전체 디스크 암호화는 장치 분실 시 데이터 접근을 효과적으로 차단하는 데 매우 유용합니다. 윈도우 기본 제공 기능인 BitLocker와 그 대안들을 살펴보겠습니다.
4만 3천 명의 환자 데이터가 담긴 웨스트버지니아 코플린 헬스 시스템의 도난당한 노트북 사건에서 무엇이 가장 큰 문제였을까요?
혹은 일본에서 한 계약자가 46만 명의 개인 정보가 저장된 USB 드라이브를 분실한 경우의 최악의 시나리오는 무엇일까요?
바로, 데이터가 암호화되지 않았다는 점입니다.
결과적으로, 악의적인 사용자들이 개인 정보에 쉽게 접근하여 다크웹에서 판매할 수 있게 되었습니다.
그들은 어려운 교훈을 얻었지만, 데이터 암호화가 얼마나 쉬운지 알았다면 이런 일은 피할 수 있었을 것입니다.
이 글에서는 디스크 암호화, BitLocker 사용법, 그리고 몇 가지 BitLocker 대안에 대해 자세히 알아보겠습니다.
전체 디스크 암호화
전체 디스크 암호화(FDE)는 드라이브 전체를 시스템에 잠그는 것을 의미합니다. 장치가 손상되었을 때 데이터 접근을 방지하고, 시스템 드라이브에 적용 시 부팅 과정에서 추가 보안 검사를 가능하게 합니다.
BitLocker
윈도우 프로페셔널, 엔터프라이즈, 에듀케이션 버전에는 BitLocker 장치 암호화 기능이 기본적으로 탑재되어 있습니다.
BitLocker를 사용하면 드라이브를 암호로 보호할 수 있습니다. 암호화된 드라이브는 정상적으로 사용 가능하며, 디스크 내용을 읽을 수 없게 만드는 암호를 잊었을 경우 복구 키를 통해 재설정할 수 있습니다.
또한, BitLocker는 크로스 플랫폼에서 작동하여 윈도우에서 암호화된 드라이브를 리눅스에서도 안전하게 유지할 수 있습니다.
그러나 시스템 잠금 해제 후에는 보호되지 않는다는 점을 유의해야 합니다. 이러한 암호화 방식은 사용자가 모르게 설치될 수 있는 개인 정보 유출 스파이웨어에는 효과적이지 않습니다. 따라서, 백신 또는 안티스파이웨어 도구를 대체할 수 없습니다.
시작하려면 작업 표시줄 검색에서 “BitLocker”를 입력하고 “BitLocker 관리”를 실행하세요.
이제 암호화하려는 디스크를 선택하고 “BitLocker 켜기”를 클릭합니다.
이후 과정은 운영 체제 드라이브와 휴대용 디스크를 포함한 비시스템 파티션에 따라 다릅니다.
시스템 드라이브 BitLocker 설정
기본적으로 인증에는 TPM(신뢰할 수 있는 플랫폼 모듈) 보안 칩(1.2 버전 이상)이 사용됩니다. TPM이 키를 제공하면 시스템이 부팅됩니다.
TPM은 최신 PC에 탑재된 칩으로, 장치 무결성을 보장하는 별도의 보안 장치입니다. 만약 TPM이 있음에도 시스템에서 인식하지 못한다면, 활성화해야 할 수도 있습니다.
이 경우, 부팅 전 인증이 없으므로 PC에 접근 가능한 사람은 윈도우 로그인 암호를 무차별 대입으로 시도해 침입할 수 있습니다.
그러나 로컬 그룹 정책 편집기에서 부팅 전 PIN을 활성화하여 보안을 극대화할 수 있습니다. 설정 후에는 TPM 칩은 시스템 부팅 전 복구 키와 PIN을 요구하게 됩니다.
여기서 중요한 점은 이러한 칩이 무차별 대입 공격에 대한 방어 기능을 제공한다는 것입니다. 공격자는 시도 횟수가 제한되어 있어 포기하게 될 가능성이 높습니다.
암호화 시작 전에 반드시 이 설정을 구성해야 합니다.
