BitLocker FAQ(질문과 대답)
IT 전문가를 위한 이 항목에서는 BitLocker에 대한 사용, 업그레이드, 배포 및 관리할 요구 사항 및 키 관리 정책과 관련된 질문과 대답을 제공합니다.
BitLocker는 컴퓨터의 하드 드라이브를 암호화하는 데이터 보호 기능으로, 분실 또는 도난당한 이동식 드라이브 및 컴퓨터에 있는 데이터 도용 또는 공개에 대해 향상된 보호를 제공하고, BitLocker로 보호되는 컴퓨터가 부적절하게 서비스가 해제된 경우 더 안전한 데이터 삭제 기능을 제공합니다. 이는 암호화되지 않은 드라이브보다 암호화된 드라이브의 삭제된 데이터를 복구하기가 훨씬 어렵기 때문입니다.
개요 및 요구 사항
업그레이드
배포 및 관리
키 관리
BitLocker To Go
AD DS(Active Directory 도메인 서비스)
보안
BitLocker 네트워크 잠금 해제
기타 질문
개요 및 요구 사항
BitLocker는 어떻게 작동하나요?
BitLocker가 운영 체제 드라이브에서 작동하는 방식
BitLocker를 사용하면 스왑 파일 및 최대 절전 모드 파일을 포함한 운영 체제 드라이브의 모든 사용자 파일 및 시스템 파일을 암호화하고 초기 부팅 구성 요소 및 부팅 구성 데이터의 무결성을 확인하여 분실하거나 도난당한 컴퓨터에서 무단 데이터 액세스를 완화할 수 있습니다.
BitLocker가 고정 및 이동식 데이터 드라이브에서 작동하는 방식
BitLocker를 사용하면 데이터 드라이브의 전체 콘텐츠를 암호화할 수 있습니다. 그룹 정책을 사용하면 컴퓨터가 드라이브에 데이터를 쓰기 전에 드라이브에서 BitLocker를 사용하도록 요구할 수 있습니다. BitLocker는 데이터 드라이브에 대해 다양한 잠금 해제 방법을 사용하여 구성할 수 있으므로 데이터 드라이브는 여러 잠금 해제 방법을 지원합니다.
BitLocker는 다단계 인증을 지원하나요?
예, BitLocker는 운영 체제 드라이브에 대해 다단계 인증을 지원합니다. TPM 1.2 이후 버전이 설치된 컴퓨터에서 BitLocker를 사용하도록 설정하는 경우 TPM 보호 기능을 통해 추가적인 형식의 인증을 사용할 수 있습니다.
BitLocker의 하드웨어 및 소프트웨어 요구 사항은 무엇인가요?
참고
동적 디스크는 BitLocker에서 지원되지 않습니다. 동적 데이터 볼륨은 제어판에 표시되지 않습니다. 운영 체제 볼륨은 그것이 동적 디스크인지 여부와 관계 없이 항상 제어판에 표시되기는 하지만 동적 디스크인 경우에는 BitLocker로 보호할 수 없습니다.
파티션이 두 개 필요한 이유는 무엇이며, 시스템 드라이브는 왜 그렇게 커야 하나요?
시작 전 인증 및 시스템 무결성 확인은 암호화된 운영 체제 드라이브와 다른 파티션에서 수행되어야 하므로, BitLocker를 실행하려면 파티션이 두 개 필요합니다. 이 구성을 사용하면 암호화된 드라이브의 정보와 운영 체제를 모두 보호할 수 있습니다.
BitLocker에서 지원되는 TPM(신뢰할 수 있는 플랫폼 모듈)은 무엇인가요?
BitLocker는 TPM 버전1.2 이상을 지원합니다.
컴퓨터에 TPM이 설치되어 있는지 확인하려면 어떻게 해야 하나요?
TPM MMC 콘솔(tpm.msc)을 열고 상태 제목 아래를 봅니다.
TPM이 설치되어 있지 않은 운영 체제 드라이브에서 BitLocker를 사용할 수 있나요?
예, TPM 버전 1.2 이상이 설치되어 있지 않은 운영 체제 드라이브에서도 BitLocker를 사용하도록 설정할 수 있습니다. 단, BIOS 또는 UEFI 펌웨어에서 부팅 환경의 USB 플래시 드라이브로부터 읽을 수 있어야 합니다. 이는 컴퓨터의 TPM 또는 해당 컴퓨터용 BitLocker 시작 키가 포함된 USB 플래시 드라이브를 통해 BitLocker의 자체 볼륨 마스터 키를 먼저 해제해야 BitLocker에서 보호된 드라이브의 잠금을 해제하기 때문입니다. 그러나 TPM이 설치되어 있지 않은 컴퓨터에서는 시스템 무결성 확인(BitLocker에서도 제공할 수 있음)을 사용할 수 없습니다.
컴퓨터가 부팅 프로세스 중에 USB 장치에서 읽을 수 있는지 확인하려면 BitLocker 설치 프로세스의 일부분으로 BitLocker 시스템 검사를 사용합니다. 이 시스템 검사에서는 테스트를 수행하여 컴퓨터가 제때 USB 장치에서 정상적으로 읽을 수 있는지, 기타 BitLocker 요구 사항을 충족하는지 확인합니다.
컴퓨터에서 TPM에 대한 BIOS 지원을 받으려면 어떻게 해야 하나요?
컴퓨터 제조업체에 문의하여 다음 요구 사항을 충족하는 TCG(신뢰할 수 있는 컴퓨팅 그룹) 규격 BIOS 또는 UEFI 부팅 펌웨어를 요청하세요.
클라이언트 컴퓨터에 대한 TCG 표준 규격인 펌웨어
악의적인 BIOS 또는 부팅 펌웨어가 컴퓨터에 설치되지 않도록 차단할 수 있는 보안 업데이트 메커니즘을 제공하는 펌웨어
BitLocker를 사용하려면 어떤 자격 증명이 필요하나요?
