비트로커(BitLocker)는 PC 데이터를 보호하는 데 중요한 윈도우 기능이다. 비트로커의 전체 기능은 윈도우 11 프로(Windows 11 Pro)에서만 사용할 수 있지만, 윈도우 11 홈(Windows 11 Home)에서도 제한적으로 활용할 수 있다. (사실, 필자는 윈도우 11 홈보다 프로를 선택해야 하는 가장 큰 이유로 비트로커를 꼽는다.)

윈도우 11 프로든 홈이든 아직 비트로커를 사용하고 있지 않다면, 지금 바로 시작하는 것이 좋다. 비트로커에 대해 알아야 할 모든 것과 설정하는 방법을 알아보자.

비트로커란?

비트로커는 윈도우 11에 내장된 안전한 디스크 암호화 솔루션이다. PC에서 비트로커 암호화를 사용하면 내부 저장 장치에 저장된 모든 파일이 암호화된 상태로 저장된다.

최신 윈도우 PC는 일반적으로 암호 해독 키를 신뢰할 수 있는 플랫폼 모듈(Trusted Platform Module, TPM)에 저장해 안전하게 보관한다. 사용자가 로그인하고 인증하면 TPM이 복호화 키를 제공하며, 사용자는 평소처럼 PC를 사용할 수 있다. TPM은 복호화 키를 제공하기 전에 PC가 변조되지 않았는지도 확인한다.

파일이 암호화된 상태로 저장되기 때문에 노트북을 도난당해도 도둑은 사용자의 계정으로 로그인하지 않는 한 파일에 접근할 수 없다. 노트북의 드라이브를 분리해 데이터를 확인하려 해도 복호화 키 없이는 파일이 암호화된 상태로 보이기 때문에 내용을 읽을 수 없다.

PC에 비트로커가 필요한 이유

비트로커는 사용자, 또는 사용자가 비트로커 복구 키를 공유한 사람만 PC의 파일에 접근할 수 있도록 보장한다.

기업에서 회사 시스템에 저장된 기밀 데이터가 쉽게 노출되지 않도록 하기 위해 매우 중요한 기능이다. 뿐만 아니라 가정용 PC 사용자, 특히 노트북 사용자에게도 유용한 보안 수단이다. 누군가 PC를 손에 넣는 경우에도 데이터를 보호할 수 있기 때문이다.

비트로커 정식 버전은 마이크로소프트 계정에 로그인하지 않아도 암호화를 사용할 수 있으며, 복구 키를 원하는 방식으로 저장할 수 있도록 지원한다. 또한 더 다양한 종류의 PC에서 비트로커를 사용할 수 있다. 이들 기능은 윈도우 11 홈 PC의 비트로커에서는 제공하지 않는다.

비트로커 드라이브 암호화 vs. 윈도우 장치 암호화

이미 몇 차례 언급했지만, 비트로커에는 기본적으로 2가지 버전이 있다. 여기서 중점적으로 다루는 것은 비트로커 드라이브 암호화(BitLocker Drive Encryption)다. 윈도우 11 프로페셔널 버전으로 업그레이드해야 하는 주요 이유 중 하나로 꼽힌다.

또 다른 버전으로 윈도우 장치 암호화(Windows Device Encryption)가 있다. 비트로커와 동일한 기술을 많이 사용하지만, 특정 조건에서는 더 단순화된 방식으로 PC의 저장 장치를 암호화한다.

윈도우 장치 암호화는 사용자에게 완전히 투명하게 작동하도록 설계됐다. 최신 윈도우 11 PC를 사용하고 마이크로소프트 계정으로 로그인하면, 윈도우 11은 자동으로 장치 암호화를 활성화해 PC의 내부 저장 장치를 보호하고 복구 키를 마이크로소프트 계정에 업로드한다.

PC의 스토리지는 비트로커로 보호되며, 사용자가 로그인할 때마다 자동으로 잠금이 해제된다. 만약 PC에 로그인할 수 없거나 파일에 접근하지 못하게 된 경우 마이크로소프트 계정에 접속해 복구 키를 받아 접근을 복구할 수 있다. 회사에서 관리하는 PC라면 복구 키를 회사에서 관리한다.

