강력한 데이터 암호화 기능, Windows BitLocker

강력한 데이터 암호화 기능, Windows BitLocker

컴퓨터 파일을 암호화하여 외부로의 유출을 방지하는 기술을 다양하게 발표되어 있습니다. 카스퍼스키 토탈 시큐리티와 같은 유료 소프트웨어를 사용할 수도 있고 네이버 소프트웨어에서 파일 암호화 무료 프로그램을 다운로드하여 사용할 수도 있습니다. 그런데 Windows는 기본기능으로 BitLocker를 제공합니다. BitLocker는 저장장치를 암호화하여 외부 열람을 방지하는 보안 기능입니다. 이 글에서는 BitLocker 사용 방법을 살펴보도록 하겠습니다.

Windows BitLocker 설명 문서
https://docs.microsoft.com/ko-kr/windows/device-security/bitlocker/bitlocker-overview

 

Windows BitLocker 사용가능 버전

  • Windows 10 Pro, Enterprise
  • Windows 8.1 (Embeded Industry) Pro 또는 Windows 8 Pro
  • Windows 7 Ultimate, Enterprise
  • Windows Server 2012
  • Windows Vista Ultimate, Enterprise

 

BitLocker 드라이브 암호화 기술이란?

BitLocker 드라이브 암호화 기술은 Windows Vista에서 처음으로 사용되었던 Windows 디스크 보안 기술입니다. 현재 Windows Vista, Windows 7, Windows 8, Windows 10 등에서 BitLocker를 지원하고 있습니다. BitLocker는 전문가를 위한 보안 기술이기 때문에 Windows 상위 버전에서만 사용할 수 있습니다. Windows Vista와 Windows 7 Ultimate, Enterprise 버전에서만 사용할 수 있습니다. 최근 출시된 버전은 Windows 8 Pro와 Windows 8.1 Pro, Windows 10 Pro, Enterprise에서 BitLocker를 지원합니다.

BitLocker는 저장장치의 논리 볼륨을 암호화하여 타인의 접근을 원천적으로 차단하는 보안기술입니다. 외부 저장장치인 USB 메모리나 외장 하드디스크까지 암호화할 수 있으며, Windows가 설치된 하드디스크(시스템 볼륨)까지 암호화할 수 있습니다. 단, 시스템 볼륨을 암호화하기 위해서는 TPM(Trusted Platform Module)이 설치되어 있어야 합니다. TPM은 패스워드나 디지털 인증서, 암호화 키 등을 저장할 때 사용되는 하드웨어 칩을 말합니다. 메인보드에는 TPM을 장착할 수 있는 공간이 있는데, 이곳에 TPM을 장착하면 됩니다.

TPM이 없는 경우에도 시스템 볼륨을 암호화할 수는 있는데, 이 때에는 부팅할 때마다 시스템 볼륨 암호화 키를 사용자가 직접 입력해야 합니다. TPM이 있다면 컴퓨터에서 자동으로 암호화 키를 입력합니다.

 

BitLocker 사용 방법

BitLocker는 특별한 설정 없이 바로 사용할 수 있습니다. 제어판 BitLocker 관리 항목에서 통합 설정할 수 있으며, Windows 탐색기에서 BitLocker 옵션을 직접 설정할 수도 있습니다. 이 글에서는 탐색기에서 BitLocker 암호화하는 방법을 알아보겠습니다.

먼저, 탐색기를 실행합니다. 압축하고자 하는 드라이브에서 오른쪽 마우스 버튼을 누릅니다. 나타나는 메뉴 중에서 [BitLocker 켜기] 메뉴를 클릭합니다.

Windows 탐색기에서 BitLocker 켜기 메뉴를 누릅니다.
Windows 탐색기에서 BitLocker 켜기 메뉴를 누릅니다.

파일이 저장되어 있는 현재 사용중인 드라이브도 BitLocker 암호화할 수 있지만 비어있는 드라이브를 암호화하는 것보다는 암호화가 오래 걸립니다. 드라이브 전체 용량이 크면 클수록 암호화가 오래 걸립니다.

[BitLocker 켜기] 메뉴를 클릭하면 BitLocker 암호화 생성 대화상자가 나타납니다. BitLocker에 관한 여러가지 설명문을 읽으면서 [다음] 버튼을 누르다보면 아래의 화면과 같이 패스워드를 입력하는 창이 나타납니다. 이곳에서 BitLocker 암호화된 드라이브를 해독할 때 입력해야 하는 패스워드를 설정합니다.