운영 체제 및 고정 데이터 드라이브에서 BitLocker를 설정/해제하거나 구성을 변경하려면 로컬 Administrators 그룹 구성원 자격이 필요합니다. 표준 사용자는 이동식 데이터 드라이브에서 BitLocker를 설정/해제하거나 구성을 변경할 수 있습니다.
BitLocker로 보호되는 컴퓨터를 위해 권장되는 부팅 순서는 무엇인가요?
CD/DVD 드라이브 또는 USB 드라이브 같은 다른 드라이브에 앞서 하드 디스크 드라이브가 부팅 순서에서 처음에 오게 하려면 컴퓨터의 시작 옵션을 구성해야 합니다. 하드 디스크가 처음이 아니고 하드 디스크에서 일반적으로 부팅하는 경우에는 부팅하는 동안 이동식 미디어를 찾았을 때 부팅 순서 변경을 감지하거나 가정할 수 있습니다. 부팅 순서는 일반적으로 BitLocker에서 확인한 시스템 측정치에 영향을 미치며 부팅 순서를 변경하면 BitLocker 복구 키를 묻는 메시지가 표시됩니다. 같은 이유로, 도킹 스테이션을 가진 노트북이 있는 경우 도킹 및 도킹 해제 시 모두 하드 디스크 드라이브가 부팅 순서에서 첫 번째인지 확인합니다.
업그레이드
BitLocker를 사용하도록 설정한 상태로 Windows7 또는 Windows 8 기반 컴퓨터를 Windows 10으로 업그레이드할 수 있나요?
예. BitLocker 드라이브 암호화 제어판을 열고 BitLocker 관리를 클릭한 다음 일시 중단을 클릭합니다. 보호를 일시 중단해도 드라이브 암호가 해독되지는 않습니다. 이 기능을 통해 BitLocker에서 사용되는 인증 메커니즘을 사용하지 않도록 설정하고, 드라이브의 암호화되지 않은 키를 사용하여 액세스할 수 있습니다. 업그레이드가 완료되면 Windows 탐색기를 열고 드라이브를 마우스 오른쪽 단추로 클릭한 다음 보호 다시 시작을 클릭합니다. 그러면 BitLocker 인증 방법이 다시 적용되고 암호화되지 않은 키가 삭제됩니다.
BitLocker를 일시 중단하는 것과 암호를 해독하는 것은 어떻게 다른가요?
암호 해독이란 BitLocker 보호를 완전히 제거하고 드라이브의 암호를 완전히 해독하는 것입니다.
일시 중단은 데이터를 암호화된 상태로 유지하되, BitLocker 볼륨 마스터 키는 암호화되지 않은 키로 암호화합니다. 암호화되지 않은 키는 디스크 드라이브에서 암호화 및 보호되지 않은 상태로 저장되는 암호화 키입니다. 일시 중단 옵션을 사용하는 경우 이 키를 암호화되지 않은 상태로 저장하면 많은 비용과 시간을 들여 전체 드라이브를 암호 해독했다가 다시 암호화하지 않고도 컴퓨터를 변경하거나 업그레이드할 수 있습니다. 변경 작업을 수행한 후 BitLocker를 다시 사용하도록 설정하면 암호화 키가 업그레이드의 일부분으로 바뀐 측정된 구성 요소의 새 값으로 다시 봉인되고, 볼륨 마스터 키가 변경되며, 보호기가 일치하도록 업데이트되고 암호화되지 않은 키는 삭제됩니다.
시스템 업데이트와 업그레이드를 다운로드하여 설치하려면 BitLocker로 보호되는 드라이브의 암호를 해독해야 하나요?
다음 표에는 업그레이드 또는 업데이트 설치를 수행하기 전에 수행해야 하는 작업이 나열되어 있습니다.
| 업데이트 유형 | 작업 |
|---|---|
Windows Anytime Upgrade |
암호화 해제 |
Windows 10으로 업그레이드 |
일시 중단 |
Microsoft가 아닌 소프트웨어 업데이트. 예:
|
일시 중단 |
Windows 업데이트에서 소프트웨어 및 운영 체제 업데이트 |
없음 |
참고
BitLocker를 일시 중단하는 경우 업그레이드 또는 업데이트를 설치한 후 BitLocker 보호를 다시 시작할 수 있습니다. 보호를 다시 시작하면 암호화 키가 업그레이드 또는 업데이트의 일부분으로 바뀐 측정된 구성 요소의 새 값으로 다시 봉인됩니다. BitLocker를 일시 중단하지 않고 이러한 유형의 업그레이드 또는 업데이트를 적용하면 컴퓨터가 다시 시작될 때 복구 모드로 설정되며, 컴퓨터에 액세스하려면 복구 키 또는 암호가 필요합니다.
배포 및 관리
엔터프라이즈 환경에서 BitLocker 배포를 자동화할 수 있나요?
예, WMI 또는 Windows PowerShell 스크립트를 사용하여 BitLocker 및 TPM 배포와 구성을 자동화할 수 있습니다. 스크립트 구현 방법은 환경에 따라 달라집니다. Manage-bde.exe를 사용하여 BitLocker를 로컬 또는 원격으로 구성할 수도 있습니다. BitLocker WMI 공급자를 사용하는 스크립트 작성에 대한 자세한 내용은 BitLocker 드라이브 암호화 공급자를 참조하세요. Windows PowerShell cmdlet을 BitLocker 드라이브 암호화와 함께 사용하는 방법에 대한 추가 정보는 Windows PowerShell의 BitLocker Cmdlet을 참조하세요.
BitLocker가 둘 이상의 운영 체제 드라이브를 암호화할 수 있나요?
예.
컴퓨터에서 BitLocker를 사용하도록 설정하는 경우 성능에 대해 눈에 띄는 영향이 있나요?
일반적으로 성능 오버헤드의 비율은 한 자릿수로 크지 않습니다.
BitLocker를 설정하는 경우 초기 암호화 시간은 어느 정도 걸리나요?
