Windows에서 BitLocker 및 대안을 사용하여 폴더를 암호화하는 방법

PC에 저장된 데이터를 보호하는 것은 선택 사항이 아니라 필수입니다. Windows는 컴퓨터가 도난당했거나 다른 시스템에서 누군가 데이터에 접근하려고 시도하는 경우에도 데이터에 대한 무단 접근을 방지하기 위해 여러 단계의 보안을 제공합니다. 기본 제공 도구(예: BitLocker로 폴더 암호화)를 사용하면 다음과 같은 작업을 수행할 수 있습니다. 파일, 폴더, 전체 드라이브 및 외부 장치 암호화 몇 번만 클릭하면 됩니다.

이 가이드에서는 BitLocker 및 기타 대안을 사용하여 폴더를 암호화하는 데 필요한 모든 정보를 제공합니다. 필요한 Windows 버전, 컴퓨터에 TPM이 있는지 확인하는 방법, 개별 항목에 EFS를 사용하는 방법 등을 설명합니다. 복구 키를 생성하고 올바르게 저장하는 방법또한 TPM이 없는 경우 어떻게 해야 하는지, 어떤 알고리즘과 키 길이를 선택해야 하는지, 성능에 어떤 영향이 있을지, 암호로 보호된 컨테이너/ISO와 같은 것을 찾는 경우 어떤 옵션을 이용할 수 있는지에 대해서도 설명합니다.

Windows는 어떤 암호화 옵션을 제공하며, 각 옵션은 어떻게 다릅니까?

Windows에서는 세 가지 접근 방식이 공존합니다.

• 장치 암호화하드웨어가 특정 요구 사항을 충족하면 자동으로 보호 기능이 활성화되고, 처음 로그인하면 복구 키가 Microsoft 계정에 연결됩니다. 일반적으로 Windows Home에서도 사용할 수 있지만 모든 컴퓨터에서 사용할 수 있는 것은 아닙니다.
• BitLocker를, Pro, Enterprise, Education 에디션으로 제공되는 이 기능은 시스템 드라이브와 기타 내부 또는 외부 드라이브(BitLocker To Go)에 대한 전체 디스크 암호화 기능을 제공합니다. 이 기능의 주요 장점은 전체 볼륨을 종단 간(end-to-end)으로 보호한다는 것입니다.
• EFS(암호화 파일 시스템) 개별 파일과 폴더용으로 설계되었으며, 사용자 계정에 연결되어 암호화한 사람만 동일한 프로필에서 해당 파일을 열 수 있습니다. 소수의 민감한 문서에 이상적이지만, 포괄적인 보호 기능을 제공하는 BitLocker를 대체하지는 않습니다.

기기가 기기 암호화 및 TPM을 지원하는지 확인하는 방법

'장치 암호화' 호환성을 확인하려면 시작 메뉴에서 '시스템 정보'를 검색하고 마우스 오른쪽 버튼을 클릭한 후 '관리자 권한으로 실행'을 엽니다. '시스템 요약'에서 '장치 암호화 지원' 항목을 찾습니다. '필수 구성 요소 충족'이 표시되면 모든 설정이 완료된 것입니다. 다음과 같은 메시지가 표시되면 'TPM을 사용할 수 없습니다', 'WinRE가 구성되지 않았습니다' 또는 'PCR7 바인딩이 지원되지 않습니다'해당 사항을 수정해야 합니다(TPM/보안 부팅 활성화, WinRE 구성, 부팅 시 외부 도크 또는 그래픽 카드 분리 등).

TPM이 있는지 확인하려면 Windows 키 + X를 누르고 '장치 관리자'로 이동한 후 '보안 장치'에서 버전 1.2 이상의 '신뢰할 수 있는 플랫폼 모듈(TPM)'을 찾으세요. Windows 키 + R을 눌러 'tpm.msc'를 실행할 수도 있습니다. BitLocker는 TPM과 함께 사용하면 가장 잘 작동합니다.하지만 아래에서는 칩 없이도 활성화하는 방법을 알아볼 수 있습니다.

