보안 / 윈도우

윈도우 PC를 위한 비트로커 암호화 완벽 가이드

Chris Hoffman | Computerworld 2024.08.27
데이터 암호화는 매우 중요하다. 회사에서 제공한 PC를 사용하든 개인 컴퓨터로 작업하든, 암호화를 사용하면 도둑이나 다른 사람이 PC를 손에 넣어도 민감한 개인 데이터를 볼 수 없다.

윈도우 PC의 스토리지 암호화는 다소 복잡하게 느껴질 수 있다. 이 가이드에서는 기존 비트로커 암호화와 새로운 '장치 암호화'의 차이점, PC의 데이터를 안전하게 보호하는 방법, 만일을 대비해 이동식 장치를 암호화하는 방법 등 비트로커 암호화의 모든 것을 알아본다.
 
ⓒ Chris Hoffman, IDG

또한 비트로커 암호화 오류 복구에 대해 알아야 할 사항도 설명한다. 크라우드스트라이크 사태가 발생했을 때, 많은 사람이 PC를 부팅하면 비트로커 복구 키를 요구하는 블루스크린만 볼 수 있었다. 이런 일은 일어나서는 안되겠지만, 만일의 사태에 대비하는 것이 좋다.
 

비트로커의 이해

비트로커는 마이크로소프트의 스토리지 암호화 기술이다. 윈도우 비스타에 처음 도입됐으며, 현재도 윈도우 11 및 윈도우 10에 포함되어 있다. 비트로커는 스토리지의 전체 볼륨을 암호화하도록 설계됐다. 즉, 하드 드라이브의 전체 파티션을 암호한다.

비트로커를 활성화하면 PC의 파일이 암호화된 방식으로 디스크에 저장됩니다. 파일을 “마구 뒤섞어 놓은(scrambled)” 형태로 저장하기 때문에 PC의 하드 드라이브를 훔쳐간다고 해도 파일에 액세스할 수 없다. 파일에 액세스하려면 암호화 키가 필요하다.

비트로커는 컴퓨터를 부팅할 때 자동으로 잠금이 해제되는 “투명” 모드로 작동하도록 설정되어 있는 경우가 많다. 이렇게 하면 컴퓨터의 TPM(Trusted Platform Module) 하드웨어를 사용해 드라이브의 잠금을 해제한다. TPM은 암호화 키를 저장하고 윈도우 운영체제가 변조되지 않은 것으로 보이는 경우에만 암호화 키를 제공한다.

이 기술은 기업이 회사 데이터를 보호하는 중요한 방법이다. 그렇기 때문에 기업에서는 업무용 PC에서 비트로커를 사용하도록 강제하는 경우가 많다. 하지만 개인이 개인 데이터를 보호하는 데에도 유용한 방법이다. 누군가 노트북을 손에 넣더라도 키가 없으면 파일에 액세스할 수 없다. 노트북을 부팅하더라도 파일에 액세스하려면 윈도우 사용자 계정에 로그인해야 한다.

비트로커에 문제가 발생하면 비트로커 복구 키를 입력할 것을 요청한다. 비트로커를 직접 설정한 경우에는 암호화 키를 안전한 곳에 저장하라는 메시지가 표시됩니다. 기업 환경에서는 IT 부서가 사본을 가지고 있다. 일부 상황에서는 사본을 마이크로소프트 계정과 함께 저장하기도 한다.
 

비트로커와 장치 암호화의 차이

윈도우 7 시절에는 비트로커가 전문가용, 기업용, 교육용 버전의 윈도우에서만 제공됐다. 홈 버전의 윈도우를 실행하는 일반 PC에서는 내장 암호화 기술을 사용할 수 없었다.

현재도 이런 차이는 있다. 비트로커 드라이브 암호화(BitLocker Drive Encryption)란 이름의 비트로커의 정식 버전은 윈도우의 프로페셔널 버전 이상에서만 사용할 수 있다. PC에서 온전한 비트로커 도구를 이용하려는 개인 사용자는 PC의 윈도우 홈 버전을 윈도우 11(또는 윈도우 10) 프로페셔널 버전으로 업그레이드해야 한다.

그러나 윈도우 8.1부터 시작해 현재 윈도우 10 및 윈도우 11까지 마이크로소프트는 “장치 암호화”라는 기능을 제공한다.  이 기술은 내부적으로 비트로커를 사용하지만, 하지만 전체 비트로커 구성 옵션은 제공하지 않으며 PC에 올바른 하드웨어(윈도우 11에 공식적으로 필요한 하드웨어 기능 중 하나인 TPM 2.0 칩)가 있는 경우에만 작동한다.