BitLocker 암호화는 작업을 계속하는 동안 백그라운드에서 수행되며 시스템을 계속 사용할 수 있지만, 암호화 시간은 암호화하는 드라이브의 유형, 드라이브 크기 및 드라이브 속도에 따라 달라집니다. 매우 큰 드라이브를 암호화하는 경우에는 드라이브를 사용하지 않는 시간 동안 암호화를 수행하도록 설정할 수 있습니다.
BitLocker로 전체 드라이브를 암호화할지, BitLocker 설정 시 드라이브에서 사용된 공간만 암호화할지 선택할 수 있습니다. 새 하드 드라이브에서는 전체 드라이브를 암호화하는 것보다 사용된 공간만 암호화하면 속도가 훨씬 빠를 수 있습니다. 이 암호화 옵션을 선택하면 BitLocker는 저장되는 데이터를 자동으로 암호화하여 암호화되지 않은 상태로 저장되는 데이터가 없도록 합니다.
암호화 또는 암호 해독 중에 컴퓨터를 끄면 어떻게 되나요?
컴퓨터가 꺼지거나 최대 절전 모드로 설정되는 경우 BitLocker 암호화 및 암호 해독 프로세스는 다음번에 Windows를 시작하면 중지된 지점부터 다시 시작됩니다. 갑자기 정전이 되는 등의 경우에도 마찬가지입니다.
BitLocker는 데이터를 읽고 쓸 때 전체 드라이브를 한 번에 암호화하고 암호 해독하나요?
아니요, BitLocker는 데이터를 읽고 쓸 때 전체 드라이브를 암호화하고 암호 해독하지 않습니다. BitLocker로 보호되는 드라이브의 암호화된 섹터는 시스템 읽기 작업에서 요청이 있을 때만 암호 해독됩니다. 드라이브에 기록된 블록의 경우 시스템에서 실제 디스크에 해당 블록을 쓰기 전에 암호화됩니다. BitLocker로 보호되는 드라이브에서는 암호화되지 않은 상태의 데이터가 저장되지 않습니다.
네트워크 사용자가 암호화되지 않은 드라이브에서 데이터를 공유하지 못하도록 하려면 어떻게 해야 하나요?
그룹 정책 설정을 사용할 수 있도록 설정하여 데이터 드라이브를 BitLocker로 보호해야 BitLocker로 보호되는 컴퓨터에서 해당 드라이브에 데이터를 쓸 수 있습니다. 자세한 내용은 BitLocker 그룹 정책 설정을 참조하세요.
이러한 정책 설정을 사용하도록 설정하면 BitLocker로 보호되는 운영 체제에서 BitLocker로 보호되지 않은 데이터 드라이브를 읽기 전용으로 탑재합니다.
운영 체제 드라이브의 무결성 검사에 실패하도록 하는 시스템 변경에는 어떤 것이 있나요?
다음과 같은 유형의 시스템 변경은 무결성 검사에 실패하는 원인이 되고 TPM이 보호된 운영 체제 드라이브의 암호를 해독하기 위해 BitLocker 키를 해제하지 못하도록 할 수 있습니다.
BitLocker로 보호되는 드라이브를 새 컴퓨터로 이동하는 경우
새 TPM이 설치된 새 마더보드를 설치하는 경우
TPM을 끄거나 사용하지 않도록 설정하거나 제거한 경우
부팅 구성 설정을 변경하는 경우
BIOS, UEFI 펌웨어, 마스터 부트 레코드, 부팅 섹터, 부팅 관리자, 옵션 ROM 또는 기타 초기 부팅 구성 요소나 부팅 구성 데이터를 변경하는 경우
운영 체제 드라이브를 시작할 때 BitLocker에서 복구 모드를 시작하도록 하는 원인은 무엇인가요?
BitLocker는 다양한 공격으로부터 컴퓨터를 보호하기 위해 설계되었기 때문에 BitLocker가 복구 모드에서 시작할 수 있는 이유는 다양합니다. BitLocker에서 복구는 USB 플래시 드라이브에 저장된 복구 키를 사용하여 볼륨 마스터 키 복사본의 암호를 해독하는 것과 복구 암호에서 파생된 암호화 키를 사용하여 볼륨 마스터 키 복사본의 암호를 해독하는 것으로 구성되어 있습니다. 어떤 복구 시나리오도 TPM이 관련되어 있지 않으므로, TPM이 부팅 구성 요소 유효성 검사에 실패하거나 오작동 또는 제거되는 경우에도 여전히 복구가 가능합니다.
운영 체제 드라이브에서 BitLocker가 사용하도록 설정되어 있는 경우 같은 컴퓨터에서 하드 디스크를 스왑할 수 있나요?
예, BitLocker가 사용하도록 설정된 경우에는 같은 컴퓨터에서 여러 하드 디스크를 스왑할 수 있습니다. 단, 같은 컴퓨터에서 하드 디스크가 BitLocker로 보호되는 상태여야 합니다. BitLocker 키는 TPM과 운영 체제에서 고유하므로 디스크 오류 시 사용할 백업 운영 체제 또는 데이터 드라이브를 준비하려는 경우 해당 항목의 TPM이 올바른지 확인해야 합니다. 각 운영 체제에 다른 하드 드라이브를 구성한 다음 서로 다른 인증 방법을 사용(예: 한 드라이브에서는 TPM만 사용하도록 설정하고 다른 드라이브에서는 TPM+PIN을 사용하도록 설정)하여 각 드라이브에서 충돌 없이 BitLocker를 사용하도록 설정할 수도 있습니다.
하드 디스크를 다른 컴퓨터에 삽입하는 경우 BitLocker로 보호되는 드라이브에 액세스할 수 있나요?
예, 드라이브가 데이터 드라이브인 경우 암호나 스마트 카드를 사용하여 다른 데이터 드라이브와 같은 방법으로 BitLocker 드라이브 암호화 제어판 항목에서 잠금 해제할 수 있습니다. 데이터 드라이브가 자동 잠금 해제만 사용할 수 있도록 구성되어 있으면 복구 키를 사용하여 잠금을 해제해야 합니다. 암호화된 하드 디스크는 데이터 복구 에이전트(구성된 경우)로 잠금을 해제하거나 복구 키를 사용하여 잠금을 해제할 수 있습니다.
