이 가이드는 Windows 11에서 원격 데스크톱(RDP) 포트 변경 방법에 대해 설명합니다.
Windows 11 PC에서 원격으로 접속하려는 경우 Pro 및 Enterprise 버전과 함께 제공되는 원격 데스크톱(RDP)을 사용할 수 있으며 기본 RDP 포트는 3389 입니다.
가정에서 많이 사용되는 Home 버전에서는 RDP Server 기능은 사용할 수 없으며, 다만 다른 컴퓨터에 연결할 수 있는 RDP Client만 사용할 수 있습니다.
포트 “3389”는 Microsoft 원격 데스크톱의 범용 기본 포트이며, 사용자가 별도로 이 포트를 변경하지 않는다면 원격 데스크톱을 통해 악의적인 목적으로 접근을 시도하는 경우 해당 포트를 통해 접근하게 됩니다.
따라서 RDP 포트를 변경하면 권한이 없는 사용자가 해당 시스템에 접근하는 것을 차단 할 수 있습니다.
Windows 11에서 기본 원격 데스크톱(RDP) 포트 변경 방법
“22”, “23”, “3389” 등 널리 알려진 포트를 변경하는 것에 대해 회의적인 보안 전문가가 많습니다.
흔히 불분명함을 통한 보안이라고 비판하지만, 다른 보안 조치와 함께 알려진 포트를 임의의 다른 포트로 변경하는 것이 보안에 더 도움이 되는 것은 사실입니다.
다른 한편으로는 현재 사용 중인 네트워크에서 “3389”를 차단하는 방화벽이 있는 경우 RDP 포트를 변경하여 사용하는 것도 고려해볼 수 있습니다.
이 경우 방화벽에서 허용된 포트를 RDP 포트로 지정하여 원격 접속을 연결할 수 있습니다.
01 원격 데스크톱 포트 변경
원격 데스크톱의 기본 포트 번호를 변경하려면 레지스트리 편집이 필요하며 방법은 다음과 같습니다.
⚠️ 주의 : Windows 레지스트리 편집기를 올바르게 사용하지 않으면 시스템에 심각한 문제가 발생할 수 있습니다. 현재 수행 중인 작업을 잘 알고 있으며, 계속 진행하기 앞서 시스템 백업을 생성한 것으로 가정합니다.
키보드 단축키 Win + R 키를 눌러 실행 대화 상자를 열고 regedit 입력 후 Enter 키를 눌러 레지스트리 편집기를 실행합니다.
또는 시작 메뉴에서 “레지스트리 편집기” 검색 후 결과를 클릭하여 실행할 수도 있습니다.
레지스트리 편집기가 열리면 왼쪽 창에서 다음 키를 찾아 이동하거나, 창 상단의 주소 표시줄에 복사 및 붙여넣기를 통해 빠르게 이동할 수도 있습니다.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
“RDP-Tcp” 폴더(키)를 찾았으면 오른쪽 창에서 “PortNumber” 값을 찾아 두 번 클릭합니다.
참고로 “데이터” 열을 살펴보면 현재 기본 포트인 “3389” 값을 사용하는 것을 알 수 있습니다.
값 편집 창에서 ‘단위’는 “10진수(D)” 옵션을 사용하고 ‘값 데이터(V)’ 입력 상자에 사용하려는 포트 번호를 입력한 다음 [확인] 버튼을 클릭합니다.
여기에서는 “23389”를 입력하고 변경 사항을 저장하였습니다.
만약 나중에 Windows RDP 포트를 기본으로 복원하려면 이 단계에서 “3389”를 입력하시면 됩니다.
모든 단계를 완료하면 레지스트리 편집기를 닫고 변경 사항을 적용하기 위해 시스템을 다시 시작합니다.
이제 RDP 포트를 변경했으므로 외부에서 원격으로 접속할 때 해당 포트를 지정하여 연결할 수 있습니다.
RDP Server IP 주소로 연결할 때 “IP주소:포트번호”와 같이 IP 주소 뒤에 콜론과 함께 새로운 포트 번호를 입력하면 됩니다.
예를 들어 “192.168.1.10” 주소로 연결한다면 “192.168.1.10:23389“와 같은 형식으로 사용합니다.
