BitLocker 살펴보기
BitLocker는 운영 체제 및 운영 체제 볼륨이 컴퓨터의 다른 볼륨과 함께 저장하는 데이터에 대한 보호 기능을 제공합니다. 운영 체제가 실행되지 않을 때 누군가가 컴퓨터를 변조하더라도 컴퓨터에 저장된 데이터가 암호화된 상태로 유지되도록 하는 데 도움이 됩니다. BitLocker는 분실, 도난 또는 부적절하게 서비스 해제된 컴퓨터에서 데이터 도난 또는 노출 위협을 해결하기 위해 Windows에서 긴밀하게 통합된 솔루션을 제공합니다.
분실하거나 도난당한 컴퓨터의 데이터는 악의적인 사용자가 소프트웨어 공격 도구를 실행하거나 컴퓨터의 하드 디스크를 다른 컴퓨터로 전송할 때 무단 액세스에 취약해질 수 있습니다. BitLocker는 파일 및 시스템 보호를 향상시켜 데이터가 무단으로 액세스되는 것을 방지합니다. 또한 BitLocker는 BitLocker로 보호된 컴퓨터를 사용을 중지하거나 재활용할 때 데이터 접근을 불가능하게 하는 데 도움이 됩니다.
BitLocker는 오프라인 데이터 보호 및 시스템 무결성 확인을 제공하는 두 가지 기능을 수행합니다.
- BitLocker는 Windows 운영 체제 볼륨 및 구성된 데이터 볼륨에 저장되는 모든 데이터를 암호화합니다. 여기에는 Windows 운영 체제, 최대 절전 모드와 페이징 파일, 애플리케이션, 애플리케이션 데이터가 포함됩니다. 또한 BitLocker는 비 Microsoft 애플리케이션에 대한 포괄적인 보호 기능도 제공하므로 암호화된 볼륨에 애플리케이션을 설치할 때 자동으로 이점을 제공합니다.
- 컴퓨터 메인보드에서 기본적으로 TPM(신뢰할 수 있는 플랫폼 모듈) 칩을 사용하도록 구성되어 운영 체제가 시작 프로세스의 초기 단계에서 사용하는 시작 구성 요소의 무결성을 보장합니다. BitLocker는 BitLocker로 보호되는 볼륨을 잠그므로 운영 체제가 실행되지 않을 때 누군가가 컴퓨터를 변조하더라도 보호된 상태로 유지됩니다.
시스템 무결성 확인
BitLocker는 TPM을 사용하여 다음을 통해 시작 프로세스의 무결성을 확인합니다.
- 초기 부팅 파일 무결성이 유지되었는지 확인하고 부팅 섹터 바이러스 또는 루트 키트와 같이 해당 파일을 불리하게 수정하지 않았는지 확인하는 방법을 제공합니다.
- 보호를 강화하여 오프라인 소프트웨어 기반 공격을 완화시킵니다. 시스템을 시작할 수 있는 대체 소프트웨어는 Windows 운영 체제 볼륨의 암호 해독 키에 액세스할 수 없습니다.
- 변조가 감지되면 시스템을 잠급니다. BitLocker가 모니터링되는 파일에서 변조가 발생한 것으로 확인되면 시스템이 시작되지 않습니다. 이렇게 하면 시스템이 평소와 같이 시작되지 않기 때문에 사용자에게 변조에 대해 경고합니다. 시스템 잠금이 발생하는 경우 BitLocker는 간단한 복구 프로세스를 제공합니다.
BitLocker는 TPM과 함께 초기 시작 구성 요소의 무결성을 확인하여 해당 구성 요소에 악성 코드를 삽입하려는 시도와 같은 추가 오프라인 공격을 방지하는 데 도움이 됩니다. 컴퓨터가 시작될 수 있도록 시작 프로세스의 초기 부분에 있는 구성 요소가 암호화되지 않은 상태로 유지되어야 하므로 이 기능이 중요합니다.
결과적으로 공격자는 초기 시작 구성 요소의 코드를 변경한 다음 디스크 데이터가 암호화되어 있더라도 컴퓨터에 액세스할 수 있습니다. 그런 다음 공격자가 BitLocker 키 또는 사용자 암호와 같은 기밀 정보에 액세스할 수 있는 경우 공격자는 BitLocker 및 기타 Windows 보안 보호를 우회할 수 있습니다.
BitLocker 및 EFS 비교
앞에서 설명한 것처럼 BitLocker와 EFS는 모두 암호화 기능을 제공합니다. 그러나 이러한 기술은 동일하지 않으며 동일한 목적을 가지고 있지 않습니다. EFS는 파일 및 폴더 수준에서 보호 기능을 제공하는 데 중점을 두고 있지만 BitLocker는 볼륨 또는 디스크 수준에서 보호 기능을 제공합니다. EFS를 사용하여 파일을 보호하면 사용자(또는 적절한 권한이 있는 다른 사람)가 파일을 잠금 해제할 때까지 해당 파일이 보호된 상태로 유지되며 해당 보호는 파일 위치에 따라 달라지지 않습니다. 반면에 BitLocker로 보호되는 드라이브의 파일은 특정 드라이브에 있는 한 보호됩니다. 다음 표에서는 BitLocker 및 EFS 암호화 기능을 비교합니다.