드라이브를 마우스 오른쪽 단추로 클릭할 때 "BitLocker 켜기"를 사용할 수 없는 이유는 무엇인가요?
일부 드라이브에서는 BitLocker로 암호화할 수 없습니다. 예를 들어 디스크 크기가 부족하거나 파일 시스템이 호환되지 않거나 드라이브가 동적 디스크이거나 드라이브가 시스템 파티션으로 지정되어 있으면 드라이브를 암호화할 수 없습니다. 시스템 드라이브 또는 시스템 파티션은 기본적으로 컴퓨터 창에서 표시되지 않도록 숨겨집니다. 그러나 사용자 지정 설치 프로세스로 인해 운영 체제를 설치할 때 드라이브가 숨겨진 드라이브로 작성되지 않은 경우에는 해당 드라이브가 표시되기는 하지만 암호화할 수는 없습니다.
BitLocker에서 지원되는 디스크 구성 유형은 무엇인가요?
BitLocker를 사용하여 개수에 관계없이 내부 고정 데이터 드라이브를 보호할 수 있습니다. 일부 버전의 ATA 및 SATA 기반에서는 직접 연결 저장 장치도 지원됩니다.
키 관리
TPM 소유자 암호, 복구 암호, 복구 키, 암호, PIN, 향상된 PIN, 시작 키는 어떻게 다른가요?
BitLocker에서는 다양한 키를 생성 및 사용할 수 있습니다. 일부 키는 필수 항목이고 나머지 키는 필요한 보안 수준에 따라 사용하도록 선택할 수 있는 선택적 보호기입니다.
복구 암호 및 복구 키를 저장하려면 어떻게 해야 하나요?
운영 체제 드라이브 또는 고정 데이터 드라이브의 복구 암호와 복구 키는 폴더, 하나 이상의 USB 장치 또는 Microsoft 계정에 저장하거나 인쇄할 수 있습니다.
이동식 데이터 드라이브의 경우 복구 암호 및 복구 키를 폴더 또는 Microsoft 계정에 저장하거나 인쇄할 수 있습니다. 기본적으로 이동식 드라이브의 복구 키는 이동식 드라이브에 저장할 수 없습니다.
도메인 관리자는 복구 암호를 자동으로 생성하는 그룹 정책을 추가로 구성한 다음 BitLocker로 보호되는 모든 드라이브용으로 AD DS(Active Directory 도메인 서비스)에 복구 암호를 저장할 수 있습니다.
TPM 인증 방법만 사용하도록 설정한 경우 드라이브 암호를 해독하지 않고 인증 방법을 더 추가할 수 있나요?
Manage-bde.exe 명령줄 도구를 사용하여 TPM 전용 인증 모드를 다단계 인증 모드로 바꿀 수 있습니다. 예를 들어 BitLocker가 TPM 인증만 사용하도록 설정되어 있는 경우 PIN 인증을 추가하려면 관리자 권한 명령 프롬프트에서 다음 명령을 사용합니다. 여기서 *<4-20 digit numeric PIN>*은 사용하려는 숫자 PIN으로 바꿉니다.
manage-bde –protectors –delete %systemdrive% -type tpm
manage-bde –protectors –add %systemdrive% -tpmandpin <4-20 digit numeric PIN>
복구 정보를 분실한 경우 BitLocker로 보호되는 데이터를 복구할 수 없나요?
BitLocker는 필요한 인증을 수행하지 않으면 암호화된 드라이브를 복구할 수 없도록 설계되었습니다. 복구 모드에서는 사용자가 암호화된 드라이브 잠금을 해제하려면 복구 암호나 복구 키가 필요합니다.
중요
따라서 복구 정보는 AD DS, Microsoft 계정 또는 다른 안전한 위치에 저장하는 것이 좋습니다.
시작 키로 사용되는 USB 플래시 드라이브를 복구 키를 저장하는 데 사용할 수도 있나요?
기술적으로는 가능하지만 USB 플래시 드라이브 하나에 두 키를 모두 저장하는 것은 효율적이지 않습니다. 시작 키가 포함된 USB 플래시 드라이브를 분실하거나 도난당하면 복구 키도 사용할 수 없게 되기 때문입니다. 또한 이 키를 삽입하면 TPM에서 측정된 파일이 변경되어도 컴퓨터가 복구 키로 자동 부팅되어 TPM의 시스템 무결성 검사를 우회하게 됩니다.
시작 키를 여러 USB 플래시 드라이브에 저장할 수 있나요?
예, 컴퓨터의 시작 키를 여러 USB 플래시 드라이브에 저장할 수 있습니다. BitLocker로 보호되는 드라이브를 마우스 오른쪽 단추로 클릭하고 BitLocker 관리를 선택하면 필요에 따라 복구 키를 복제하는 옵션이 제공됩니다.
같은 USB 플래시 드라이브에 서로 다른 여러 시작 키를 저장할 수 있나요?
예, 같은 USB 플래시 드라이브에 서로 다른 컴퓨터의 BitLocker 시작 키를 저장할 수 있습니다.
같은 컴퓨터에 대해 서로 다른 여러 시작 키를 생성할 수 있나요?
스크립트를 작성하면 같은 컴퓨터에 대해 서로 다른 여러 시작 키를 생성할 수 있습니다. 그러나 TPM이 설치된 컴퓨터의 경우 서로 다른 여러 시작 키를 만들면 BitLocker가 TPM의 시스템 무결성 검사를 사용하지 못하게 됩니다.
여러 PIN 조합을 생성할 수 있나요?
여러 PIN 조합을 생성할 수는 없습니다.
BitLocker에서는 어떤 암호화 키가 사용되며, 암호화 키는 어떤 방식으로 함께 작동하나요?
원시 데이터는 전체 볼륨 암호화 키로 암호화되며, 전체 볼륨 암호화 키는 볼륨 마스터 키로 암호화됩니다. 그리고 볼륨 마스터 키는 인증(키 보호기 또는 TPM) 및 복구 시나리오에 따라 가능한 여러 방법 중 하나로 암호화됩니다.
