BitLocker로 디스크를 암호화하고 데이터를 보호하는 방법

BitLocker로 디스크를 암호화하고 데이터를 보호하는 방법

2024년 5월 1일

이 기술 및 교육 문서는 보안 분석가, IT 관리자 및 시스템 엔지니어가 Microsoft의 전체 디스크 암호화 솔루션인 BitLocker를 활성화, 구성 및 관리하는 방법을 안내하기 위해 작성되었습니다. 저장되어 있는 데이터를 보호하는 것은 정보 보안의 기본입니다. 특히 도난이나 분실에 취약한 노트북이나 태블릿과 같은 모바일 장치의 경우 더욱 그렇습니다. BitLocker는 물리적 장치가 손상된 경우 무단 데이터 액세스 위험을 완화하는 데 도움이 됩니다[1].

소개

인력의 이동성이 증가하고 중요한 정보를 저장하는 장치가 급증함에 따라 디스크 암호화는 필수적인 보안 수단이 되었습니다. Windows 운영 체제에 내장된 BitLocker는 전체 볼륨을 암호화하는 강력한 방법을 제공하여 올바른 암호 해독 키 없이는 누구도 데이터를 읽을 수 없도록 보장합니다. 이는 규정 준수 요구 사항을 충족하고 지적 재산을 보호하는 데 중요합니다[2].

이 실용적인 가이드에서는 다양한 시나리오(OS 드라이브 및 고정/이동식 데이터 드라이브)에서 BitLocker를 활성화하는 방법, 복구 키 관리, 암호화 상태 유효성 검사, 기업 환경에 BitLocker를 배포하기 위한 모범 사례를 다룹니다. 독자가 디스크 암호화를 효과적으로 구현 및 관리하여 저장 데이터를 보호하고 조직의 보안 태세를 강화할 수 있도록 단계별 지침, 실제 명령 및 설명이 제공됩니다.

BitLocker를 사용하는 이유는 무엇인가요?

  • 미사용 데이터 보호: 장치가 도난당하거나 분실된 경우에도 하드 드라이브에 저장된 데이터를 무단 액세스로부터 보호합니다.
  • 규정 준수: 데이터 암호화를 요구하는 규제 및 규정 준수 요구 사항(예: HIPAA, GDPR, LGPD)을 충족하는 데 도움이 됩니다.
  • Windows와의 통합: Windows의 핵심 부분으로, 단순화된 관리 환경과 다른 Microsoft 도구와의 통합을 제공합니다.
  • 침해 방지: 대체 운영 체제를 부팅하거나 하드 드라이브를 제거하여 공격자가 중요한 데이터에 액세스하는 것을 방지합니다.

전제조건

BitLocker를 활성화하고 구성하려면 다음 항목이 필요합니다.

  1. Windows 버전: BitLocker는 Windows 10 및 11의 Pro, Enterprise 및 Education 버전에서 사용할 수 있습니다. Home 버전에는 "장치 암호화"[3]라는 보다 기본적인 버전이 있습니다.
  2. TPM(신뢰할 수 있는 플랫폼 모듈): 운영 체제 드라이브 암호화의 경우 TPM 버전 1.2 이상이 권장됩니다(일반적으로 자동 활성화에 필요함). TPM은 암호화 키를 저장하고 시스템 무결성을 확인하는 데 도움이 되는 마이크로칩입니다[4].
  3. 관리 권한: 장치에 대한 로컬 관리자 권한이 있는 계정입니다.
  4. 복구 키: BitLocker 복구 키(Microsoft 계정, 파일, USB 또는 Azure AD/Active Directory)를 저장하는 안전한 위치입니다.

단계별: BitLocker 활성화 및 구성

운영 체제 드라이브 및 데이터 드라이브에 대해 BitLocker를 활성화하는 방법을 살펴보겠습니다.

1. TPM 상태 확인

특히 운영 체제 드라이브에 대해 TPM이 활성화되어 있고 사용할 준비가 되었는지 확인하는 것이 중요합니다.

  1. Win + R을 누르고 tpm.msc를 입력한 후 Enter를 누르세요.
  2. TPM 관리 창에서 TPM '상태'와 '버전'을 확인하세요.
    • 상태가 'TPM 사용 준비 완료'인 경우 진행 가능합니다.
    • 그렇지 않은 경우 컴퓨터의 BIOS/UEFI에서 활성화해야 할 수도 있습니다.

2. 운영 체제 드라이브에 대해 BitLocker 활성화

이는 노트북이나 데스크탑을 보호하는 가장 일반적인 방법입니다.

  1. 제어판을 엽니다.
  2. 시스템 및 보안 > BitLocker 드라이브 암호화로 이동합니다.

  3. '운영 체제 드라이브' 섹션에서 C: 드라이브에 대해 BitLocker 활성화를 클릭합니다.