잠금 해제 방식 선택과 패스워드 입력
잠금 해제 방식 선택과 패스워드 입력

스마트 카드를 이용하여 BitLocker 암호화를 해제할 수도 있습니다. 스마트 카드는 일종의 IC 카드입니다. 카드리더기와 IC 칩이 내장된 플라스틱 카드가 필요합니다. 스마트 카드를 이용한 잠금 해제에는 카드리더기와 IC 카드가 필요하기 때문에 많이 사용되지는 않고 보통 패스워드 방법을 사용합니다. 두 방법을 모두 사용할 수도 있습니다.

패스워드를 입력하고 [다음] 버튼을 클릭하면 아래 화면과 같이 복구 키 백업 창이 나타납니다. 복구 키는 패스워드를 잊었거나 스마트 카드를 잃어버렸을 때 BitLocker 암호화를 해제할 수 있도록 해주는 일종의 비밀 키입니다. 이 복구 키는 반드시 비밀이 유지되어야 합니다.

BitLocker 암호화 복구 키 저장 방법 선택
BitLocker 암호화 복구 키 저장 방법 선택

Windows 8 또는 Windows 10을 사용하는 경우에는 [Microsoft 계정에 저장] 옵션을 사용할 수 있습니다. Windows 로그인에 사용하였던 Microsoft 계정에 BitLocker 복구 키를 저장하는 방법입니다. Windows 10은 마이크로소프트 계정 연동 기능을 제공하는데, 바로 이 계정에 BitLocker 복구 키를 저장합니다. 특별한 수단을 사용하지 않아도 되므로 이 방법이 가장 간편합니다.

하지만 가장 안전한 방법은 복구 키를 인쇄하는 방법입니다. 복구 키를 인쇄하여 발견되지 않는 곳에 보관한다면 복구 키가 유출되는 일은 없을 것입니다. 복구 키 저장 역시 여러 방법을 동시에 사용할 수 있습니다.

복구 키를 백업한 후 [다음] 버튼을 클릭합니다. 다음 과정은 암호화할 드라이브 공간을 선택하는 과정입니다. 위에서 말했듯이 BitLocker는 이미 사용중인 드라이브도 암호화할 수 있습니다. 사용중인 드라이브를 암호화할 때에는 사용중인 공간만 암호화할 수도 있고 전체 드라이브를 암호화할 수도 있습니다. 당연히 전체 드라이브를 암호화할 때 시간이 오래 걸립니다.

BitLocker 암호화할 드라이브 공간 선택
BitLocker 암호화할 드라이브 공간 선택

전체 드라이브를 암호화하는 경우에는 현재 파일 뿐만 아니라 과거에 삭제되었으나 복구 가능한 파일들까지도 암호화됩니다. 논리 드라이브 전체 파티션이 암호화된다고 보면 됩니다. 새로운 드라이브를 암호화할 때에는 [사용 중인 디스크 공간만 암호화] 옵션을 사용하면 되고, 이미 사용중인 드라이브라면 [전체 드라이브 암호화] 옵션을 사용하면 됩니다.

[다음] 버튼을 클릭하면 아래 화면과 같이 BitLocker 호환성을 선택할 수 있습니다. Windows 10 버전 1511에서 추가된 새로운 디스크 암호화 기술을 적용하면 이전 Windows 버전에서는 해당 디스크를 인식할 수 없으므로 호환성이 필요하다면 호환 모드로 암호화해야 합니다.

BitLocker 호환성 선택
BitLocker 호환성 선택

외부에서 사용하지 않고 집이나 사무실에서만 사용할 드라이브라면 새 암호화 모드를 사용하는 것이 좋습니다. 그러나 Windows 8.1 이하 버전에서 암호화 디스크를 사용해야 한다면 호환 모드를 선택해야 합니다. 위 화면은 Windows 10 버전 1151 이상에서만 나타납니다.

모든 준비 과정을 마치면 아래와 같이 BitLocker 드라이브 암호화가 진행됩니다. 드라이브 용량이 클수록 암호화가 오래 걸립니다. 4GB USB 메모리를 전체 암호화하는 경우 약 10분의 시간이 소요됩니다. 컴퓨터 환경에 따라 암호화하는데 걸리는 시간은 달라질 수 있습니다.