암호화 키는 어디에 저장되나요?
전체 볼륨 암호화 키는 볼륨 마스터 키로 암호화되어 암호화된 드라이브에 저장됩니다. 볼륨 마스터 키는 해당하는 키 보호기로 암호화되어 암호화된 드라이브에 저장됩니다. BitLocker가 일시 중단된 경우 볼륨 마스터 키를 암호화하는 데 사용되는 암호화되지 않은 키도 암호화된 볼륨 마스터 키와 함께 암호화된 드라이브에 저장됩니다.
이 저장 프로세스에서는 볼륨 마스터 키가 암호화되지 않은 상태로 저장되지 않고, BitLocker를 사용하지 않도록 설정하지 않는 한 보호받는 상태로 유지되게 합니다. 이러한 키는 중복성을 위해 드라이브 상의 두 곳에도 추가로 저장됩니다. 부팅 관리자를 통해 키를 읽고 처리할 수 있습니다.
PIN 또는 48자 복구 암호를 입력할 때 기능 키를 사용해야 하는 이유는 무엇인가요?
F1~F10 키는 범용으로 매핑되는 스캔 코드로, 모든 컴퓨터와 모든 언어의 사전 부팅 환경에서 사용 가능합니다. 0~9 숫자 키는 모든 키보드의 사전 부팅 환경에서 사용할 수 없습니다.
향상된 PIN을 사용할 때 사용자는 BitLocker 설치 프로세스를 진행하는 동안 선택적인 시스템 검사를 실행하여 사전 부팅 환경에서 PIN을 정확하게 입력했는지 확인해야 합니다.
BitLocker는 공격자가 운영 체제 드라이브 잠금을 해제하는 PIN을 검색하지 못하게 하기 위해 어떤 방법을 사용하나요?
무차별 암호 대입 공격(brute force attack)을 수행하는 공격자가 PIN(개인 식별 번호)을 알아낼 가능성이 있습니다. 무차별 암호 대입 공격(brute force attack)은 공격자가 자동화된 도구를 사용하여 여러 PIN 조합을 계속 시도해 올바른 PIN을 알아내는 공격입니다. BitLocker로 보호되는 컴퓨터에서는 사전 공격(Dictionary Attack)이라고도 하는 이러한 유형의 공격을 수행하려면 공격자가 컴퓨터에 물리적으로 액세스해야 합니다.
TPM은 이러한 유형의 공격을 탐지하여 대응하는 기능을 기본 제공합니다. 각 제조업체의 TPM에서 지원하는 PIN 및 공격 완화 방식이 서로 다를 수 있으므로, TPM 제조업체에 문의하여 현재 컴퓨터에서 사용 중인 TPM이 PIN 무차별 암호 대입 공격(brute force attack)을 완화하는 방법을 확인하세요.
TPM 제조업체에 해당 방법을 확인한 후 제조업체에 문의하여 TPM의 공급업체별 정보를 수집하세요. 대부분의 제조업체는 PIN 인증 실패 횟수를 사용하여 PIN 인터페이스 잠금 시간을 기하급수적으로 연장합니다. 그러나 실패 카운터의 제한을 낮추거나 다시 설정하는 방법과 시기에 관련된 정책은 각 제조업체마다 다릅니다.
TPM 제조업체를 확인할 수 있는 방법은 무엇인가요?
TPM 제조업체 정보 제목 아래의 TPM MMC 콘솔(tpm.msc)에서 TPM 제조업체를 확인할 수 있습니다.
TPM의 사전 공격(Dictionary Attack) 완화 메커니즘은 어떻게 평가할 수 있나요?
TPM 제조업체에 사전 공격(Dictionary Attack) 완화 메커니즘에 대해 문의할 때 다음과 같은 질문을 사용할 수 있습니다.
권한 부여 시도를 몇 번 실패하면 인터페이스가 잠기나요?
실패한 시도 횟수와 기타 관련 매개 변수를 기준으로 잠금 기간을 결정하는 알고리즘은 무엇인가요?
어떤 작업을 수행하면 실패 횟수와 잠금 기간이 감소하거나 이를 다시 설정할 수 있나요?
그룹 정책을 사용하여 PIN 길이와 복잡성을 관리할 수 있나요?
경우에 따라 다릅니다. 시작 PIN의 최소 길이 구성 그룹 정책 설정을 사용하여 최소 PIN(개인 식별 번호) 길이를 구성하고 시작 시 향상된 PIN 허용 그룹 정책 설정을 사용하도록 설정하여 영숫자 PIN의 사용을 허용할 수 있습니다. 그러나 그룹 정책을 사용하여 필수 PIN 복잡성을 설정할 수는 없습니다.
자세한 내용은 BitLocker 그룹 정책 설정을 참조하세요.
BitLocker To Go
BitLocker To Go는 이동식 데이터 드라이브에 대한 BitLocker 드라이브 암호화입니다. 여기에는 USB 플래시 드라이브, SD 카드, 외부 하드 디스크 드라이브 및 NTFS/FAT16/FAT32/exFAT 파일 시스템을 사용하여 포맷되는 기타 드라이브의 암호화가 포함됩니다.
AD DS(Active Directory 도메인 서비스)
컴퓨터가 도메인에 연결되기 전에 해당 컴퓨터에서 BitLocker를 사용하도록 설정하면 어떻게 되나요?
그룹 정책을 적용하여 백업을 적용하기 전에 드라이브에서 BitLocker를 사용하도록 설정하면 컴퓨터를 도메인에 연결하거나 나중에 그룹 정책을 적용할 때 복구 정보가 AD DS에 자동으로 백업되지 않습니다. 그러나 BitLocker로 보호되는 운영 체제 드라이브를 복구할 수 있는 방법 선택, BitLocker로 보호되는 고정 드라이브를 복구할 수 있는 방법 선택 및 BitLocker로 보호되는 이동식 드라이브를 복구할 수 있는 방법 선택 그룹 정책 설정을 사용하여 컴퓨터를 도메인에 연결해야 BitLocker를 설정할 수 있도록 함으로써 조직에서 BitLocker로 보호되는 드라이브의 복구 정보가 AD DS에 백업되도록 할 수 있습니다.