반면 비트로커 드라이브 암호화는 더 강력하고 유연하다. 마이크로소프트 계정에 로그인하지 않고도 PC의 스토리지를 암호화할 수 있으며, 복구 키를 마이크로소프트 계정에 저장할 필요도 없다. 복구 키를 출력해 사무실에 보관하거나, PC 저장 장치 외부로 키를 내보내지 않고도 안전하게 관리할 수 있다. 또한 비트로커 투 고(BitLocker To Go)라는 기능을 사용해 USB 드라이브와 같은 이동식 드라이브도 암호화할 수 있다. 이 외에도 암호화 방식을 사용자 설정에 맞게 세부적으로 조정할 수 있는 다양한 추가 옵션을 제공한다.

일반 사용자라면 윈도우 11 홈 PC에서 제공하는 장치 암호화가 매우 유용하다. 마이크로소프트 계정과 복구 키 업로드 요구 사항 덕분에 실수로 PC 파일에 대한 접근 권한을 잃을 위험도 줄어든다. 설령 복구 키를 분실하더라도 마이크로소프트 계정을 통해 온라인에서 언제든지 복구 키에 접근할 수 있다.

윈도우 장치 암호화의 한계

여기서 주의할 점은 일부 오래된 윈도우 11 PC는 장치 암호화를 지원하지 않을 수 있다는 것이다. 장치 암호화를 기본적으로 사용할 수 있도록 설정하는 것은 제조업체의 결정에 달려 있다. 사용 중인 윈도우 11 PC가 장치 암호화를 지원하는지 확인하는 방법은 다음과 같다.

1. 설정 앱을 연다.
2. 왼쪽 패널에서 ‘개인 정보 및 보안’을 선택한다.
3. ‘보안’ 항목에 ‘장치 암호화’ 섹션이 있는지 확인한다.

Chris Hoffman / Foundry

만약 이 옵션이 표시되지 않는다면, 사용 중인 PC는 장치 암호화를 지원하지 않는 것이다. 이 경우 장치 암호화를 사용하려면 윈도우 11 프로페셔널로 업그레이드해 비트로커의 전체 기능을 활성화해야 한다.

비트로커 사용 요건

윈도우 11에서 가장 강력하고 유연한 비트로커 기능을 활용하려면 윈도우 11 프로페셔널 또는 엔터프라이즈, 교육, 워크스테이션과 같은 비소비자용 에디션이 필요하다. 홈 에디션에서는 비트로커 기능이 제한적으로 제공된다.

최적의 보안을 위해 비트로커는 TPM 1.2 이상의 하드웨어가 필요하다. (비트로커는 복호화 키를 TPM에 저장한다.) 다행히 윈도우 11의 주요 시스템 요건 중 하나가 TPM 2.0이므로, 모든 윈도우 11 PC는 이를 지원한다.

마이크로소프트는 몇 가지 추가적인 요건도 명시하고 있다. 예를 들어, 하드 디스크가 두 개의 파티션으로 나뉘어 있어야 하며, 이 중 하나는 드라이브를 복호화하기 전에 윈도우를 부팅하는 데 소형 시스템 파티션이어야 한다. 하지만 이런 파티션은 윈도우 11 설치 시 자동 생성되므로 사용자는 별도로 신경 쓸 필요는 없다.

Chris Hoffman / Foundry

윈도우 11 홈 에디션 사용자로서 비트로커의 모든 기능을 활용하고 싶다면, OS를 재설치하지 않고도 윈도우 11 프로로 업그레이드하는 방법에 대한 가이드를 참조하라.