장치 암호화는 평균적인 최신 PC에서 “그냥 작동”하도록 만들어진 기능이다. 마이크로소프트 계정이나 회사 또는 학교 계정으로 윈도우에 로그인하면, 윈도우가 자동으로 장치 암호화를 활성화하여(PC에 올바른 하드웨어가 있다는 가정 하에) 암호화를 통해 파일을 보호한다.

마이크로소프트 계정, 회사 계정 또는 학교 계정으로 로그인했으므로 윈도우는 비트로커 복구 키를 마이크로소프트 계정 또는 회사나 학교의 시스템에 PC를 백업한다. 이렇게 하면 일반 PC 사용자가 오류가 발생했을 때 복구 키에 액세스할 수 있는 방법이 보장된다.

일반 사용자의 경우, 마이크로소프트 계정이 필요하다. 로컬 사용자 계정으로 PC에 로그인하도록 선택하면 장치 암호화를 사용할 수 없다. 최적의 보안을 위해 마이크로소프트 계정으로 로그인하거나 윈도우 프로페셔널 에디션을 구매해 비트로커 환경을 사용하는 것이 좋다.
 

PC의 스토리지가 암호화되어 있는지 확인하는 방법

비트로커를 사용하려면, 관리자 계정으로 윈도우에 로그인해야 한다. 일반 사용자 계정으로 로그인한 경우에는 옵션이 표시되지 않을 수 있다.

윈도우 11에서 장치 암호화를 확인하려면 설정 앱을 열고 '개인정보 및 보안'을 선택한 다음 보안 아래에 있는 '장치 암호화'를 클릭한다. 장치 암호화가 활성화되어 있으면 “켜짐”으로 설정된다. 
 
설정 앱에는 PC에서 지원하는 경우에만 '장치 암호화' 옵션이 표시된다. ⓒ Chris Hoffman, IDG

윈도우 10에서 설정 앱을 열고 '업데이트 및 보안'을 선택한 다음 왼쪽 창에서 '장치 암호화'를 선택한다. 장치 암호화가 활성화되어 있으면 “장치 암호화가 켜져 있다.”라는 메시지가 표시된다.

설정 앱에 '장치 암호화' 옵션이 전혀 표시되지 않는다면, PC가 이를 지원하지 않거나 표준 사용자 계정으로 윈도우에 로그인한 것이다.
 
PC에 장치 암호화가 있는 경우 유일한 옵션은 장치 암호화를 “켜기” 또는 “끄기”로 설정하는 것이다. ⓒ Chris Hoffman, IDG

파일 탐색기에서 확인할 수도 있다. '내 PC' 아래에서 컴퓨터의 각 드라이브 아이콘을 확인한다. 드라이브 아이콘에 자물쇠가 있는 경우, 해당 드라이브는 비트로커 드라이브 암호화 또는 장치 암호화를 통해 어떤 식으로든 암호화된 것이다.
 
윈도우는 암호화된 드라이브 옆에 자물쇠 아이콘을 표시한다. ⓒ Chris Hoffman, IDG

기존 제어판 창을 열고 “시스템 및 보안”을 선택한 다음, “비트로커 드라이브 암호화” 또는 “장치 암호화”를 클릭해 비트로커 옵션을 제어하고 스토리지가 암호화됐는지 확인할 수 있다. 
 
비트로커 드라이브 암호화는 장치 암호화보다 더 많은 옵션을 제공한다. ⓒ Chris Hoffman, IDG

이동식 드라이브를 암호화하는 방법

온전한 전체 비트로커 드라이브 암호화 환경을 갖춘 PC를 사용하는 경우, 이동식 저장 장치를 암호화할 수도 있다. 이 기능은 '비트로커 To Go'라는 기능을 사용하며, USB 플래시 드라이브, SD 카드 및 외장 하드 드라이브에 사용할 수 있다.

이렇게 하려면 제어판을 열고 “시스템 및 보안”을 클릭한 다음 “비트로커 드라이브 암호화”를 선택한다. “이동식 데이터 드라이브” 아래에 이동식 드라이브를 암호화하는 옵션이 표시된다.
 

비트로커 복구 키를 찾는 방법

비트로커는 일반적으로 “그냥 작동”해야 한다. 대부분 사용자는 부팅 시 비트로커 복구 키 블루 스크린이 표시되지 않기를 바란다. 하지만 크라우드스트라이크 사태 같은 사고는 누구에게나 발생할 수도 있다. 하드웨어 문제 또는 한 컴퓨터에서 스토리지 드라이브를 가져오거나 다른 컴퓨터에서 액세스해야 하는 경우에도 발생할 수 있다.