자세한 내용은 BitLocker 그룹 정책 설정을 참조하세요.
BitLocker WMI(Windows Management Instrumentation) 인터페이스에서는 관리자가 온라인 클라이언트의 기존 복구 정보를 백업하거나 동기화하는 스크립트를 작성할 수 있습니다. 그러나 BitLocker에서 이 프로세스를 자동으로 관리하지는 않습니다. Manage-bde 명령줄 도구를 사용하여 복구 정보를 AD DS에 수동으로 백업할 수도 있습니다. 예를 들어 C: 드라이브의 모든 복구 정보를 AD DS에 백업하려면 관리자 권한 명령 프롬프트에서 다음 명령을 사용합니다.manage-bde -protectors -adbackup C:.
중요
조직 내에 새로 추가된 컴퓨터의 경우 가장 먼저 도메인에 컴퓨터를 연결해야 합니다. 컴퓨터를 도메인에 연결하면 BitLocker 복구 키가 AD DS에 자동으로 저장됩니다(그룹 정책에서 사용하도록 설정된 경우).
Active Directory 백업 성공 또는 실패를 나타내기 위해 클라이언트 컴퓨터에 기록되는 이벤트 로그 항목이 있나요?
예, Active Directory 백업 성공 또는 실패를 나타내는 이벤트 로그 항목이 클라이언트 컴퓨터에 기록됩니다. 그러나 이벤트 로그 항목이 "성공"으로 표시되더라도 이후에 정보가 AD DS에서 제거되었거나 BitLocker가 다시 구성되어(예: 복구 암호 키 보호기 제거) Active Directory 정보로는 더 이상 드라이브 잠금을 해제할 수 없는 경우도 있습니다. 또한 로그 항목이 스푸핑되었을 수도 있습니다.
결론적으로, AD DS에 합법적인 백업이 있는지 확인하려면 BitLocker 암호 뷰어 도구를 사용하여 도메인 관리자 자격 증명으로 AD DS를 쿼리해야 합니다.
컴퓨터에서 BitLocker 복구 암호를 변경하고 새 암호를 AD DS에 저장하면 AD DS에서 이전 암호를 덮어쓰나요?
아니요. 기본적으로 BitLocker 복구 암호 항목은 AD DS에서 삭제되지 않기 때문에 각 드라이브에 대해 여러 개의 암호가 표시될 수 있습니다. 최신 암호를 파악하려면 개체의 날짜를 확인하세요.
백업이 초기에 실패하면 어떻게 되나요? BitLocker에서 백업을 다시 시도하나요?
BitLocker 설치 마법사를 실행할 때 도메인 컨트롤러에 연결할 수 없는 등의 경우 백업이 초기에 실패하면 BitLocker는 AD DS에 복구 정보를 백업하려고 다시 시도하지 않습니다.
관리자가 Active Directory 도메인 서비스에 BitLocker 복구 정보 저장(Windows 2008 및 Windows Vista) 정책 설정의 AD DS에 BitLocker 백업 요구 확인란 또는 BitLocker로 보호되는 운영 체제 드라이브를 복구할 수 있는 방법 선택, BitLocker로 보호되는 고정 데이터 드라이브를 복구할 수 있는 방법 선택, BitLocker로 보호되는 이동식 데이터 드라이브를 복구할 수 있는 방법 선택 정책 설정의 해당 (운영 체제 | 고정 데이터 | 이동식 데이터) 드라이브에 대한 복구 정보가 AD DS에 저장될 때까지 BitLocker 사용 안 함 확인란을 선택하면 컴퓨터가 도메인에 연결되어 있고 AD DS로의 BitLocker 복구 정보 백업이 성공해야 사용자가 BitLocker를 사용하도록 설정할 수 있습니다. 이러한 설정이 구성된 상태에서 백업에 실패하는 경우 BitLocker를 사용하도록 설정할 수 없으므로, 관리자가 조직의 BitLocker로 보호되는 드라이브를 복구할 수 있습니다.
자세한 내용은 BitLocker 그룹 정책 설정을 참조하세요.
관리자가 이러한 확인란의 선택을 취소하면 복구 정보를 AD DS에 백업하지 않고도 드라이브를 BitLocker로 보호할 수 있습니다. 그러나 BitLocker는 백업이 실패하는 경우 자동으로 다시 시도하지는 않습니다. 대신 관리자는 앞의 컴퓨터가 도메인에 연결되기 전에 해당 컴퓨터에서 BitLocker를 사용하도록 설정하면 어떻게 되나요?에서 설명한 대로 백업을 위한 스크립트를 작성하여 연결이 복원된 후 정보를 캡처할 수 있습니다.
보안
BitLocker에서는 어떠한 형식의 암호화를 사용하나요? 암호화를 구성할 수 있나요?
BitLocker는 AES(Advanced Encryption Standard)를 암호화 알고리즘으로 사용하며 구성 가능한 키 길이(128비트/256비트)를 사용합니다. 기본 암호화 설정은 AES-128이지만 그룹 정책을 사용하여 옵션을 구성할 수 있습니다.
운영 체제 드라이브에서 BitLocker를 사용하는 모범 사례는 무엇인가요?
운영 체제 드라이브에서 권장되는 BitLocker 구성은 TPM 1.2 이상 버전이 설치되어 있고 TCG(신뢰할 수 있는 컴퓨팅 그룹) 규격 BIOS/UEFI 펌웨어 구현이 적용되어 있으며 PIN을 사용하는 컴퓨터에서 BitLocker를 구현하는 것입니다. TPM 유효성 검사와 함께 사용자가 설정한 PIN을 요구함으로써 악의적인 사용자가 컴퓨터에 물리적으로 액세스할 수 있더라도 간단하게 컴퓨터를 시작할 수 없습니다.
절전 모드 또는 최대 절전 모드 관리 옵션을 사용하는 경우에는 보안이 어떠한 방식으로 되나요?