비트로커 사용 전 알아야 할 사항

비트로커는 데이터 복구 과정을 약간 복잡하게 만들 수 있다. PC가 고장 나서 저장 장치를 다른 PC에 연결해 데이터를 복구하려고 해도, 비트로커 복구 키를 제공하기 전까지는 파일을 볼 수 없다. 장치 암호화를 사용하는 경우 복구 키는 마이크로소프트 계정에 온라인으로 저장되며, 드라이브 암호화를 사용하는 경우 사용자가 선택한 위치에 저장된다.

이런 보안 방식은 도둑이 사용자의 파일에 접근하지 못하도록 하는 이유이기도 하다. 복구 키 없이는 누구도 파일에 접근할 수 없다.

비트로커 복구 키는 매우 중요하다. 비트로커 드라이브 암호화를 사용해 파일을 저장하고 나중에 PC에 문제가 발생해 복구 키가 필요해졌다고 가정해 보자. 이 키를 잃어버렸다면, 해당 파일은 복구할 수 없다. 복구 키가 없다면 파일의 백업이 있어야 데이터를 되찾을 수 있다.

비트로커는 PC의 저장 성능을 약간 저하시킬 수도 있다. 인터넷에서 “비트로커가 SSD 성능을 최대 45%까지 저하시킨다”라는 주장을 볼 수 있지만, 이는 특정 PC 구성에서 특정 합성 벤치마크를 통해 측정된 결과일 뿐이다. 실제 성능 저하 정도는 PC의 하드웨어, 저장 장치의 작업 부하, 그리고 비트로커 설정에 따라 달라진다.

만약 집에서 데스크톱 게이밍 PC나 고성능 워크스테이션을 사용하고 있고 파일 도난보다 최대 성능을 더 중요시한다면 비트로커를 비활성화하는 것이 나을 수 있다. 그러나 업무용 또는 개인용으로 노트북을 사용한다면 노트북 분실/도난 시 민감한 파일을 보호하기 위해 약간의 성능 저하를 감수하는 것이 합리적이다. 최신 노트북은 매우 빠르기 때문에 비트로커를 활성화해도 성능 차이를 거의 느끼지 못할 것이다.

윈도우 11 PC에서 비트로커 설정하기

윈도우 11 PC에서 비트로커 드라이브 암호화를 활성화하려면 먼저 윈도우 11 프로페셔널로 업그레이드해야 한다. 업그레이드가 완료되면, 클래식 제어판을 열고 ‘BitLocker’를 검색해 ‘BitLocker 드라이브 암호화’ 설정을 찾을 수 있다. 여기서 각 드라이브에 대해 비트로커를 활성화하거나 비활성화할 수 있다.

Chris Hoffman / Foundry

정치 암호화를 사용하고 싶다면, 설정 > 개인 정보 및 보안 > 장치 암호화로 이동해 설정을 확인할 수 있다. 만약 이 페이지에서 디바이스 암호화 옵션이 보이지 않는다면, 사용 중인 PC는 디바이스 암호화를 지원하지 않는 것이다.

Chris Hoffman / Foundry

마이크로소프트 계정으로 로그인한 경우 장치 암호화는 기본적으로 활성화되어 있어야 한다. 이 설정이 제대로 되어 있는지 확인하려면 해당 설정 페이지를 방문해 장치 암호화가 활성 상태인지 확인하고, 로컬 사용자 계정이 아닌 마이크로소프트 계정으로 윈도우에 로그인해야 한다.

비트로커 사용 시 유의해야 할 점

비트로커를 사용할 때 가장 중요한 것은 안전한 복구 키 관리다. 복구 키를 분실하면 PC에 저장된 모든 파일에 접근할 수 없게 되므로 특별한 이유가 없다면 복구 키를 마이크로소프트 계정에 온라인으로 저장하는 것이 가장 안전하다.

마이크로소프트 계정에 복구 키를 저장하지 않기로 했다면 다른 안전한 장소에 보관해야 한다. 예를 들어, 복구 키를 종이에 출력해 물리적인 금고에 보관하는 것도 좋은 방법이다. 또한 클라우드나 로컬 저장 장치를 이용해 파일의 최신 백업을 유지하는 것도 추천한다.
dl-itworldkorea@foundryco.com