과정은 간단합니다. 먼저 Win + R 키를 눌러 실행 창을 열고 “gpedit.msc”를 입력한 후 엔터 키를 누릅니다.
이후, “컴퓨터 구성 > 관리 템플릿 > Windows 구성 요소 > BitLocker 드라이브 암호화 > 운영 체제 드라이브”로 이동합니다.
이제 BitLocker 암호화는 부팅 전에 PIN 또는 미리 설정된 USB 드라이브를 통한 물리적 인증을 요구합니다.
다음으로, 전체 드라이브 암호화 또는 사용 중인 디스크 공간만 암호화할지 선택합니다.
윈도우 데이터 복구 도구를 사용하면 빈 섹터에서 데이터를 검색할 수 있으므로, 일반적으로 오래된 컴퓨터에서는 전체를 암호화하는 것이 좋습니다.
그다음, 새로운 암호화 방식을 사용할지, 아니면 호환 모드를 사용할지 선택합니다. 운영 체제 드라이브이므로 새로운 암호화 모드를 선택하는 것이 적절합니다. 호환 모드는 휴대용 드라이브에 더 적합합니다.
마지막 창에서는 BitLocker 시스템 검사를 실행하여 모든 것이 제대로 작동하는지 확인하는 것이 좋습니다.
고정 데이터 드라이브 BitLocker 설정
이러한 파티션 및 드라이브 암호화는 더욱 간단합니다. 미리 설정할 암호를 입력하라는 메시지가 표시됩니다.
이 과정을 마치면 운영 체제 드라이브를 암호화하는 과정과 유사하게 BitLocker 시스템 검사를 실행하지 않아도 됩니다.
BitLocker는 편리하지만, 윈도우 홈 버전을 사용하는 사용자는 이용할 수 없습니다. BitLocker의 차선책으로, 장치가 지원한다면 윈도우 장치 암호화 기능을 사용할 수 있습니다.
윈도우 장치 암호화는 TPM 요구 사항을 필수화한다는 점에서 BitLocker와 차이가 있습니다. 또한, 부팅 전 인증 수단은 제공하지 않습니다.
“시스템 정보”에서 가용성을 확인할 수 있습니다. 실행 창을 열고 “msinfo32″를 입력한 후 엔터 키를 누릅니다. 아래로 스크롤하여 “장치 암호화 지원” 항목에 ‘충족 조건’으로 표시되는지 확인합니다.
만약 그렇지 않다면, 장치에서 장치 암호화를 지원하지 않을 가능성이 높습니다. 하지만 제조업체 지원에 문의하여 해결 방법을 찾아볼 수 있습니다.
이 외에도 다양한 무료 및 유료 전체 디스크 암호화 도구들이 있습니다.
VeraCrypt
VeraCrypt는 윈도우, 맥, 리눅스용 무료 오픈 소스 암호화 소프트웨어입니다. BitLocker와 유사하게 시스템 드라이브, 고정 데이터 드라이브 및 휴대용 드라이브를 암호화할 수 있습니다.
VeraCrypt는 보다 유연하고 다양한 암호화 알고리즘 옵션을 제공하며, 실시간으로 암호화도 가능합니다. 암호화된 컨테이너를 생성하고 파일을 전송하여 암호화할 수 있습니다.
또한, VeraCrypt는 암호화된 숨김 볼륨을 만들 수 있으며, BitLocker와 같이 부팅 전 인증도 지원합니다.
사용자 인터페이스가 복잡해 보일 수 있지만, YouTube 튜토리얼을 통해 쉽게 익힐 수 있습니다.
BestCrypt
BestCrypt는 VeraCrypt의 사용자 친화적인 유료 버전이라고 할 수 있습니다.
이를 통해 전체 디스크 암호화에 필요한 다양한 알고리즘과 옵션을 활용할 수 있습니다. 암호화 컨테이너 및 시스템 드라이브 생성을 지원합니다.
암호 승인 부팅을 사용할 수도 있습니다.
BestCrypt는 다양한 플랫폼에서 사용할 수 있는 암호화 도구이며 21일 무료 평가판을 제공합니다.
상업용 BitLocker 대안
이들은 볼륨 라이선스를 기반으로 하는 엔터프라이즈급 솔루션입니다.