운영 체제 드라이브에서 기본 구성(TPM은 사용하지만 고급 인증은 사용하지 않음)을 사용하는 BitLocker는 최대 절전 모드에 대한 추가 보안을 제공합니다. 그러나 고급 인증 모드(TPM+PIN, TPM+USB, TPM+PIN+USB)를 사용하도록 BitLocker를 구성하면 최대 절전 모드에서 더욱 높은 수준의 보안이 적용됩니다. 최대 절전 모드에서 복구하려면 BitLocker 인증을 수행해야 하므로 이 방법이 더 안전합니다. 모범 사례로, 절전 모드는 사용하지 않도록 설정하고 인증 방법으로 TPM+PIN을 사용하는 것이 좋습니다.
TPM을 사용하면 어떤 이점이 있나요?
대부분의 운영 체제에서는 공유 메모리 공간을 사용하며 운영 체제 자체에서 실제 메모리를 관리합니다. TPM은 자체 내부 펌웨어 및 논리 회로를 사용해 명령을 처리하는 하드웨어 구성 요소이므로 외부 소프트웨어 취약성으로부터 하드웨어를 보호합니다. TPM을 공격하려면 컴퓨터에 물리적으로 액세스할 수 있어야 합니다. 또한 하드웨어를 공격하는 데 필요한 도구와 기술은 보통 고가이며 소프트웨어를 공격하는 데 사용되는 도구와 기술만큼 쉽게 사용할 수 없습니다. 그리고 각 TPM은 포함된 컴퓨터마다 고유하므로 여러 TPM 컴퓨터를 공격하기 어렵고 시간이 많이 걸립니다.
참고
추가 인증 단계를 적용하여 BitLocker를 구성하면 TPM 하드웨어 공격을 보다 효율적으로 차단할 수 있습니다.
BitLocker 네트워크 잠금 해제
BitLocker 네트워크 잠금 해제를 사용하면 도메인 환경에서 TPM+PIN 보호 방법을 사용하는 BitLocker 지원 데스크톱 및 서버를 더 쉽게 관리할 수 있습니다. 유선 회사 네트워크에 연결된 컴퓨터가 다시 부팅될 때 네트워크 잠금 해제를 사용하면 PIN 항목 프롬프트를 무시할 수 있습니다. 또한 Windows 배포 서비스 서버에서 보조 인증 방법으로 제공하는 신뢰할 수 있는 키를 사용하여 BitLocker 보호 운영 체제 볼륨을 자동으로 잠금 해제합니다.
네트워크 잠금 해제를 사용하려면 컴퓨터용으로 구성된 PIN도 필요합니다. 컴퓨터가 네트워크에 연결되어 있지 않을 때 컴퓨터 잠금을 해제하려면 PIN을 제공해야 합니다.
BitLocker 네트워크 잠금 해제는 두 개의 클라이언트 컴퓨터, 즉 Windows 배포 서비스와 도메인 컨트롤러에 대한 소프트웨어 및 하드웨어 요구 사항이 있으며 이 요구 사항을 충족해야 사용할 수 있습니다.
네트워크 잠금 해제에서는 두 개의 보호기, 즉 TPM 보호기와 네트워크 또는 PIN을 통해 제공된 보호기를 사용하는 반면 자동 잠금 해제에서는 TPM에 저장된 단일 보호기를 사용합니다. 키 보호기가 없는 컴퓨터를 네트워크에 연결하면 PIN을 입력하라는 메시지가 표시됩니다. PIN을 사용할 수 없는 경우 컴퓨터를 네트워크에 연결할 수 없으면 복구 키를 사용해 컴퓨터 잠금을 해제해야 합니다.
자세한 내용은 BitLocker: 네트워크의 잠금 해제를 사용하는 방법을 참조하세요.
기타 질문
BitLocker와 함께 커널 디버거를 실행할 수 있나요?
예. 단, BitLocker를 사용하도록 설정하기 전에 디버거를 설정해야 합니다. 디버거를 설정하면 TPM으로 봉인할 때 정확한 측정값이 계산되므로 컴퓨터가 정상적으로 시작됩니다. BitLocker를 사용할 때 디버깅을 설정 또는 해제해야 하는 경우 컴퓨터가 복구 모드로 설정되지 않도록 먼저 BitLocker를 일시 중단하세요.
BitLocker는 메모리 덤프를 어떻게 처리하나요?
BitLocker에 포함된 저장소 드라이버 스택은 BitLocker를 사용하도록 설정할 때 메모리 덤프가 암호화되도록 합니다.
BitLocker는 사전 부팅 인증에 대해 스마트 카드를 지원하나요?
BitLocker는 사전 부팅 인증에 대해 스마트 카드를 지원하지 않습니다. 펌웨어에서 스마트 카드를 지원하기 위한 단일 업계 표준은 없으며, 대부분의 컴퓨터에서는 스마트 카드에 대한 펌웨어 지원을 구현하지 않거나 특정 스마트 카드 및 판독기만 지원합니다. 이처럼 스마트 카드가 표준화되어 있지 않으므로 스마트 카드를 지원하기가 매우 어렵습니다.
Microsoft가 아닌 타사 TPM 드라이버를 사용할 수 있나요?
Microsoft는 타사 TPM 드라이버를 지원하지 않으며, BitLocker에는 타사 TPM 드라이버를 사용하지 않는 것이 좋습니다. BitLocker에서 타사 TPM 드라이버를 사용하는 경우 BitLocker가 컴퓨터에 TPM이 없다고 보고하고 BitLocker에서 TPM을 사용하도록 허용하지 않을 수 있습니다.
마스터 부트 레코드를 관리하거나 수정하는 다른 도구가 BitLocker와 함께 작동할 수 있나요?
다양한 보안, 안정성 및 제품 지원을 위해 운영 체제 드라이브가 BitLocker로 보호되어 있는 컴퓨터에서는 마스터 부트 레코드를 수정하지 않는 것이 좋습니다. MBR(마스터 부트 레코드)을 변경하면 보안 환경이 변경되어 컴퓨터가 정상적으로 시작되지 않을 수 있을 뿐만 아니라, 손상된 MBR에서 복구하는 과정이 복잡해질 수 있습니다. Windows 이외의 수단으로 MBR을 변경하면 컴퓨터가 복구 모드로 강제 지정되거나 전혀 부팅되지 않을 수 있습니다.
