BitLocker 개요

BitLocker는 데이터 도난 또는 분실, 도난 또는 부적절하게 서비스 해제된 디바이스의 노출 위협을 해결하는 전체 볼륨에 대한 암호화를 제공하는 Windows 보안 기능입니다.

유용한 팁

분실하거나 도난당한 디바이스의 데이터는 소프트웨어 공격 도구를 실행하거나 디바이스의 하드 드라이브를 다른 디바이스로 전송하여 무단 액세스에 취약합니다. BitLocker는 파일 및 시스템 보호를 강화하고 BitLocker로 보호되는 디바이스가 서비스 해제되거나 재활용될 때 데이터에 액세스할 수 없으므로 무단 데이터 액세스를 완화하는 데 도움이 됩니다.

BitLocker 및 TPM

BitLocker는 Windows 디바이스에 설치된 일반적인 하드웨어 구성 요소인 TPM(신뢰할 수 있는 플랫폼 모듈)과 함께 사용할 때 최대 보호를 제공합니다. TPM은 BitLocker와 함께 작동하여 시스템이 오프라인 상태인 동안 디바이스가 변조되지 않았는지 확인합니다.

TPM 외에도 BitLocker는 사용자가 PIN(개인 식별 번호)을 제공하거나 시작 키가 포함된 이동식 디바이스를 삽입할 때까지 일반 시작 프로세스를 잠글 수 있습니다. 이러한 보안 조치는 다단계 인증을 제공하고 디바이스가 올바른 PIN 또는 시작 키가 표시될 때까지 최대 절전 모드에서 시작하거나 다시 시작할 수 없음을 보장합니다.

TPM이 없는 디바이스에서는 BitLocker를 사용하여 운영 체제 드라이브를 암호화할 수 있습니다. 이 구현을 수행하려면 사용자가 다음 중 하나를 수행해야 합니다.

  • 디바이스를 시작하는 데 사용되는 이동식 드라이브에 저장된 파일인 시작 키를 사용하거나 최대 절전 모드에서 다시 시작할 때
  • 암호를 사용합니다. 암호 잠금 논리가 없으므로 무차별 암호 대입 공격의 대상이기 때문에 이 옵션은 안전하지 않습니다. 따라서 암호 옵션은 기본적으로 권장되지 않으며 사용하지 않도록 설정됩니다.

두 옵션 모두 BitLocker에서 제공하는 Preboot 시스템 무결성 확인을 TPM과 함께 제공하지 않습니다.

시작 키가 있는 BitLocker 미리 부팅 화면:

PIN이 있는 BitLocker 프리부트 화면:

암호가 있는 BitLocker 프리부트 화면:

시작 키를 입력하라는 BitLocker 미리 부팅 화면의 스크린샷.

PIN을 입력하라는 BitLocker 프리부트 화면의 스크린샷.

암호를 입력하라는 BitLocker 미리 부팅 화면의 스크린샷.

시스템 요구 사항

BitLocker에는 다음과 같은 요구 사항이 있습니다.

  • BitLocker가 TPM에서 제공하는 시스템 무결성 검사 사용하려면 디바이스에 TPM 1.2 이상 버전이 있어야 합니다. 디바이스에 TPM이 없는 경우 BitLocker를 사용하도록 설정할 때 이동식 드라이브에 시작 키를 저장해야 합니다.

  • TPM이 있는 디바이스에는 TCG( 신뢰할 수 있는 컴퓨팅 그룹 ) 규격 BIOS 또는 UEFI 펌웨어도 있어야 합니다. BIOS 또는 UEFI 펌웨어는 프리부트 시작에 대한 신뢰 체인을 설정하고 TCG 지정 정적 신뢰 루트 측정에 대한 지원을 포함해야 합니다. TPM이 없는 컴퓨터에는 TCG 규격 펌웨어가 필요하지 않습니다.

  • 시스템 BIOS 또는 UEFI 펌웨어(TPM 및 TPM이 아닌 디바이스의 경우)는 USB 대용량 스토리지 디바이스 클래스를 지원하고 프리부트 환경의 USB 드라이브에서 파일을 읽어야 합니다.

    참고

    TPM 2.0은 BIOS의 레거시CSM(호환성 지원 모듈) 모드에서 지원되지 않습니다. TPM 2.0이 있는 장치는 BIOS 모드가 기본 UEFI로만 구성되어 있어야 합니다. 레거시 및 CSM 옵션은 비활성화해야 합니다. 보안을 강화하려면 보안 부팅 기능을 사용하도록 설정합니다.

