[SSH Key 인증 관련] Windows VSCode Remote-SSH: ‘Bad permissions’ (S-1-5-32-513) 오류 해결 방법 (feat. ChatGPT)

[ 목차 ]

문제 배경

클라우드 관리자에게 클라우드에 등록된 각자의 ssh 접속 키를 변경하고자 한다며 새로 생성해서 주라는 요청이 들어왔다. 윈도우에서 ssh-keygen으로 rsa를 지정하지 않고 키를 생성해서 공유했고, mobaXterm에서 문제 없이 접속되는 것을 확인해서 관리자님께 '잘 됩니다'라고 공유까지 완료했다. 그러나, 그날부터 멀쩡히 잘 사용하던 vscode와 cursor ide 툴에서 .ssh/config에 작성된 IdentityFile에 기입한 변경된 키를 가지고 접속 시도하면 원격 서버에서 거부를 당하기 시작했다. 처음에는 cursor 문제인가 싶어 'vscode는 전에 문제없이 잘 됐으니까' 생각하며 vscode 프로그램에서 재시도했으나 똑같이 거부되었다.
예전에 클라우드 서버 ip가 변경되면서 비슷한 문제가 발생한 적 있었기에 클라우드 서버에 mobaXterm으로 ssh 접속하여 내 계정 디렉토리 하위에 있는 .vscode-server 디렉토리를 지워줘봤다. 그러나 그냥 접속 자체가 안되고 있는지 지워버린 .vscode-server 디렉토리가 재생성되지 않고 있는 것이다. 이때부터 문제가 있구나, 느꼈다.

원격 접속 거부 당하는 콘솔 출력을 복사해서 ChatGPT o3-mini-high 에게 물어보았고, gpt는 내게 .ssh/id\_ed25519 파일의 권한 재조정을 말하기 시작했다. gpt가 생각보다 위험한 설정 조정을 원한 적이 많기에 바로 손대는 게 염려됐고, 사수에게 물어보니 실제로 권한 문제가 자주 발생한다며 지워주고 다른 계정에게는 권한 거절, 사용하는 계정에게 권한 허용 등을 해주길 권장 받았다. 그때부터 gpt의 말을 신뢰하고 진행하기 시작했고, 최종적으로 해결하게 된 케이스를 gpt에게 정리 요청했다. 나와 같은 상황에 처한 분들이 있다면 아래와 같이 진행하길 권장한다.

---

🤖 ChatGPT o3-mini-high

아래 정리 내용은 최초 문의 시점부터 최종 해결 시점까지 어떤 상황이었고, 어떤 과정을 거쳐 해결되었는지를 단계별로 요약한 것입니다.
비슷한 문제로 고민하는 다른 분들에게도 유용한 참고 자료가 되길 바랍니다.

---

1. 문제 상황

1. 새 SSH 키로 교체 후 VSCode Remote-SSH 연결 불가
   • 기존 SSH 키를 새로 만든 id_ed25519 키로 교체했는데,
   • MobaXterm에서는 정상 접속되지만 VSCode Remote-SSH에서는 “Bad permissions” 에러 발생
2. 로그에 표시되는 “UNKNOWN\UNKNOWN (S-1-5-32-513)”
   • C:\Users\msi\.ssh\id_ed25519 파일의 권한이 S-1-5-32-513(로컬 Users 그룹) 등에게 열려 있다고 나오고,
   • OpenSSH(특히 VSCode Remote-SSH)가 “이 키 파일은 너무 개방적이다”고 판단하여 무시
3. Windows ACL(권한) 문제
   • Windows는 상위 폴더 권한을 상속(inheritance)해 .ssh 폴더 및 키 파일에 자동 적용할 수 있음
   • 관리자로 로그인하면 Administrators, SYSTEM, Users 그룹이 붙는 경우가 많고,
   • MobaXterm은 이를 크게 문제삼지 않을 수 있으나, VSCode Remote-SSH는 SSH 보안상 프라이빗 키를 오직 소유자만 접근할 수 있어야 한다고 엄격히 체크