운영 체제 드라이브를 암호화할 때 시스템 검사에 실패하는 이유는 무엇인가요?
시스템 검사에서는 컴퓨터의 BIOS 또는 UEFI 펌웨어가 BitLocker와 호환되며 TPM이 올바르게 작동하는지를 확인합니다. 다음과 같은 여러 가지 이유로 시스템 검사에 실패할 수 있습니다.
컴퓨터의 BIOS 또는 UEFI 펌웨어가 USB 플래시 드라이브를 읽을 수 없습니다.
컴퓨터의 BIOS, UEFI 펌웨어 또는 부팅 메뉴에서 USB 플래시 드라이브 읽기를 사용하도록 설정되지 않은 경우
컴퓨터에 여러 USB 플래시 드라이브를 삽입한 경우
PIN을 올바르게 입력하지 않은 경우
컴퓨터의 BIOS 또는 UEFI 펌웨어가 사전 부팅 환경에서 기능 키(F1~F10)를 사용한 숫자 입력만 지원하는 경우
컴퓨터가 다시 부팅되기 전에 시작 키가 제거된 경우
TPM이 오작동하여 키 봉인을 해제하지 못하는 경우
USB 플래시 드라이브의 복구 키를 읽을 수 없는 경우에는 어떻게 해야 하나요?
일부 컴퓨터는 사전 부팅 환경에서 USB 플래시 드라이브를 읽을 수 없습니다. 먼저 USB 드라이브를 사용하도록 설정되어 있는지 BIOS 또는 UEFI 펌웨어 및 부팅 설정을 확인합니다. USB 드라이브를 사용하도록 설정되어 있지 않은 경우 BIOS 또는 UEFI 펌웨어와 부팅 설정에서 USB 드라이브를 사용하도록 설정한 다음 USB 플래시 드라이브의 복구 키 읽기를 다시 시도해 보세요. 그래도 복구 키를 읽을 수 없으면 다른 컴퓨터에 하드 드라이브를 데이터 드라이브로 탑재하여 운영 체제가 USB 플래시 드라이브를 복구 키로 읽는지 확인해야 합니다. USB 플래시 드라이브가 손상된 경우 복구 암호를 입력하거나 AD DS에 백업된 복구 정보를 사용해야 합니다. 또한 사전 부팅 환경에서 복구 키를 사용하는 경우에는 드라이브가 NTFS, FAT16 또는 FAT32 파일 시스템을 사용하여 포맷되어 있는지 확인합니다.
USB 플래시 드라이브에 복구 키를 저장할 수 없는 이유는 무엇인가요?
이동식 드라이브의 경우 USB에 저장 옵션이 기본적으로 표시되지 않습니다. 이 옵션을 사용할 수 없는 경우 시스템 관리자가 복구 키 사용을 허용하지 않도록 설정한 것입니다.
드라이브의 잠금을 자동으로 해제할 수 없는 이유는 무엇인가요?
고정 데이터 드라이브의 잠금을 자동으로 해제하려면 운영 체제 드라이브도 BitLocker로 보호되는 상태여야 합니다. 운영 체제 드라이브가 BitLocker로 보호되지 않은 컴퓨터를 사용하면 드라이브 잠금을 자동으로 해제할 수 없습니다. 이동식 데이터 드라이브의 경우 Windows 탐색기에서 드라이브를 마우스 오른쪽 단추로 클릭한 다음 BitLocker 관리를 클릭하여 자동 잠금 해제를 추가할 수 있습니다. BitLocker를 설정할 때 입력한 암호 또는 스마트 카드 자격 증명을 사용하여 다른 컴퓨터에서 이동식 드라이브의 잠금을 해제할 수는 있습니다.
안전 모드에서 BitLocker를 사용할 수 있나요?
안전 모드에서는 일부 BitLocker 기능을 사용할 수 있습니다. BitLocker 드라이브 암호화 제어판 항목을 사용하여 BitLocker로 보호되는 드라이브의 잠금을 해제하고 암호를 해독할 수 있습니다. 그러나 안전 모드에서는 Windows 탐색기에서 마우스 오른쪽 단추를 클릭하여 BitLocker 옵션에 액세스할 수는 없습니다.
데이터 드라이브를 잠그려면 어떻게 해야 하나요?
Manage-bde 명령줄 도구 및 -lock 명령을 사용하여 고정 데이터 드라이브와 이동식 데이터 드라이브를 모두 잠글 수 있습니다.
참고
드라이브를 잠그기 전에 모든 데이터를 드라이브에 저장했는지 확인하세요. 잠긴 드라이브는 액세스할 수 없습니다.
이 명령의 구문은 다음과 같습니다.
manage-bde <driveletter> -lock
이 명령을 사용하는 경우 외에 운영 체제를 종료하고 다시 시작할 때도 데이터 드라이브가 잠깁니다. 이동식 데이터 드라이브는 컴퓨터에서 드라이브를 제거할 때도 자동으로 잠깁니다.
볼륨 섀도 복사본 서비스와 함께 BitLocker를 사용할 수 있나요?
예. 그러나 BitLocker를 사용하도록 설정하기 전에 작성된 섀도 복사본은 소프트웨어로 암호화된 드라이브에서 BitLocker를 사용하도록 설정하면 자동으로 삭제됩니다. 하드웨어로 암호화된 드라이브를 사용하는 경우에는 섀도 복사본이 유지됩니다.
BitLocker에서 VHD(가상 하드 디스크)를 지원하나요?
BitLocker는 부팅 가능 VHD에서는 지원되지 않지만 Windows 10, Windows 8.1, Windows 8, Windows Server 2012 또는 Windows Server 2012 R2를 실행하는 경우 클러스터에서 사용되는 VHD 같이 데이터 볼륨 VHD에서는 지원됩니다.