  4. BitLocker 마법사가 시작됩니다. 복구 키를 백업할 방법을 선택하세요.

    • Microsoft 계정에 저장: 개인 사용자에게 권장됩니다. 키는 온라인 Microsoft 계정에 저장됩니다.
    • 파일에 저장: 키를 파일에 저장합니다.텍스트. 안전한 위치(예: 별도의 USB 드라이브, 보안 네트워크 공유)에 보관하세요.
    • 복구 키 인쇄: 키를 인쇄합니다. 안전한 물리적 위치에 보관하십시오.
    • 기업 팁: 기업 환경에서는 중앙 집중식 관리를 위해 복구 키가 GPO 또는 Intune을 통해 Azure AD 또는 Active Directory 도메인 서비스(AD DS)에 자동으로 저장되어야 합니다[5].

  5. 드라이브 암호화 방법을 선택합니다.

    • 사용된 디스크 공간만 암호화: 가장 빠르며 새 드라이브나 빈 드라이브에 이상적입니다.
    • 전체 드라이브 암호화: 속도는 느리지만 모든 데이터(삭제된 데이터 포함)가 암호화됩니다. 기존 데이터가 있는 드라이브에 권장됩니다.

  6. 암호화 모드를 선택하십시오:

    • 새 암호화 모드(XTS-AES): 고정 드라이브에 권장됩니다.
    • 호환 모드(AES-CBC): 이전 시스템에서 사용할 수 있는 이동식 드라이브용입니다.

  7. 설정을 확인하고 암호화 시작을 클릭합니다.

  8. 암호화 프로세스를 시작하려면 BitLocker를 다시 시작해야 합니다. 재부팅 후 암호화는 백그라운드에서 계속됩니다.

3. 데이터 드라이브용 BitLocker 활성화(고정 및 이동식)

프로세스는 비슷하지만 잠금 해제 옵션에 약간의 차이가 있습니다.

  1. 제어판 > 시스템 및 보안 > BitLocker 드라이브 암호화를 엽니다.
  2. '고정 데이터 드라이브' 또는 '이동식 드라이브' 섹션에서 원하는 드라이브에 대해 BitLocker 활성화를 클릭합니다.

  3. 드라이브 잠금 해제 방법을 선택합니다.

    • 비밀번호를 사용하여 드라이브 잠금 해제: 드라이브에 액세스하기 위한 비밀번호를 설정합니다.
    • 스마트 카드를 사용하여 장치 잠금을 해제하세요: 스마트 카드가 필요합니다.
    • 이 컴퓨터에서 자동으로 잠금 해제: 고정 드라이브의 경우 운영 체제가 시작될 때 드라이브가 자동으로 잠금 해제되도록 허용합니다(OS 드라이브도 BitLocker로 암호화된 경우).

  4. 복구 키를 백업합니다(섹션 2에 설명된 옵션에 따라).

  5. 암호화 유형과 모드를 선택하고 프로세스를 시작합니다.

4. BitLocker 복구 키 관리

복구 키는 문제 발생 시(비밀번호 분실, TPM 장애 등) 데이터에 액세스하는 데 필수적입니다.

  1. 제어판 > 시스템 및 보안 > BitLocker 드라이브 암호화에서.
  2. 원하는 드라이브에 복구 키 백업을 클릭합니다.

  3. 파일에 저장하거나, 인쇄하거나, Microsoft 계정에 다시 저장할 수 있습니다.

  4. 상태를 확인하고 키 ID를 가져오는 명령: 명령 프롬프트(관리자)를 열고 다음을 실행합니다. cmd 관리-bde-상태 ```` 복구 키 ID를 얻으려면:cmd 관리-bde -프로텍터 C: -get ```` '키 ID'는 Azure AD 또는 Active Directory에서 복구 키를 찾는 데 사용할 수 있습니다.

검증 및 테스트

BitLocker가 활성화되어 있고 올바르게 작동하는지 확인하는 것이 중요합니다.

1. 암호화 상태 확인

  1. 파일 탐색기를 엽니다.

  2. 암호화된 드라이브에 BitLocker가 활성화되어 있음을 나타내는 자물쇠 아이콘이 표시되어야 합니다.

  3. 명령 프롬프트(관리자)를 열고 manage-bde -status 명령을 실행합니다.

  4. '변환 상태'가 '완전히 암호화됨'이고 '보호 상태'가 '보호 활성화됨'인지 확인하세요.

2. 복구 키 테스트

  1. 복구 상황 시뮬레이션: 테스트 환경에서 또는 주의가 필요하지 않은 경우 BIOS/UEFI에서 TPM을 일시적으로 비활성화하거나 디스크를 다른 컴퓨터로 이동할 수 있습니다.
  2. Windows를 시작하면 BitLocker가 복구 모드로 들어가고 복구 키를 요청해야 합니다.
  3. 저장한 복구 키를 입력하여 작동하는지 확인하세요.