---

2. 시도했던 방법과 문제점

1. 단순히 키 파일 권한만 수정
   • icacls "C:\\Users\\msi\\.ssh\\id\_ed25519" /grant msi:F 등으로 수정
   • 그러나 .ssh 폴더 자체에 Users, Everyone 등의 권한이 상속 설정되어 있어서,
   • 재부팅·재로그인·VSCode 재시작 후 다시 UNKNOWN\UNKNOWN(S-1-5-32-513)이 붙음
2. SSH config 설정 확인
   • ~/.ssh/config에서 IdentityFile을 새 키로 지정해도 VSCode에서 권한 오류가 계속 발생
   • 심지어 .ssh/config 파일마저 EPERM(권한 거부) 에러가 뜨기도 함
3. OneDrive/백신/그룹 정책 간섭 가능성
   • 만약 .ssh 폴더가 OneDrive로 동기화되거나 회사 보안 정책에 의해 권한이 복원되는 경우가 있음
   • 이 부분도 고려해야 했으나, 결국 핵심은 “폴더 상속 제거 + 오직 msi만 권한 부여”로 귀결

---

3. 최종 해결 방법

1. .ssh 폴더 전체 소유권 획득

takeown /f "C:\Users\msi\.ssh" /r /d y

• /r: 하위 폴더·파일 재귀 처리
• /d y: 대화형 프롬프트 없이 진행

2. ACL 초기화 + 상속 제거

icacls "C:\Users\msi\.ssh" /reset /T
icacls "C:\Users\msi\.ssh" /inheritance:r /T

• /reset: 기존 ACL을 Windows 기본값으로 리셋
• /inheritance:r: 상위 폴더 권한 상속 제거
• /T: 하위 모든 파일·폴더에 적용

3. msi 사용자에게만 Full Control 부여

icacls "C:\Users\msi\.ssh" /grant:r msi:F /T

• 이렇게 하면 .ssh 폴더 및 내부 파일들이 오직 msi만 접근 가능
• Unknown SID(S-1-5-32-513), Everyone, Administrators 등 불필요한 권한 제거

4. SSH config와 키 파일 확인

• ~/.ssh/config에 IdentityFile C:\Users\msi\.ssh\id_ed25519 설정
• VSCode에서 “Remote-SSH: Connect to Host…” 시도 시 더 이상 “Bad permissions” 오류 없이 정상 접속
• config 파일 자체도 msi가 읽을 수 있어야 하므로, 같은 방식으로 권한 부여

---

4. 결론 및 교훈

• Windows에서 SSH 프라이빗 키 파일은 오직 소유자만 읽기/쓰기 권한을 가져야 합니다.
• .ssh 폴더가 상위 폴더 권한을 상속받아 Users, Everyone, Administrators 등이 포함되면, VSCode Remote-SSH가 “보안상 문제가 있다”며 키 파일을 무시해버립니다.
• 따라서 .ssh 폴더 전체를 소유자(현재 사용자)만 접근 가능하도록 상속을 끊고 정리해야 합니다.
• MobaXterm 등 일부 SSH 클라이언트는 이런 권한 문제를 덜 엄격하게 체크하기 때문에, VSCode에서는 에러가 나는데 MobaXterm에서는 잘 되는 현상이 발생할 수 있습니다.

---

정리하자면

1. 문제 원인
   • 새로 만든 키 파일에 Windows 상속 ACL이 붙어서, UNKNOWN\UNKNOWN (S-1-5-32-513) 등 불필요한 권한이 생김
   • VSCode Remote-SSH는 이를 “Bad permissions”로 간주하고 키 파일 로드를 거부
2. 해결책
   • .ssh 폴더 전체를 대상으로 소유권 변경 → 권한 초기화 → 상속 제거 → msi만 Full Control
   • 이후 config 파일과 키 파일 모두 오직 msi만 접근 가능하게 됨
   • 결과적으로 VSCode Remote-SSH에서 “Bad permissions” 경고가 사라지고 정상 접속
3. 교훈
   • Windows 환경에서 SSH 키를 사용할 때는 .ssh 폴더 상속 제거와 소유자 권한 제한이 중요
   • 다른 SSH 클라이언트(MobaXterm)는 문제없더라도, VSCode Remote-SSH(Windows OpenSSH)는 더 엄격하게 체크한다.

이 과정을 이해하고 기억해두면, 추후 유사한 SSH 권한 문제(“Bad permissions” 등)가 발생했을 때 빠르게 원인을 파악하고 해결할 수 있을 것입니다.