BitLocker

BitLocker는 전체 디스크 암호화를 구현하기 위해 AES 암호화 알고리즘을 사용한다. 기본적으로 128비트 키를 사용하지만, 그룹 정책 설정을 통해 보안 수준을 높인 256비트 키로 변경할 수 있다. 이 암호화는 XTS-AES 모드로 운영되어 데이터의 기밀성과 무결성을 동시에 보호하도록 설계되었다.

암호화는 볼륨 전체에 적용되며, 운영 체제가 설치된 시스템 드라이브와 데이터가 저장된 고정 드라이브 모두를 보호할 수 있다. 암호화 과정은 실시간으로 투명하게 이루어지며, 사용자가 파일에 접근할 때는 자동으로 복호화되고, 저장할 때는 다시 암호화된다. 이 방식은 하드웨어 가속을 지원하는 경우 시스템 성능에 미치는 영향을 최소화한다.

BitLocker는 드라이브 잠금을 해제하고 데이터에 접근하기 위해 여러 가지 인증 방법을 제공한다. 사용자는 시스템의 보안 요구사항과 편의성에 따라 적절한 방법을 선택할 수 있다.

가장 일반적인 인증 방식은 신뢰할 수 있는 플랫폼 모듈(TPM) 칩과 PIN 또는 시작 키의 조합이다. TPM은 컴퓨터의 마더보드에 내장된 보안 하드웨어로, 암호화 키를 안전하게 저장하고 시스템 무결성을 검증한다. TPM만 사용하는 단일 인증도 가능하지만, TPM과 함께 사용자 정의 PIN이나 USB 플래시 드라이브에 저장된 시작 키를 추가하면 두 요소 인증으로 보안이 강화된다. 특히 운영 체제가 설치된 드라이브를 암호화할 때 이 방법이 권장된다.

TPM이 없는 장치에서는 USB 플래시 드라이브에 시작 키를 저장하거나 사용자 암호를 사용하는 방식으로 인증할 수 있다. 또한 이동식 드라이브 같은 데이터 드라이브를 암호화할 때는 암호를 사용하거나 스마트 카드를 활용한 인증을 선택할 수 있다. 이러한 다양한 옵션은 기업 환경에서 중앙 집중식 정책에 따라 관리되거나, 개별 사용자가 제어판 또는 명령줄 도구를 통해 구성할 수 있다.

BitLocker를 제어판을 통해 활성화하는 과정은 직관적이며 그래픽 사용자 인터페이스를 제공한다. 먼저 제어판의 '시스템 및 보안' 범주에서 'BitLocker 드라이브 암호화'를 선택한다. 이 항목은 관리자 권한이 필요하며, 표시되지 않을 경우 사용 중인 윈도우 에디션이 BitLocker를 지원하지 않거나 TPM 칩 등 하드웨어 요구 사항을 충족하지 못할 수 있다.

암호화를 원하는 드라이브(일반적으로 운영 체제가 설치된 C: 드라이브) 옆의 'BitLocker 켜기' 링크를 클릭하면 설정 마법사가 시작된다. 마법사는 먼저 TPM 칩이 있는지 확인하고, 없다면 암호나 스마트 카드와 같은 대체 잠금 해제 방법을 설정하도록 안내한다. 그 후 사용자에게 복구 키를 저장할 방법을 선택하게 되는데, 마이크로소프트 계정, 파일 저장, 또는 인쇄 중 하나 이상의 옵션을 반드시 선택해야 다음 단계로 진행할 수 있다.

다음 단계에서는 암호화할 디스크 공간의 범위를 선택한다. '사용 중인 디스크 공간만 암호화' 옵션은 새 PC나 새로 포맷한 드라이브에 적합하며 속도가 빠르다. 반면 '전체 드라이브 암호화' 옵션은 드라이브의 모든 섹터를 암호화하여 삭제된 데이터의 복구 가능성을 차단하지만 시간이 더 오래 걸린다. 마지막으로 암호화 모드(호환 모드 또는 새 암호화 모드)를 선택하고 암호화 프로세스를 시작하면, 백그라운드에서 드라이브 암호화가 수행된다.

BitLocker는 제어판의 그래픽 사용자 인터페이스를 통해서뿐만 아니라, 명령줄 도구인 manage-bde를 사용하여 활성화, 구성, 관리할 수 있다. 이 도구는 스크립트를 통한 자동화나 원격 관리, 고급 구성이 필요한 시스템 관리자에게 특히 유용하다. manage-bde는 관리자 권한으로 실행된 명령 프롬프트 또는 Windows PowerShell에서 사용할 수 있다.

manage-bde 명령어를 사용하면 특정 드라이브에 대한 암호화 상태를 확인하고, 암호화를 켜거나 일시 중지하며, 다양한 인증 방법(예: TPM 전용, 시작 키, 시작 암호 등)을 추가 또는 제거할 수 있다. 또한, 복구 키를 백업하거나 새로 생성하는 작업도 명령줄로 수행 가능하다. 기본적인 사용법은 manage-bde -status로 현재 시스템의 모든 볼륨 암호화 상태를 조회하거나, manage-bde -on C:와 같이 특정 드라이브에 암호화를 적용하는 것이다.