보안 팁 및 모범 사례

  • 중앙 집중식 관리: 엔터프라이즈 환경에서는 Microsoft Intune 또는 GPO(그룹 정책 개체)를 사용하여 암호화 정책을 적용하고 복구 키를 Azure AD 또는 AD DS에 자동으로 백업하는 등 BitLocker를 중앙에서 관리할 수 있습니다[5].
  • 보안 키 저장소: 암호화되는 동일한 디스크에 복구 키를 저장하지 마십시오. 비밀번호 보관함 등 별도의 안전한 위치를 사용하세요.암호화된 USB 또는 디렉터리 서비스에서.
  • TPM은 필수입니다: 보안을 강화하고 BitLocker를 더 쉽게 관리하려면 TPM 2.0으로 장치의 우선순위를 지정하세요.
  • 사전 부팅 PIN/암호: 운영 체제 드라이브의 보안을 강화하려면 TPM 외에 사전 부팅 PIN 또는 암호를 설정하는 것이 좋습니다. 이를 위해서는 Windows가 로드되기 전에 사용자가 PIN을 입력해야 하므로 콜드 부팅 공격으로부터 보호됩니다.
  • 이동식 드라이브 암호화: 중요한 데이터가 포함될 수 있는 모든 이동식 드라이브(USB, 외장 HD)의 암호화를 권장하거나 요구합니다.
  • 정기 검토: 장치의 암호화 상태와 복구 키의 접근성을 정기적으로 확인합니다.
  • 사용자 교육: 사용자에게 BitLocker의 중요성, 복구 키 관리 방법, 문제가 발생할 경우 취해야 할 조치에 대해 교육합니다.

일반적인 문제 해결

  • BitLocker가 활성화되지 않습니다: TPM이 BIOS/UEFI에서 활성화되고 올바르게 구성되었는지 확인하세요. 디스크에 EFI/UEFI 시스템 파티션이 있는지 확인하십시오(운영 체제 드라이브인 경우). 활성화를 방해할 수 있는 그룹 정책을 확인하세요.
  • 시작 시 복구 키 요청: 하드웨어 변경(예: BIOS/UEFI 업데이트, 마더보드 변경)이 있거나 TPM이 비활성화된 경우 이 문제가 발생할 수 있습니다. 복구 키를 입력하세요. 자주 발생하는 경우 근본 원인(예: 불안정한 TPM, 하드웨어 문제)을 조사하세요.
  • 복구 키 분실: 복구 키를 분실하고 접근 가능한 위치에 백업이 없는 경우 암호화된 드라이브의 데이터를 복구하지 못할 수 있습니다. 이것이 보안 백업이 중요한 이유입니다.
  • 성능 저하: 실시간 암호화 및 암호 해독은 특히 구형 하드웨어에서 성능이 약간 저하될 수 있습니다. 하드웨어가 성능 요구 사항을 충족하는지 확인하십시오.
  • GPO/Intune 문제: BitLocker가 GPO 또는 Intune을 통해 관리되고 있고 문제가 있는 경우 정책 적용, 장치의 이벤트 로그 및 키 백업을 위한 Azure AD/AD DS에 대한 연결을 확인하세요.

결론

BitLocker를 사용한 디스크 암호화는 Windows 장치에 저장된 데이터를 보호하기 위한 강력하고 필수적인 도구입니다. BitLocker를 구현함으로써 조직은 하드웨어 도난, 분실 또는 부적절한 폐기가 발생할 경우 무단 액세스로부터 중요한 정보를 안전하게 보호할 수 있습니다. BitLocker의 효과를 극대화하려면 올바른 구성, 복구 키의 안전한 관리, 모범 사례 준수가 중요합니다. 이 가이드를 통해 보안 분석가, IT 관리자 및 시스템 엔지니어는 자신의 환경에서 데이터 보안을 강화하여 현재 요구 사항을 준수하는 보다 강력한 보안 상태에 기여할 수 있습니다.

참고자료:

[1] 마이크로소프트 런. BitLocker 개요. 이용 가능: https://learn.microsoft.com/pt-br/windows/security/operating-system-security/data-protection/bitlocker/bitlocker-overview [2] 마이크로소프트 런. BitLocker 계획 가이드. 이용 가능: https://learn.microsoft.com/pt-br/windows/security/operating-system-security/data-protection/bitlocker/planning-guide [3] 마이크로소프트 런. Windows의 장치 암호화. 사용 가능: [https://support.microsoft.com/pt-br/windows/cryptia-de-dispósito-no-windows-cf7e2b6f-3e70-4882-9532-18633605b7df] (https://support.microsoft.com/pt-br/windows/cryptia-de-dispósito-no-windows-cf7e2b6f-3e70-4882-9532-18633605b7df) [4] 마이크로소프트 런. 신뢰할 수 있는 플랫폼 모듈 기술 개요. 이용 가능: https://learn.microsoft.com/en-us/windows/security/information-protection/tpm/tpm-overview [5] 마이크로소프트 런. BitLocker 복구 키를 백업하세요. 이용 가능: https://learn.microsoft.com/pt-br/windows/security/operating-system-security/data-protection/bitlocker/bitlocker-recovery-guide-plan#bitlocker-recovery-key-storage