    레거시 모드의 하드웨어에 설치된 운영 체제는 BIOS 모드가 UEFI로 변경될 때 OS 부팅을 중지합니다. UEFI를 지원하기 위해 OS 및 디스크를 준비하는 BIOS 모드를 변경하기 전에 도구를 mbr2gpt.exe 사용합니다.

  • 하드 디스크는 최소 두 개 이상의 드라이브로 파티션을 나누어야 합니다.

    • 운영 체제 드라이브(또는 부팅 드라이브)에는 OS 및 해당 지원 파일이 포함됩니다. NTFS 파일 시스템으로 포맷해야 합니다.

    • 시스템 드라이브에는 운영 체제를 부팅, 암호 해독 및 로드하는 데 필요한 파일이 포함되어 있습니다. BitLocker는 이 드라이브에서 사용할 수 없습니다. BitLocker가 작동하려면 시스템 드라이브:

      • 암호화해서는 안 됩니다.
      • 운영 체제 드라이브와 달라야 합니다.
      • UEFI 기반 펌웨어를 사용하는 컴퓨터의 FAT32 파일 시스템 또는 BIOS 펌웨어를 사용하는 컴퓨터의 NTFS 파일 시스템으로 포맷해야 합니다.
      • 크기가 약 350MB인 것이 좋습니다. BitLocker가 켜져 있으면 약 250MB의 여유 공간이 있어야 합니다.

      중요

      새 디바이스에 설치되면 Windows는 BitLocker에 필요한 파티션을 자동으로 만듭니다.

      드라이브가 단일 연속 공간으로 준비된 경우 BitLocker는 부팅 파일을 저장할 새 볼륨이 필요합니다. BdeHdCfg.exe 볼륨을 만들 수 있습니다. 도구 사용에 대한 자세한 내용은 Command-Line 참조에서 Bdehdcfg 를 참조하세요.

참고

서버에 BitLocker 선택적 구성 요소를 설치할 때 고급 스토리지 기능을 설치해야 합니다. 이 기능은 하드웨어 암호화 드라이브를 지원하는 데 사용됩니다.

Windows 버전 및 라이선싱 요구 사항

다음 표에는 BitLocker 기능을 지원하는 Windows 버전이 나열되어 있습니다.

Windows Pro Windows Enterprise Windows Pro Education/SE Windows Education

BitLocker 기능 라이선스 자격은 다음 라이선스로 부여됩니다.

Windows Pro/Pro Education/SE Windows Enterprise E3 Windows Enterprise E5 Windows Education A3 Windows Education A5

Windows 라이선싱에 대한 자세한 내용은 Windows 라이선싱 개요를 참조하세요.

참고

BitLocker 사용 설정에 대한 라이선스 요구 사항은 BitLocker 관리에 대한 라이선스 요구 사항과 다릅니다. 자세한 내용은 방법 가이드 BitLocker 구성을 검토하세요.

디바이스 암호화

디바이스 암호화 는 일부 디바이스에서 BitLocker 암호화를 자동으로 사용하도록 설정하는 간단한 방법을 제공하는 Windows 기능입니다. 디바이스 암호화는 모든 Windows 버전에서 사용할 수 있으며 디바이스가 최신 대기 또는 HSTI 보안 요구 사항을 충족해야 합니다. 디바이스 암호화에는 DMA 액세스를 허용하는 외부에서 액세스할 수 있는 포트가 있을 수 없습니다.

중요

디바이스 암호화는 OS 드라이브 및 고정 드라이브만 암호화하며 외부/USB 드라이브를 암호화하지 않습니다.

표준 BitLocker 구현과 달리 디바이스 암호화는 디바이스가 항상 보호되도록 자동으로 활성화됩니다. Windows의 클린 설치가 완료되고 기본 제공 환경이 완료되면 디바이스가 처음 사용할 준비가 됩니다. 이 준비의 일환으로 디바이스 암호화는 OS 드라이브에서 초기화되고 표준 BitLocker 일시 중단 상태와 동일한 명확한 키를 사용하여 컴퓨터의 데이터 드라이브를 고정합니다. 이 상태에서 드라이브는 Windows Explorer 경고 아이콘과 함께 표시됩니다. 노란색 경고 아이콘은 TPM 보호기를 만들고 복구 키를 백업한 후에 제거됩니다.

