된 토큰이 적용되어 관리자 권한이 제거된 것처럼 보이게 된다.
2-1. 이 문제가 특히 많이 발생하는 환경
- 도메인에 가입하지 않은 PC(워크그룹)에서 로컬 관리자 계정으로 서로 관리하려는 환경이다.
- 도메인 가입 PC라도 “로컬 계정”으로 원격 관리 공유(C$)에 접근하는 환경이다.
- 보안 제품/정책으로 UAC 관련 설정이 강화되어 있는 환경이다.
- 원격 접속은 되는데 관리자 권한이 필요한 작업(서비스 설치, 드라이버 배포, 관리자 공유)이 막히는 환경이다.
3. 해결 전략 선택: 가장 안전한 방법부터 우선 적용
해결은 크게 3가지 축으로 나뉜다. 운영 환경(기업/개인, 단일 PC/다수 PC, 도메인 유무)에 따라 우선순위를 다르게 가져가야 한다.
3-1. 권장(안전 우선): 도메인/관리 전용 계정으로 원격 관리하기
가능하다면 로컬 관리자 계정 대신 도메인 계정(또는 각 PC에 고유 비밀번호를 갖는 관리 전용 계정)을 사용해야 한다. 도메인 관리자 또는 위임된 관리자 그룹은 원격 관리에서 토큰 필터링 문제를 비교적 덜 유발하며, 감사/회수도 용이하다.
- 도메인 환경이라면: 도메인 사용자 기반의 관리자 그룹 위임, Just Enough Administration(JEA) 같은 최소권한 원격관리 모델을 검토하는 것이 바람직하다.
- 비도메인 환경이라면: PC별로 서로 다른 로컬 관리자 비밀번호 운영(LAPS/유사 솔루션)을 먼저 고려해야 한다.
3-2. 임시 또는 제한적 허용: 내장 Administrator 계정 사용
일부 시나리오에서 내장 Administrator 계정은 정책에 따라 UAC 토큰 필터링 영향을 다르게 받을 수 있다. 다만 내장 Administrator 활성화는 공격 표면을 키울 수 있으므로, 필요한 기간에만 활성화하고 강력한 비밀번호 및 접근 제어를 병행해야 한다.
3-3. 기능 우선(가장 흔한 해결): 원격 UAC 제한 해제(LocalAccountTokenFilterPolicy)
로컬 관리자 계정으로 네트워크 원격 관리(예: C$)를 반드시 해야 하고, 도메인/관리 전용 계정 운영이 당장 불가능한 경우에 선택하는 방법이다. 원격 UAC 제한을 해제하면 네트워크 로그온에서도 로컬 관리자 권한이 필터링되지 않아 접근 거부가 해소되는 경우가 많다.
4. 표준 해결 절차: LocalAccountTokenFilterPolicy로 원격 UAC 제한 해제
4-1. 적용 전 체크리스트
| 점검 항목 | 확인 방법 | 정상/권장 기준 | 비고 |
|---|---|---|---|
| 원격이 “로컬 계정”으로 접속 중인지 | 접속 시 사용자 형식 확인(PC이름\계정 또는 .\계정) | 가능하면 도메인/관리 전용 계정 권장 | 로컬 계정이면 이 이슈 확률이 높다 |
| 관리 공유(C$, ADMIN$)가 필요한지 | 업무/도구 요구사항 확인 | 필요 최소만 사용 | 가능하면 WinRM/JEA 등 대체 고려 |
| PC 간 로컬 관리자 비밀번호가 동일한지 | 운영 정책 확인 | PC별 고유 비밀번호 권장 | 동일 비밀번호면 위험이 급증한다 |
| 방화벽에서 파일/프린터 공유(SMB) 범위 | 인바운드 규칙/프로필 확인 | 관리자망/특정 IP만 허용 권장 | 전체 개방은 금지 수준이다 |
4-2. 레지스트리로 설정하는 방법(권장: 명령어로 일관 적용)
대상 PC(접근을 허용해야 하는 PC)에서 아래 레지스트리 값을 설정해야 한다. 값이 없으면 생성해야 한다.
| 경로 | 값 이름 | 형식 | 값 | 의미 |
|---|---|---|---|---|
| HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System | LocalAccountTokenFilterPolicy | DWORD(32비트) | 1 | 원격 UAC 제한 해제(로컬 계정 원격 관리 허용) |
관리자 권한 PowerShell 또는 CMD에서 다음 명령으로 적용할 수 있다.
reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System" ^ /v LocalAccountTokenFilterPolicy /t REG_DWORD /d 1 /f설정 확인은 다음과 같이 수행한다.
reg query "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System" ^ /v LocalAccountTokenFilterPolicy일반적으로 재부팅 없이도 효과가 나타나는 경우가 많지만, 환경에 따라 서비스/세션 캐시 영향이 있으므로 정책 적용 후에는 대상 PC 재부팅을 권장한다.