ESET
ESET 전체 디스크 암호화는 원격 관리 기능이 뛰어납니다. 온프레미스 및 클라우드 암호화 솔루션을 제공하여 유연성을 제공합니다.
이 기능은 업계 표준 256비트 AES 암호화 방식으로 하드 드라이브, 휴대용 드라이브, 이메일 등을 보호합니다.
또한, FLE(파일 레벨 암호화)을 사용하여 개별 파일도 암호화할 수 있습니다.
대화형 데모 또는 실습을 위한 30일 무료 평가판을 통해 직접 사용해 볼 수 있습니다.
Symantec
Broadcom의 Symantec은 엔터프라이즈급 암호화 기능을 제공하는 또 다른 선두 주자입니다. 전체 디스크 암호화는 TPM을 지원하여 조직 장치의 무결성을 보장합니다.
또한, 부팅 전 검사, 이메일 및 이동식 디스크 암호화 기능도 제공합니다.
Symantec은 SSO(Single Sign-On) 설정을 지원하고 클라우드 기반 애플리케이션도 보호할 수 있습니다. 스마트 카드 지원 및 암호를 잊어버린 사용자를 위한 다양한 복구 방법을 제공합니다.
또한, 파일 레벨 암호화, 중요 파일 모니터링 및 다양한 기능을 통해 포괄적인 엔드투엔드 암호화 솔루션을 제공합니다.
ZENworks
Microfocus의 ZENworks는 모든 조직에서 AES-256 암호화를 처리하는 가장 간편한 방법입니다.
사용자 이름 및 암호 기반의 부팅 전 인증 또는 PIN을 사용하는 스마트 카드 인증을 지원합니다. ZENworks는 중앙 집중식 키 관리 기능을 제공하여 사용자가 부팅 로그인 문제에 직면하지 않도록 도와줍니다.
표준 HTTP 웹 연결을 통해 장치에 대한 암호화 정책을 설정하고 실행할 수 있습니다.
신용 카드 정보 없이 무료 평가판을 통해 직접 체험해볼 수 있습니다.
FDE vs FLE
전체 디스크를 암호화하는 것이 항상 필요한 것은 아닙니다. 특정 파일만 보호해야 하는 경우에는 파일 레벨 암호화(FLE) 또는 파일 기반 암호화(FBE)를 사용하는 것이 좋습니다.
FLE는 더욱 일반적이며, 우리는 종종 인지하지 못한 채 사용하고 있습니다.
예를 들어, WhatsApp 대화는 종단 간 암호화되어 있습니다. 마찬가지로 Proton 메일을 통해 보낸 이메일도 자동으로 암호화되며, 수신자만이 내용을 볼 수 있습니다.
비슷한 방식으로 AxCrypt 또는 FolderLock 같은 도구를 사용하여 FLE로 파일을 보호할 수 있습니다.
FDE와 비교했을 때 FBE의 장점은 모든 파일이 서로 다른 암호화 키를 가질 수 있다는 것입니다. 따라서, 하나의 키가 손상되더라도 나머지 파일은 안전하게 유지됩니다.
하지만, 이는 키를 관리하는 추가적인 번거로움을 초래하기도 합니다.
결론
중요한 정보가 담긴 장치를 분실했을 때, 전체 디스크 암호화는 매우 중요합니다.
개인 사용자든 기업 사용자든 중요한 데이터는 항상 존재하며, 기업의 경우 특히 디스크 암호화가 필수적입니다.
개인적으로는 BitLocker가 윈도우 사용자에게 가장 적합한 암호화 도구라고 생각합니다. VeraCrypt는 오래된 인터페이스를 감수할 수 있는 사람들에게 좋은 대안입니다.
기업은 특정 도구에 의존하기보다는, 여러 가지 방법을 시도해보고 사용 사례에 가장 적합한 솔루션을 선택해야 합니다. 공급업체에 종속되는 것을 피하는 것이 사업주가 해야 할 가장 중요한 일입니다.
추신: 암호화와 인증 소프트웨어에 대해 더 알아보시면 기본 사항을 확실히 다질 수 있습니다.