정보보안
🧾 Windows 로그온 타입(Logon Type) 설명과 예시 정리
후추멍멍이
2025. 6. 27. 13:38
728x90
“이 사용자는 어떻게 로그인한 걸까?”
Windows는 사용자의 로그인 방식에 따라 **로그온 타입(Logon Type)**을 구분합니다.
보안 로그를 분석할 때 반드시 이해해야 할 기본 개념입니다.
✅ 들어가며
Windows 이벤트 로그를 보다 보면
Logon Type: 2, Logon Type: 10 같은 숫자들을 본 적 있으신가요?
이 숫자들은 단순한 코드가 아니라,
“어떤 방식으로 로그온(접속)”했는지를 나타내는 중요한 보안 정보입니다.
이번 글에서는 **Windows의 대표적인 로그온 타입(Logon Type)**을
실제 사용 예시와 함께 쉽게 정리해보겠습니다.
🔐 로그온 타입(Logon Type)이란?
Windows는 사용자가 시스템에 접속할 때,
로그온 방식에 따라 서로 다른 코드(Logon Type)를 부여합니다.
이 정보를 통해 보안 관리자는 다음을 알 수 있습니다:
- 이 사용자는 로컬에서 로그인한 것인가?
- 원격 데스크톱으로 접속한 것인가?
- 네트워크를 통해 파일 공유만 사용한 것인가?
📌 로그온 타입은 이벤트 로그(예: 4624, 4625 등)에서 확인할 수 있으며,
로그인 성공/실패, 접근 경로 분석의 핵심 단서로 사용됩니다.
📋 주요 로그온 타입 정리
Logon Type 설명 실제 예시
| 2 | 로컬 인터랙티브 | 사용자가 PC에서 직접 로그인 (Ctrl+Alt+Del) |
| 3 | 네트워크 | 파일 공유, 프린터 접근 등 네트워크를 통한 로그인 |
| 4 | 배치 | 예약 작업, 백업 스크립트 등 자동 실행 작업 |
| 5 | 서비스 | Windows 서비스가 자동 실행될 때 |
| 7 | 잠금 해제 | 화면 보호기 해제 등 세션 재사용 |
| 8 | 네트워크 명명된 파이프 | 일부 애플리케이션이나 서비스 내부 통신 |
| 9 | 새 자격 증명 | 기존 로그인 상태에서 다른 사용자 권한으로 실행(예: RunAs) |
| 10 | 원격 데스크톱 (RDP) | 원격에서 PC로 접속 (mstsc.exe 사용) |
| 11 | 캐시된 인터랙티브 | 도메인 환경에서 네트워크 연결이 없을 때 로컬 캐시 로그인 |
| 12 ~ 14 | 터미널 서비스 관련 | 고급 서버 환경에서 세션 분리/병합 |
| 15 | 명시적 자격 증명 | 자격 증명을 명확히 지정한 인증 상황 (보통 드묾) |
🧠 자주 등장하는 로그온 타입 집중 설명
🔸 Logon Type 2: 로컬 로그인
- 실제 PC 앞에서 사용자가 직접 로그인한 경우
- 보안상 비교적 안전한 로그인 방식
- 💡 키보드, 마우스를 사용하는 "인터랙티브"한 방식
🔸 Logon Type 3: 네트워크 로그인
- 파일 공유 서버에 접근, 원격 프린터 사용 등
- 주로 내부 네트워크에서 발생
- 공격이 아닌 정상적인 동작에서도 자주 발생함
🔸 Logon Type 5: 서비스 계정 로그인
- Windows 서비스가 시스템 시작 시 자동 실행될 때 사용
- 사용자 로그온이 아닌 시스템 동작으로 발생
🔸 Logon Type 10: 원격 데스크톱(RDP)
- 가장 민감한 로그온 타입 중 하나
- 외부 또는 내부에서 원격으로 PC에 접속
- 기업에서는 이 유형의 접속을 철저히 통제 및 모니터링해야 함
🔎 로그 분석 예시
이벤트 로그 4624 항목 중 일부:
Subject:
Security ID: S-1-5-21-...
Account Name: userA
Logon Type: 10
이 경우, userA가 원격 데스크톱(RDP)을 통해 로그인한 기록입니다.
🛡️ 실무에서 왜 중요한가요?
- 보안 이상 징후 탐지:
원래는 Logon Type 2만 발생하는 환경인데, 갑자기 10번(RDP)이 나타난다면? - 내부 사용자 행위 감사:
누가 언제 어떤 방식으로 접속했는지 확인 가능 - 서비스 계정 오용 방지:
Logon Type 5를 통해 불필요한 서비스 자동 실행 여부 점검 가능
📌 정리 요약
용도 참고할 로그온 타입
| PC 앞에서 로그인 | 2 (로컬) |
| 파일 공유, 내부 네트워크 접근 | 3 (네트워크) |
| 예약된 작업, 자동 실행 | 4 (배치), 5 (서비스) |
| 원격 데스크톱 | 10 (RDP) |
| 도메인 없는 환경의 임시 로그인 | 11 (캐시) |
✍️ 마무리하며
로그온 타입은 단순한 숫자가 아니라,
접속 방식과 보안 수준을 파악할 수 있는 중요한 정보입니다.
보안 담당자가 아니더라도,
기본적인 의미를 알고 있다면 이벤트 로그를 보는 눈이 달라집니다.
728x90