02 변경된 RDP 포트 방화벽 추가
포트 변경 후 원격 데스크톱 기능이 정의된 수신 포트를 통해 연결을 요청하더라도, 방화벽을 사용 중이라면 원격 연결에 실패할 수 있습니다.
현재 사용 중인 RDP 포트를 확인하려면 다음 PowerShell 명령으로 확인이 가능합니다.
Get-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp' -name "PortNumber"포트 확인 후 사용자가 정의한 포트로 설정되지 않은 경우 다음 방법 중 하나를 통해 허용하셔야 합니다.
방화벽에 해당 수신 포트를 추가하는 방법은 Windows Defender 방화벽 사용 또는 PowerShell 명령을 이용하여 추가하실 수 있으며, 다음과 같습니다.
Method 01. Windows Defender 방화벽
키보드 단축키 Win + R 키를 눌러 실행 대화 상자를 열고 firewall.cpl 입력 후 Enter 키를 눌러 Windows Defender 방화벽 실행한 다음 [고급 설정]을 클릭합니다.
방화벽 인바운드 규칙을 살펴보면, 기존 “원격 데스크톱 – 사용자 모드(UDP-In) 및 (TCP-In)” 기본 규칙이 정의되어 있는 것을 확인할 수 있습니다.
그러나 해당 규칙은 “미리 정의한 규칙이므로 포트 번호 등 속성을 수정할 수 없습니다”
따라서 방화벽 인바운드 규칙 화면의 오른쪽 창에서 [새 규칙]을 클릭하여 새롭게 정의하셔야 합니다.
마법사 창이 열리면 규칙 종류는 “포트(O)” 옵션 선택 후 [다음(N)] 버튼을 클릭합니다.
프로토콜 및 포트 설정 단계에서는 “TCP(T)” 및 “특정 로컬 포트(S)” 선택 후 사용하려는 임의의 RDP 포트 번호를 입력하고 [다음(N)] 버튼을 클릭합니다.
🔦 참고 : 인바운드 규칙은 TCP 및 UDP 모두 생성해야 합니다.
작업 수행 방법 설정 단계에서 “연결 허용(A)” 옵션 선택 후 [다음(N)] 버튼을 클릭합니다.
프로필 설정 단계에서 모든 옵션 선택 후 [다음(N)] 버튼을 클릭합니다.
마지막으로 새롭게 추가한 인바운드 규칙 이름을 입력하고 [마침(F)] 버튼을 클릭합니다.
모든 단계를 완료하면, 동일한 과정을 통해 “UDP” 규칙도 새롭게 추가합니다.
Method 02. PowerShell 명령으로 방화벽 추가
키보드 단축키 Win + R 키를 눌러 실행 대화 상자를 열고 wt 입력 후 Ctrl + Shift + Enter 키를 눌러 관리자 권한으로 터미널을 실행합니다.
다음 명령을 입력하고 Enter 키를 눌러 포트 변수를 지정합니다.
$portvalue = <Port_Number>다음 명령을 입력하고 Enter 키를 눌러 레지스트리에 “TCP” 포트를 새롭게 추가합니다.
New-NetFirewallRule -DisplayName '<규칙 이름>' -Profile 'Public' -Direction Inbound -Action Allow -Protocol TCP -LocalPort $portvalue 위 명령에서 <규칙 이름>은 사용자가 식별하기 쉬운 이름으로 변경합니다.
다음 명령을 입력하고 Enter 키를 눌러 레지스트리에 “UDP” 포트를 새롭게 추가합니다.
New-NetFirewallRule -DisplayName '<규칙 이름>' -Profile 'Public' -Direction Inbound -Action Allow -Protocol UDP -LocalPort $portvalue 위 명령에서 <규칙 이름>은 사용자가 식별하기 쉬운 이름으로 변경합니다. 이때 UDP 및 TCP 규칙 이름은 중복되어도 정상 동작합니다.
마치며
보안 강화를 위해 포트를 변경할 수도 있지만, 원격 데스크톱 서버의 다른 응용 프로그램이 RDP 포트와 동일한 TCP 포트를 사용할 경우 포트 할당 충돌이 발생할 수도 있습니다.
이 경우 RDP에 할당된 기본 포트가 아닌 다른 임의 포트를 사용하여 해결할 수도 있습니다.