이 경우 비트로커 복구 키가 필요한다. 회사가 관리하는 PC를 사용하는 경우 회사 시스템에 복구 키가 백업되어 있으므로 복구 키를 요청할 수 있다.

마이크로소프트 계정으로 PC에 로그인하고 윈도우에서 장치 암호화를 자동으로 사용하도록 설정한 경우에는 마이크로소프트에서 액세스해야 한다. 마이크로소프트의 비트로커 복구 키 페이지를 방문해 마이크로소프트 계정으로 로그인하여 복구 키를 찾는다.

비트로커 드라이브 암호화를 직접 설정한 경우, 설정 과정의 일부로 복구 키를 저장하고 저장하라는 메시지가 윈도우에 표시된다. 종이에 인쇄하거나 USB 드라이브에 저장했을 수도 있다.

PC가 정상적으로 작동하는 경우 언제든지 복구 키의 백업 복사본을 만들 수도 있다. 이렇게 하려면 제어판을 열고 “시스템 및 보안”을 클릭한 다음 “비트로커 드라이브 암호화” 또는 “장치 암호화”를 선택한다. 이 창에서 각 드라이브의 복구 키 사본을 백업할 수 있는 링크를 찾을 수 있다.

마이크로소프트는 비트로커 복구 키를 찾는 방법에 대한 자세한 가이드를 제공한다. 복구 키의 사본을 모두 분실했는데 PC에서 복구 키를 요청하는 경우(개인용 PC에서 비트로커를 직접 설정한 후 복구 키를 인쇄하지 않았거나 백업 사본을 분실한 경우) PC의 파일에 액세스할 수 없게 된다. 이 경우에는 PC의 파일을 이용할 수 없고 가지고 있는 별도의 백업본에서 파일을 복원해야 한다.
 

오픈소스 대안 베라크립트와 트루크립트

윈도우 PC의 스토리지를 암호화하고 싶지만 어떤 이유로 비트로커를 사용하고 싶지 않다면, 오픈소스 대안을 사용할 수 있다. 윈도우가 최신 PC에 장치 암호화를 기본 제공하기 전에는 이 방법이 더 일반적이었는데, 홈 버전 윈도우 사용자는 비용을 들여 프로페셔널 버전으로 업그레이드하지 않고도 이 소프트웨어를 사용해 암호화할 수 있었기 때문이다.

몇 년 전에는 트루크립트(TrueCrypt)가 대표적인 솔루션이었다. 하지만 트루크립트 프로젝트는 2014년에 “해결되지 않은 보안 문제가 있을 수 있으므로 안전하지 않다”고 경고하며 윈도우 PC 사용자에게 비트로커로 전환할 것을 권장하면서 종료됐다. 

어떤 문제인지는 완전히 설명되지 않았다. 후속 프로젝트인 베라크립트(VeraCrypt)는 이 프로젝트의 코드를 가져와 보안 문제를 수정하고 계속 개발했다. 이 코드는 독립적으로 감사를 받았으며 발견된 문제는 수정됐다. 윈도우에서 오픈소스 드라이브 암호화 도구를 사용하려는 경우, 베라크립트를 사용하는 것이 좋다.

대부분 사용자는 가능하면 비트로커 드라이브 암호화 또는 장치 암호화와 같은 형태의 비트로커를 사용하는 것이 좋다. 비트로커는 윈도우와 통합되어 있으며 잘 작동한다. 베라크립트 같은 서드파티 솔루션은 데이터 손실이나 기타 문제가 발생할 가능성이 높다.
 

모든 사용자에게 필요한 암호화

궁극적으로 기본적인 스토리지 암호화는 격리된 사무실에서 데스크톱 PC를 사용하는 경우를 제외하고는 모든 최신 PC에서 필수이다. 특히 일반 노트북에는 데이터 보안을 위해 이런 기능이 필요하다. 회사에서 제공하는 컴퓨터를 사용하든 개인용 PC를 사용하든 노트북 분실은 데이터 보안에 큰 문제가 되지 않아야 한다.

안드로이드, 크롬OS, 맥OS, iOS 등 다른 모든 최신 플랫폼은 기본적으로 스토리지 암호화 기능을 제공한다. 윈도우 환경에서는 윈도우 11이 장치 암호화를 통해 새 디바이스에서 기본적으로 암호화를 제공한다. 2024년 가을에 윈도우 11의 24H2 업데이트를 통해 더 많은 PC 하드웨어 구성에서 디바이스 암호화를 사용할 수 있게 되면, 이 기능은 더욱 확대될 것이다.
editor@itworld.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.