내가 자리를 비운 사이 누군가 내 컴퓨터를 켜보지는 않았을까 의심되시나요? 윈도의 블랙박스인 '이벤트 뷰어'를 통해 PC가 켜지고 꺼진 시간과 로그인 성공/실패 기록을 초 단위로 추적하는 방법을 소개합니다.
도입부
집이나 사무실에서 컴퓨터를 쓰다 보면 찜찜한 순간이 있습니다. 분명 끄고 나갔는데 켜져 있다거나, 모니터 위치가 미세하게 바뀌어 있을 때 말이죠. "누가 만졌나?" 싶지만 심증만 있고 물증이 없습니다.
CCTV를 달아놓지 않는 이상 범인을 잡을 수 없다고 생각하시나요? 아닙니다. 윈도는 전원이 들어오는 그 순간부터 모든 활동을 기록하고 있습니다. 마치 비행기의 블랙박스처럼 말이죠.
오늘은 윈도우의 기본 도구인 '이벤트 뷰어'를 활용해, 내 PC가 언제 켜졌고 언제 로그인이 시도되었는지 수사관처럼 기록을 조회하는 방법을 알려드립니다.
1. 윈도우의 기록 보관소, '이벤트 뷰어' 열기
이벤트 뷰어는 윈도에서 일어나는 모든 일(오류, 경고, 정보)을 기록하는 곳입니다. 좀 복잡해 보이지만, 우리는 딱 하나만 보면 됩니다.
실행 방법
- 윈도우 시작 버튼을 우클릭하고 [이벤트 뷰어]를 선택합니다. (또는 검색창에 "이벤트 뷰어" 입력)
- 왼쪽 폴더 목록에서 [Windows 로그]를 더블 클릭합니다.
- 하위 메뉴 중 [보안]을 클릭합니다.
▲ [보안] 탭을 누르면 가운데 화면에 수천 개의 알 수 없는 목록이 뜹니다. 당황하지 마세요. 여기서 우리가 필요한 정보만 필터링할 겁니다.
2. 암호 같은 '이벤트 ID' 해독하기
여기 쌓인 로그들은 '이벤트 ID'라는 숫자로 구분됩니다. 로그인과 관련된 핵심 ID 두 가지만 기억하세요.
- 4624: 로그인 성공 (누군가 비밀번호를 맞추고 들어옴)
- 4625: 로그인 실패 (비밀번호를 틀림 - 수상함!)
기록 찾는 법 (필터링)
- 우측 메뉴(작업 창)에서 [현재 로그 필터링...]을 클릭합니다.
- 가운데 입력칸(... <모든
이벤트 ID>)에4624, 4625라고적습니다. - [확인]을 누릅니다.
▲ 이제 수많은 기록 중에서 '로그인 시도'와 관련된 기록만 남았습니다. 목록을 날짜/시간순으로 보면 언제 누가 접속했는지 알 수 있습니다.
3. 범인의 흔적 분석하기
이제 남은 목록을 시간대별로 봅니다.
- 내가 없던 시간(예: 주말, 퇴근 후)에 '4624'가 찍혀있다?
- 빼박입니다. 누군가 내 비밀번호를 알고 접속했다는 뜻입니다.
- 짧은 시간에 '4625'가 연속으로 찍혀있다?
- 누군가 내 비밀번호를 뚫으려고 여러 번 시도하다가 실패했다는 뜻입니다. (해킹 시도)
목록 중 하나를 더블 클릭하면 아래쪽 상자에서 자세한 정보를 볼 수 있습니다. [계정 이름]을 확인하면 어떤 계정으로 로그인을 시도했는지도 나옵니다.
4. 컴퓨터 켜고 끈 시간 확인하기 (전원 기록)
로그인 말고, 그냥 컴퓨터가 언제 켜지고 꺼졌는지만 보고 싶다면 [시스템] 로그를 보면 됩니다.
- 왼쪽 메뉴에서 [Windows 로그] > [시스템]을 클릭합니다.
- 우측 [현재 로그 필터링]을 누릅니다.
- 이벤트 ID에
6005, 6006을 입력합니다.- 6005: 이벤트 로그 서비스 시작 (컴퓨터 켜짐)
- 6006: 이벤트 로그 서비스 중지 (컴퓨터 꺼짐)
▲ 이 기록을 보면 자녀가 몰래 새벽에 컴퓨터를 켜서 게임을 했는지, 혹은 회사 PC가 주말에 켜졌었는지 단번에 알 수 있습니다.
결론: 기록은 거짓말을 하지 않습니다
심증만으로는 누구도 추궁할 수 없습니다. 하지만 이벤트 뷰어에 찍힌 '2026-01-04 오후 11:30:45 로그인 성공'이라는 기록은 확실한 증거가 됩니다.
뭔가 찜찜하다면 지금 당장 이벤트 뷰어를 열어보세요. 내 PC의 지난밤 행적을 낱낱이 파악할 수 있습니다.