4-3. 적용 후 검증 시나리오
아래는 가장 흔한 검증 흐름이다. 검증은 “원격에서 로컬 관리자 계정으로 접속했을 때 관리자 공유 및 관리 작업이 되는지”를 확인하는 방식으로 진행한다.
:: 1) 원격 공유 접속(예: 대상 PC가 PC-01) net use \\PC-01\c$ /user:PC-01\Administrator :: 2) 파일 목록 확인 dir \\PC-01\c$\ :: 3) 연결 해제 net use \\PC-01\c$ /delete여전히 접근 거부가 발생한다면, UAC 토큰 분리 이슈 외에도 “방화벽, 공유 설정, 서비스 상태, 자격 증명 캐시, SMB 정책” 문제일 수 있으므로 다음 장의 확장 점검을 수행해야 한다.
5. 실패 시 확장 점검: UAC 말고도 흔히 같이 걸리는 원인들
5-1. 방화벽 및 서비스 기본 점검
관리 공유(C$)는 SMB(445/TCP) 통신이 필요하며, 원격 서비스 제어/관리 도구는 추가 포트/서비스가 필요하다. 특히 “프로필(도메인/개인/공용)”이 공용으로 잡혀 있으면 규칙이 막히는 경우가 많다.
| 구분 | 필요 요소 | 점검 포인트 | 설명 |
|---|---|---|---|
| 관리 공유(C$) | SMB(445), 파일 및 프린터 공유 | Windows Defender 방화벽 인바운드 규칙 | 허용 범위를 특정 IP로 제한하는 것이 바람직하다 |
| 원격 컴퓨터 관리(MMC) | RPC, WMI | WMI 규칙/서비스 상태 | 정책에 따라 추가 허용이 필요할 수 있다 |
| WinRM(권장 원격관리) | WinRM 서비스 | winrm quickconfig 수행 여부 | 원격 명령 기반 운영에 유리하다 |
5-2. 자격 증명 형식 오류(가장 흔한 실수)
원격 접속 시 사용자를 잘못 지정하면 “인증은 되지만 다른 계정으로 처리”되거나, 로컬 계정이 아닌 Microsoft 계정/핀 기반 인증 혼선이 생길 수 있다. 원격 관리에서는 다음 형식을 우선 사용해야 한다.
- 로컬 계정: 대상PC이름\계정명 또는 .\계정명 형식이 기본이다.
- 도메인 계정: 도메인\계정명 형식이 기본이다.
5-3. UAC 관련 추가 정책(환경에 따라 영향을 주는 값)
일반적으로 원격 UAC 제한 해제는 LocalAccountTokenFilterPolicy가 핵심이지만, 조직 정책이 강한 환경에서는 아래 항목들이 결과에 영향을 줄 수 있다. 다만 이 값들은 시스템 보안 모델과 직결되므로, “이 값이 무엇인지 이해하지 못한 상태에서 변경”하는 것은 권장하지 않는다.
| 항목 | 대표 값/설정 | 영향 | 운영 권장 |
|---|---|---|---|
| EnableLUA | 0/1 | UAC 전체 동작 기반 | 0으로 끄는 방식은 최후 수단이다 |
| ConsentPromptBehaviorAdmin | 승인 프롬프트 동작 | 로컬 상승(프롬프트) 방식에 영향 | 원격 접근 거부 자체의 1차 원인은 아닌 경우가 많다 |
| AdminApprovalMode | 관리자 승인 모드 | 관리자 계정의 토큰 분리 방식 | 조직 정책과 함께 검토해야 한다 |
6. 보안까지 포함한 운영 해법: ‘원격 UAC 제한 해제’ 적용 시 반드시 같이 할 것
LocalAccountTokenFilterPolicy를 1로 두면 “로컬 관리자 계정으로 원격 관리가 편해지는” 대신, 공격자 입장에서도 “로컬 관리자 자격 증명만 얻으면 원격 확산이 쉬워지는” 면이 생긴다. 따라서 아래 보완책을 같이 적용해야 한다.
6-1. 필수 보완책
- PC별 로컬 관리자 비밀번호를 고유하게 운영해야 한다. 동일 비밀번호는 위험이 폭발적으로 증가한다.