| BitLocker 기능 | EFS 기능 |
|---|---|
| 운영 체제의 전체 볼륨(Windows 시스템 파일과 최대 절전 모드 파일을 포함)을 암호화합니다. | 파일을 암호화합니다. |
| 사용자 인증서가 필요하지 않습니다. | 사용자 인증서가 필요합니다. |
| 운영 체제가 수정되지 않도록 보호합니다. | 운영 체제가 수정되지 않도록 보호하지 않습니다. |
디바이스 암호화
디바이스 암호화는 기본 제공 Windows 기능입니다. 기본적으로 디바이스 암호화는 BitLocker와 동일한 기술을 사용하는 AES(Advanced Encryption Standard) 128비트 암호화를 사용하여 시스템의 운영 체제 드라이브와 고정 데이터 드라이브를 보호합니다. Microsoft 계정 또는 도메인 계정으로 디바이스 암호화를 사용할 수 있습니다.
디바이스 암호화는 새 디바이스의 모든 Windows 10 이상 버전에서 자동으로 사용하도록 설정되므로 디바이스가 항상 보호됩니다. Windows 10으로 업그레이드하거나 새로 설치를 통해 지원되는 디바이스에서도 디바이스 암호화를 자동으로 사용하도록 설정됩니다.
BitLocker To Go
노트북을 분실하거나 도난당한 경우의 데이터 손실은 일반적으로 컴퓨터 자산 손실보다 더 큰 영향을 미칩니다. 이동식 스토리지 디바이스를 사용하는 사람이 많아지면서 컴퓨터를 잃지 않고도 데이터를 잃을 수 있습니다. BitLocker To Go는 BITLocker 지원을 USB 플래시 드라이브와 같은 이동식 스토리지 디바이스로 확장하여 데이터 도난 및 노출 방지 기능을 제공합니다. Windows PowerShell에서 그룹 정책을 사용하고 BitLocker 드라이브 암호화 제어판 앱을 사용하여 BitLocker To Go를 관리할 수 있습니다.
Windows에서 사용자는 파일 탐색기를 열고 드라이브를 마우스 오른쪽 단추로 클릭한 다음, BitLocker 켜기를 선택하여 이동식 미디어를 암호화할 수 있습니다. 그런 다음 사용자는 암호 또는 스마트 카드를 사용하는 등 드라이브의 잠금을 해제하는 방법을 선택할 수 있습니다.
잠금 해제 방법을 선택한 후 사용자는 복구 키를 인쇄하거나 저장해야 합니다. 이 48자리 키를 AD DS(Active Directory Domain Services)에 자동으로 저장하도록 Windows를 구성할 수 있으므로 사용자가 암호를 잊어버린 경우와 같이 다른 잠금 해제 방법이 실패하는 경우 이 키를 사용할 수 있습니다. 마지막으로 사용자는 잠금 해제 선택을 확인하여 암호화를 시작해야 합니다. BitLocker로 보호되는 드라이브를 컴퓨터에 삽입하면 Windows 운영 체제에서 암호화된 드라이브를 감지하고 잠금을 해제하라는 메시지를 표시합니다.
Microsoft BitLocker 관리 및 모니터링(MBAM)
구현하는 모든 보안 기술과 마찬가지로 중앙 집중식 관리를 사용하는 것이 좋습니다. 그룹 정책을 사용하여 BitLocker를 중앙에서 관리할 수 있지만 기능은 제한되어 있습니다. Microsoft Desktop Optimization Pack의 일부인 MBAM을 사용하면 전체 기능을 사용하여 BitLocker 및 BitLocker To Go를 더 쉽게 관리하고 지원할 수 있습니다. 최신 버전인 서비스 팩 1이 포함된 MBAM 2.5에는 다음과 같은 주요 기능이 있습니다.
- 관리자는 기업 전체의 클라이언트 컴퓨터에서 볼륨 암호화 프로세스를 자동화할 수 있습니다.
- 보안 담당자는 개별 컴퓨터 또는 기업 자체의 준수 상태를 확인할 수 있습니다.
- Microsoft Endpoint Configuration Manager를 통해 중앙 집중식 보고 및 하드웨어 관리를 제공합니다.
- BitLocker 복구 요청으로 최종 사용자를 지원하는 지원 센터 워크로드를 줄입니다.
- 최종 사용자는 셀프 서비스 포털을 사용하여 암호화된 디바이스를 독립적으로 복구할 수 있습니다.
- 보안 책임자는 복구 키 정보에 대한 액세스를 감사할 수 있습니다.
- Windows Enterprise 사용자는 회사 데이터를 보호하면서 어디서나 계속 작업을 수행할 수 있습니다.
- 엔터프라이즈용으로 설정한 BitLocker 암호화 정책 옵션을 적용합니다.
- 엔드포인트 Configuration Manager와 같은 기존 관리 도구와 통합됩니다.
- IT 사용자 지정 가능한 복구 사용자 환경을 제공합니다.