보다 세부적인 관리를 위해 다양한 매개 변수를 조합하여 사용할 수 있다. 예를 들어, TPM과 시작 암호를 함께 사용하도록 구성하거나, 암호화된 드라이브의 잠금을 해제하기 위한 스마트 카드 인증서를 지정하는 것도 가능하다. 이 명령줄 도구는 그룹 정책과 함께 사용되어 대규모 기업 환경에서 표준화된 BitLocker 정책을 배포하고 적용하는 데 핵심적인 역할을 한다.

BitLocker는 기업 환경에서 중앙 집중식 관리를 위해 그룹 정책을 통한 설정이 가능하다. 도메인 컨트롤러에 연결된 컴퓨터의 경우, 관리자는 그룹 정책 관리 편집기를 사용하여 조직 내 모든 컴퓨터에 대한 BitLocker 정책을 일괄적으로 구성하고 적용할 수 있다. 이를 통해 암호화 강제, 인증 방법 설정, 복구 정보 백업 등 표준화된 보안 정책을 효율적으로 배포할 수 있다.

주요 구성 가능한 정책 설정은 다음과 같다.

관리자는 특히 복구 키를 Active Directory에 자동으로 백업하도록 정책을 구성하는 것이 중요하다. 이렇게 하면 사용자가 복구 키를 분실했을 때도 도메인 관리자가 복구를 도울 수 있으며, 조직의 자산 보호 수준을 높일 수 있다. 또한 TPM 칩의 동작 모드를 제어하거나, 특정 드라이브 유형에 대한 암호화를 필수로 설정하는 등의 세부적인 제어가 가능하다.

Windows 디바이스 암호화는 마이크로소프트가 윈도우 8.1부터 도입한 기능으로, 특정 하드웨어 요구사항을 충족하는 장치에서 자동으로 활성화되는 단순화된 전체 디스크 암호화 솔루션이다. 이 기능은 기본적으로 BitLocker 기술을 기반으로 하지만, 사용자 개입 없이도 자동으로 설정 및 관리된다는 점에서 차이가 있다. 주로 노트북이나 태블릿과 같은 모바일 장치에서 데이터 보호를 위해 설계되었다.

이 기능이 작동하려면 장치가 신뢰할 수 있는 플랫폼 모듈 2.0을 지원하고, UEFI 펌웨어를 사용하며, 보안 부팅이 활성화되어 있어야 한다. 이러한 조건을 만족하는 장치에서는 운영체제 설치 시 또는 사용자가 마이크로소프트 계정으로 로그인할 때 자동으로 드라이브 암호화가 시작된다. 암호화 키는 TPM에 안전하게 저장되며, 사용자는 PIN이나 암호를 설정하지 않아도 된다.

Windows 디바이스 암호화와 BitLocker의 주요 차이는 관리 방식과 제어 수준에 있다. BitLocker는 그룹 정책을 통한 세밀한 제어, 다양한 인증 방법, 복구 키의 명시적 백업 옵션 등을 제공하는 반면, Windows 디바이스 암호화는 이러한 설정을 사용자에게 노출하지 않고 시스템이 자동으로 처리한다. 따라서 이 기능은 주로 개인 사용자나 소규모 비즈니스 환경에서 편의성을 중시하는 경우에 적합하다.

이 기능은 윈도우 10과 윈도우 11의 모든 에디션(홈 에디션 포함)에서 사용할 수 있어, 더 넓은 범위의 사용자가 하드 드라이브 암호화의 혜택을 누릴 수 있게 했다. 그러나 기업 환경에서 중앙 집중형 관리나 복잡한 정책이 필요한 경우에는 여전히 BitLocker가 표준 솔루션으로 사용된다.

BitLocker 외에도 시장에는 여러 타사 디스크 암호화 소프트웨어가 존재한다. 이들은 주로 마이크로소프트의 윈도우 운영체제에서 BitLocker가 지원하지 않는 에디션(예: 윈도우 홈)을 사용하거나, 더 다양한 기능이나 플랫폼 간 호환성을 필요로 하는 사용자 및 기업을 대상으로 한다.

대표적인 타사 솔루션으로는 베라크립트(VeraCrypt), 셰어크립트(CipherShed), 시크릿 디스크(Secret Disk) 등이 있다. 이들 소프트웨어는 종종 BitLocker보다 더 세분화된 암호화 옵션(예: 시스템 파티션 외의 특정 컨테이너 파일 암호화)을 제공하거나, 리눅스나 macOS와 같은 다른 운영체제에서도 사용 가능한 크로스 플랫폼 지원을 강점으로 내세운다.

기업 환경에서는 시만텍의 PGP나 맥아피의 엔드포인트 암호화와 같은 상용 제품군이 통합 보안 관리, 중앙 집중식 키 관리, 강력한 감사 로그 기능을 통해 BitLocker의 대안으로 채택되기도 한다. 이러한 타사 솔루션의 선택은 조직의 보안 정책, 예산, 관리 편의성, 그리고 지원해야 할 운영체제의 범위에 따라 결정된다.