  • 디바이스가 Microsoft Entra 조인되거나 Active Directory 도메인이 조인된 경우 복구 키가 AD DS(Microsoft Entra ID 또는 Active Directory Domain Services)에 성공적으로 백업되면 지우기 키가 제거됩니다. 복구 키를 백업하려면 다음 정책 설정을 사용하도록 설정해야 합니다. BitLocker로 보호되는 운영 체제 드라이브를 복구하는 방법 선택
    • Microsoft Entra 조인된 디바이스의 경우: 사용자가 Microsoft Entra ID 인증하면 복구 암호가 자동으로 만들어지고, 복구 키가 Microsoft Entra ID 백업되고, TPM 보호기가 생성되고, 지우기 키가 제거됩니다.
    • AD DS 조인 디바이스의 경우: 컴퓨터가 도메인에 가입하면 복구 암호가 자동으로 만들어집니다. 그런 다음 복구 키가 AD DS에 백업되고, TPM 보호기가 생성되고, 지우기 키가 제거됩니다.
  • 디바이스가 Microsoft Entra 가입되지 않았거나 Active Directory 도메인이 조인되지 않은 경우 디바이스에 대한 관리 권한이 있는 Microsoft 계정이 필요합니다. 관리자가 Microsoft 계정을 사용하여 로그인하면 일반 키가 제거되고 복구 키가 온라인 Microsoft 계정에 업로드되고 TPM 보호기가 만들어집니다. 디바이스에 복구 키가 필요한 경우 사용자는 대체 디바이스를 사용하고 복구 키 액세스 URL로 이동하여 Microsoft 계정 자격 증명을 사용하여 복구 키를 검색하도록 안내합니다.
  • 디바이스가 로컬 계정만 사용하는 경우 데이터가 암호화된 경우에도 보호되지 않은 상태로 유지됩니다.

중요

디바이스 암호화는 XTS-AES 128-bit 기본적으로 암호화 방법을 사용합니다. 다른 암호화 방법을 사용하도록 정책 설정을 구성하는 경우 등록 상태 페이지를 사용하여 디바이스가 기본 메서드로 암호화를 시작하지 않도록 방지할 수 있습니다. BitLocker에는 등록 상태 페이지 디바이스 구성 단계가 완료된 후 OOBE가 끝날 때까지 암호화를 시작하지 않는 논리가 있습니다. 이 논리는 디바이스가 암호화를 시작하기 전에 BitLocker 정책 설정을 받을 수 있는 충분한 시간을 제공합니다.

다른 암호화 방법 및/또는 암호화 강도가 필요하지만 디바이스가 이미 암호화된 경우 새 암호화 방법 및/또는 암호 강도를 적용하기 전에 먼저 암호를 해독해야 합니다. 디바이스의 암호를 해독한 후에는 다른 BitLocker 설정을 적용할 수 있습니다.

디바이스가 처음에 디바이스 암호화 자격을 갖추지 못했지만 디바이스가 자격을 갖추게 하는 변경(예: 보안 부팅 켜기)이 발생하는 경우 디바이스 암호화는 디바이스를 감지하는 즉시 자동으로 BitLocker를 사용하도록 설정합니다.

디바이스가 시스템 정보 앱(msinfo32.exe)에서 디바이스 암호화 요구 사항을 충족하는지 여부를 검사 수 있습니다. 디바이스가 요구 사항을 충족하는 경우 시스템 정보는 다음을 읽는 줄을 표시합니다.

항목
디바이스 암호화 지원 필수 구성 요소를 충족합니다.

BitLocker와 디바이스 암호화의 차이점

  • 디바이스 암호화는 디바이스 암호화 적격 디바이스에서 BitLocker를 자동으로 켜고 복구 키는 자동으로 Microsoft Entra ID, AD DS 또는 사용자의 Microsoft 계정에 백업됩니다.
  • 디바이스 암호화는 설정 앱에 디바이스 암호화 설정을 추가합니다. 이 설정은 디바이스 암호화를 켜거나 끄는 데 사용할 수 있습니다.
    • 설정 UI는 암호화가 완료될 때까지 사용하도록 설정된 디바이스 암호화를 표시하지 않습니다.

디바이스 암호화 패널을 보여 주는 설정 앱의 스크린샷

참고

디바이스 암호화가 꺼져 있으면 나중에 더 이상 자동으로 활성화되지 않습니다. 사용자가 설정에서 수동으로 사용하도록 설정해야 합니다.

디바이스 암호화 사용 안 함

디바이스 암호화를 지원하는 모든 시스템에 대해 디바이스 암호화를 켜두는 것이 좋습니다. 그러나 다음 레지스트리 설정을 변경하여 자동 디바이스 암호화 프로세스를 방지할 수 있습니다.

경로 이름 유형
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\BitLocker PreventDeviceEncryption REG_DWORD 0x1

디바이스 암호화에 대한 자세한 내용은 BitLocker 디바이스 암호화 하드웨어 요구 사항을 참조하세요.

다음 단계

BitLocker 암호화 키에 대한 공격으로부터 보호하는 기술 및 기능에 대해 알아봅니다.

BitLocker 대책 >