BitLocker 암호화 진행
BitLocker 암호화 진행

암호화가 완료되면 아래와 같이 드라이브 이미지에 금색 자물쇠 이미지가 추가됩니다. 암호화된 드라이브를 사용하려면 패스워드를 입력하거나 스마트 카드를 이용하여 복호화를 해야합니다. 드라이브 전체가 암호화되므로 Windows 운영체제뿐만 아니라 리눅스, DOS 등 모든 운영체제에서 해당 드라이브에 대한 접근이 불가능해집니다.

BitLocker 암호화가 해제되면 금색 자물쇠 이미지가 잠금이 풀린 은색 자물쇠 이미지로 변경됩니다. 이때부터 다른 드라이브와 동일하게 드라이브 접근이 허용됩니다.

패스워드를 입력하면 BitLocker 잠금해제됩니다.
패스워드를 입력하면 BitLocker 잠금해제됩니다.

 

제어판에서 BitLocker 사용하기

제어판에서도 BitLocker를 관리할 수 있습니다. [제어판] – [시스템 및 보안] – [BitLocker 드라이브 암호화] 경로로 BitLocker 관리자를 실행할 수 있습니다. BitLocker 관리자에서는 현재 컴퓨터에 설정되어 있는 모든 BitLocker 드라이브를 확인할 수 있습니다. 운영체제가 설치된 시스템 드라이브를 암호화할 수도 있고 이미 BitLocker가 설정된 드라이브를 해제할 수도 있습니다.

현재 설정되어 있는 BitLocker를 해제하기 위해서는 [BitLocker 끄기] 링크를 누르면 됩니다. 드라이브를 포맷하지 않고도 BitLocker를 해제할 수 있습니다. BitLocker를 해제하면 패스워드나 스마트카드 필요 없이 자유롭게 드라이브에 접근할 수 있습니다.

제어판에서 BitLocker를 통합적으로 관리할 수 있습니다.
제어판에서 BitLocker를 통합적으로 관리할 수 있습니다.

이동식 드라이브에 BitLocker가 적용되는 경우에는 BitLocker To Go를 사용할 수 있습니다. BitLocker To Go는 BitLocker를 지원하지 않는 Windows XP에서 사용하는 암호화 해제 방법입니다. BitLocker가 적용된 이동식 드라이브를 Windows XP에 인식시키면 BitLocker To Go가 자동 실행됩니다. Windows XP에서 BitLocker To Go는 파일 읽기만 가능하고 쓰기는 할 수 없습니다. Windows XP는 BitLocker 시스템을 지원하지 않기 때문입니다.

BitLocker 암호화 설정을 지원하지 않는 Windows Vista 이상 버전에서는 BitLocker 드라이브 읽기, 쓰기 모두 가능합니다. BitLocker 암호화 설정이 불가능한 Windows Vista 이상 운영체제에서는 BitLocker 암호화 기능만 사용하지 못 할 뿐이지 BitLocker 드라이브에 대한 읽기, 쓰기는 가능합니다.

 

마무리

지금까지 Windows에서 BitLocker를 사용하는 방법을 알아보았습니다. 드라이브 전체를 암호화한다는 점에서 그 어떤 파일 암호화 방법보다 안전한 방법이라고 할 수 있습니다. BitLocker와 비슷한 암호화 방법으로는 카스퍼스키 토탈 시큐리티 데이터 암호화가 있습니다. 카스퍼스키 데이터 암호화 역시 드라이브 전체를 암호화한다는 점은 같지만, 드라이브 볼륨이 파일 한 개로 저장된다는 점이 다릅니다. 카스퍼스키 데이터 암호화에 대해서는 추후 글을 작성하도록 하겠습니다.

컴퓨터가 발전하면서 해킹 발생 빈도까지 함께 증가하고 있습니다. 이 글에서 설명한 BitLocker를 사용하여 중요한 데이터를 디스크 분실, 해킹으로부터 안전하게 보호하시기 바랍니다.

 

타이틀 이미지: Isriya Paireepairit, bitlocker-togo-icon, Flickr. CC BY-NC 2.0.

Leave a reply

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다