- SMB 인바운드(445) 허용 범위를 관리망/점프서버/특정 IP로 제한해야 한다.
- 원격 로그온 감사(성공/실패) 및 관리자 공유 접근 로그를 활성화하고 모니터링해야 한다.
- 불필요한 로컬 관리자 계정을 제거하고, 필요한 계정만 최소화해야 한다.
- 가능하면 원격 관리를 C$ 중심에서 WinRM 기반(정책 통제 가능)으로 단계적으로 전환하는 것이 바람직하다.
6-2. 운영에 바로 쓰는 권장 표준안
| 항목 | 권장 | 차선 | 비권장 |
|---|---|---|---|
| 원격 관리 계정 | 도메인 위임 관리자/관리 전용 계정 | PC별 고유 로컬 관리자 | 여러 PC에 동일한 로컬 관리자/비밀번호 |
| 네트워크 접근 | 관리망에서만 허용 | 특정 IP만 허용 | 전체 대역 허용 |
| 해결 방식 | 계정/권한 모델 개선 | LocalAccountTokenFilterPolicy=1 + 보완책 | EnableLUA=0(UAC 완전 비활성화) |
7. 현장용 원클릭 점검/적용 스크립트 예시
아래는 대상 PC에서 로컬 정책을 최소 변경으로 적용하는 예시이다. 배포는 반드시 변경관리 절차를 거쳐야 하며, 적용 후 원복 절차도 함께 준비해야 한다.
7-1. 적용 스크립트(CMD)
@echo off set KEY=HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
echo [1/3] Set LocalAccountTokenFilterPolicy=1
reg add "%KEY%" /v LocalAccountTokenFilterPolicy /t REG_DWORD /d 1 /f
echo [2/3] Query current value
reg query "%KEY%" /v LocalAccountTokenFilterPolicy
echo [3/3] Done. Reboot recommended.
pause7-2. 원복 스크립트(CMD)
@echo off set KEY=HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
echo Revert LocalAccountTokenFilterPolicy to default (0 or delete)
reg add "%KEY%" /v LocalAccountTokenFilterPolicy /t REG_DWORD /d 0 /f
echo Current value:
reg query "%KEY%" /v LocalAccountTokenFilterPolicy
pause8. FAQ
로컬에서 “관리자 권한으로 실행”은 되는데, 왜 원격 C$만 접근 거부가 나는가?
로컬에서의 “관리자 권한으로 실행”은 상승 토큰을 사용하는 과정이지만, 원격 네트워크 로그온은 기본적으로 로컬 계정 관리자 권한이 필터링될 수 있다. 이때 원격 세션에는 관리자 권한이 제거된 토큰이 적용되어 C$ 같은 관리자 공유 접근이 거부될 수 있다. 이런 경우 LocalAccountTokenFilterPolicy가 대표적인 해결 포인트이다.
LocalAccountTokenFilterPolicy를 1로 설정했는데도 계속 접근 거부가 나는 이유는 무엇인가?
방화벽에서 SMB(445)가 막혀 있거나, 파일 및 프린터 공유 규칙이 공용 프로필에서 비활성화되어 있거나, 사용자 형식을 잘못 지정했거나, 실제로는 로컬 계정이 아닌 다른 인증(예: Microsoft 계정/자격 증명 캐시)으로 접속된 경우가 흔하다. 또한 WMI/WinRM/서비스 제어 등은 SMB 외 추가 구성과 권한이 필요할 수 있다. 따라서 방화벽·프로필·서비스·자격 증명 형식을 함께 점검해야 한다.
UAC를 완전히 꺼도 되는가?
UAC 전체 비활성화는 보안 모델을 크게 낮추고 일부 기능 동작에도 영향을 줄 수 있어 일반 운영 환경에서는 권장되지 않는다. 원격 관리 문제 해결이 목적이라면 우선 LocalAccountTokenFilterPolicy로 “원격 제한만” 조정하고, 계정/네트워크 통제와 감사 정책을 강화하는 방식이 더 실무적이다.
가장 안전하게 이 문제를 해결하는 표준 해법은 무엇인가?
도메인 환경에서는 위임된 관리자 계정(또는 관리 전용 계정)으로 원격 관리 체계를 구성하고, 비도메인 환경이라면 PC별 고유 로컬 관리자 비밀번호 운영과 관리망 제한을 적용하는 방식이 안전하다. LocalAccountTokenFilterPolicy는 불가피할 때 보완책과 함께 제한적으로 사용하는 것이 바람직하다.