혹시 윈도우에서 파일이나 폴더의 속성을 확인하다가 '알 수 없는 계정(S-1-5-21-xxxxxxxxx...)'이라는 이상한 계정을 본 적 있으신가요?
이 글은 단순한 오류 설명이 아닙니다. 이 '알 수 없는 계정'이 보안상 어떤 의미를 갖는지, 왜 생겼는지, 어떻게 제거할 수 있는지, 그리고 앞으로 재발 방지까지 완벽하게 안내해드립니다.
✅ 1. '알 수 없는 계정'이란? – 정체부터 정확히 알자
윈도우 보안탭에서 S-1-5-21-xxxxxxxx... 형태로 보이는 항목은 실제로 존재하지 않는 사용자 계정입니다. 이 값은 계정을 식별하기 위한 고유 식별자(SID, Security Identifier)로, 계정이 삭제되었거나 손상되어 사용자명으로 바꾸지 못할 때 이런 방식으로 남아있습니다.
구분 내용
| 표시 형태 | S-1-5-21-xxxxx... (알 수 없는 SID) |
| 원래 정체 | 삭제되었거나 손상된 계정의 흔적 |
| 나타나는 위치 | 파일/폴더 속성 > 보안 탭 |
| 보안상 문제 여부 | 불필요한 권한으로 보안 취약 가능 |
🔎 2. '알 수 없는 계정'이 나타나는 주요 원인 5가지
원인 설명
| ① 계정 삭제 후 권한 남음 | 계정을 삭제했지만 해당 계정이 소유하던 파일/폴더에 권한 정보가 남아 있는 경우 |
| ② 도메인 변경 | 회사 내부 시스템에서 도메인이 바뀌면서 이전 계정 SID가 무효화된 경우 |
| ③ 윈도우 재설치/업그레이드 | 사용자 계정이 새로운 시스템에 연결되지 못하고 남아 있는 현상 |
| ④ 외부 사용자 권한 부여 후 삭제 | 다른 PC에서 접근한 사용자의 권한 기록이 남아 있는 경우 |
| ⑤ 악성코드로 인한 비정상 계정 | 해킹 툴이나 바이러스가 생성한 은폐된 사용자 계정일 수 있음 |
⚠️ 보안적으로 가장 주의해야 할 상황은 ⑤번입니다. 이 경우 반드시 백신 검사와 함께 로그 기록 확인이 필요합니다.
🛠️ 3. '알 수 없는 계정' 삭제 방법 – 단계별 가이드
3.1 보안탭에서 직접 제거
- 파일/폴더 우클릭 → 속성
- 보안 탭 → 고급 → 사용 권한 변경
- ‘알 수 없는 계정(S-1-5-21-xxxxxx)’ 선택 후 제거(R) 클릭
- 확인 후 적용
3.2 로컬 사용자 및 그룹 관리 도구
- Win + R → lusrmgr.msc 실행
- 사용자 항목 확인
- 존재하지 않는 계정 제거
3.3 명령어로 SID 직접 삭제
takeown /f "C:\문제폴더경로" /r /d y
icacls "C:\문제폴더경로" /remove "S-1-5-21-xxxx"
명령어 설명
| takeown | 소유권 변경 명령어 |
| icacls /remove | 특정 SID 권한 제거 명령어 |
🔒 4. 삭제가 안될 때? 고급 해결 방법
방법 상세 설명
| 안전 모드 진입 후 삭제 | 윈도우 부팅 시 F8 → ‘안전 모드’ 진입 후 시도 |
| 시스템 복원 | 계정 삭제 전 시점으로 복원 |
| 레지스트리 수동 정리 | regedit → HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList 에서 해당 SID 직접 삭제 |
| 그룹 정책 초기화 | gpedit.msc 실행 후 관련 사용자 정책 초기화 |
💡 5. 알 수 없는 계정이 위험한 이유
- 불필요한 권한으로 인한 정보 유출 가능
- 랜섬웨어 감염 시 비정상 계정으로 악용 가능
- IT 관리자가 모르면 기업 전체 보안 구멍이 될 수 있음
- 장기적으로 파일 소유권 충돌 및 백업 오류 유발
✅ 6. 재발 방지를 위한 보안 관리 팁
관리 항목 실천 방법
| 계정 삭제 전 권한 제거 | 삭제 전 파일 권한 회수 필수 |
| 관리자 계정 정기 점검 | lusrmgr.msc로 관리자 그룹 확인 |
| 로컬 로그 주기적 확인 | eventvwr.msc 실행 → 보안 이벤트 분석 |
| 백신 프로그램 상시 실행 | 정품 보안 프로그램 설치 및 업데이트 유지 |
| 불필요한 공유 폴더 해제 | 네트워크 공유된 폴더 권한 수시 점검 |
📌 7. 자주 묻는 질문 (FAQ)
Q1. '알 수 없는 계정'을 무조건 삭제해도 되나요?
A1. 대부분의 경우 삭제해도 되지만, 시스템 계정일 수 있으므로 백업 후 삭제를 권장합니다.
Q2. 삭제했는데 다시 생겨요. 왜 그런가요?
A2. 백업된 SID가 복구되었거나, 그룹 정책에 의해 재등록된 경우입니다. 정책 초기화를 점검하세요.
Q3. 이게 해킹의 징후일 수도 있나요?
A3. 정체불명 계정이 많거나, 의심스러운 로그인 시도가 있다면 의심해볼 필요가 있습니다.
Q4. 계정을 삭제했는데 파일 권한이 남아있는 이유는?
A4. 윈도우는 파일 권한을 별도 SID로 관리하므로, 계정이 없어도 권한 정보는 유지됩니다.
Q5. 기업에서는 어떻게 관리해야 하나요?
A5. AD 도메인 기반 권한 관리와 정기적인 그룹 정책 감사가 필요합니다.
📝 결론: 지금 내 컴퓨터의 보안 상태를 점검하세요!
‘알 수 없는 계정’은 사소해 보이지만, 보안의 시작은 이런 작은 단서에서 출발합니다. 지금 이 순간, 당신의 컴퓨터에도 남아있는 권한 정보가 있을 수 있습니다. 이 글을 바탕으로 다음을 실천해보세요:
- 📌 보안탭에서 의심스러운 계정 제거
- 📌 관리자 계정과 사용자 권한 수시 점검
- 📌 로그 분석 및 백신 점검
🗂 요약: 이 글에서 다룬 핵심 포인트
- ‘알 수 없는 계정’은 삭제된 계정의 SID가 남은 것
- 보안상 삭제 권장되며, 권한 충돌/정보 유출 우려
- 속성 > 보안탭 → 고급에서 제거 가능
- 삭제 안 될 시 안전 모드 또는 명령어 활용
- 기업에서는 그룹 정책과 AD 도메인으로 예방