EFS(Windows Pro/Enterprise/Education)로 파일 및 폴더 암호화

특정 폴더나 몇 개의 파일만 보호하고 싶다면 EFS를 사용하면 빠르고 간편하게 보호할 수 있습니다. 항목을 마우스 오른쪽 버튼으로 클릭하고 '속성'으로 이동한 후 '고급'을 클릭합니다. '데이터 보호를 위해 내용을 암호화'를 선택하고 확인을 클릭합니다. 폴더를 암호화하면 변경 사항을 해당 폴더에만 적용할지, 아니면 하위 폴더와 파일에도 적용할지 묻는 메시지가 표시됩니다. 귀하의 필요에 가장 적합한 옵션을 선택하세요..

활성화되면 아이콘에 작은 자물쇠 모양이 표시됩니다. EFS는 현재 사용자를 암호화하므로 해당 파일을 다른 PC에 복사하거나 다른 계정에서 열려고 하면 읽을 수 없습니다. 임시 파일(예: Word나 Photoshop과 같은 앱에서 생성된 파일)을 사용할 때는 주의하세요. 루트 폴더가 암호화되지 않은 경우, 부스러기가 보호되지 않은 채로 남을 수 있습니다따라서 문서가 들어 있는 폴더 전체를 암호화하는 것이 좋습니다.

강력히 권장합니다: 암호화 인증서를 백업하세요. Windows에서 '지금 키를 백업하세요'라는 메시지가 표시됩니다. 인증서 내보내기 마법사의 안내에 따라 키를 USB 드라이브에 저장하고 강력한 비밀번호로 보호하세요. Windows를 다시 설치하거나 사용자를 전환한 후 키를 내보내지 않으면 액세스 권한을 잃을 수 있습니다..

복호화하려면 속성, 고급, '데이터를 보호하기 위해 콘텐츠 암호화' 체크 해제 그리고 적용됩니다. Windows 11에서의 동작은 동일하므로 단계별 프로세스도 동일합니다.

BitLocker를 사용하여 폴더 암호화(Windows Pro/Enterprise/Education)

BitLocker는 내부 또는 외부 볼륨 전체를 암호화합니다. 파일 탐색기에서 보호할 드라이브를 마우스 오른쪽 버튼으로 클릭하고 'BitLocker 켜기'를 선택하세요. 해당 옵션이 나타나지 않으면 사용 중인 Windows 버전에 BitLocker가 포함되어 있지 않은 것입니다. TPM 누락에 대한 경고가 표시되면 걱정하지 마세요. TPM 없이도 사용 가능합니다.바로 뒤에 설명드릴 정책 조정만 필요합니다.

도우미가 드라이브 잠금 해제 방법을 묻습니다. 비밀번호나 스마트 카드를 사용하세요. 엔트로피가 높은 비밀번호(대문자, 소문자, 숫자, 기호)를 사용하는 것이 가장 좋습니다. 그런 다음 복구 키를 저장할 위치를 선택하세요. Microsoft 계정, USB 드라이브, 파일 또는 인쇄 중 어디에 저장할지 선택하세요. Microsoft 계정에 저장 매우 실용적입니다(onedrive.live.com/recoverykey를 통해 접속 가능). 하지만 오프라인 사본을 추가로 제공하는 것이 좋습니다.

다음 단계에서는 사용된 공간만 암호화할지, 아니면 전체 드라이브를 암호화할지 결정합니다. 새 드라이브에는 첫 번째 옵션이 더 빠르지만, 이전에 사용했던 컴퓨터의 경우 삭제된 데이터 중 복구 가능한 데이터를 보호하기 위해 전체 드라이브를 암호화하는 것이 더 좋습니다. 보안이 강화되면 초기 투자 시간도 늘어납니다..

마지막으로 암호화 모드를 선택합니다. 최신 시스템의 경우 '새로 만들기'를 선택하고, 이전 버전의 Windows가 설치된 PC 간에 드라이브를 이동하는 경우 '호환'을 선택합니다. 'BitLocker 시스템 검증 실행' 그리고 계속됩니다. 시스템 드라이브인 경우 컴퓨터가 다시 시작되고 시작 시 BitLocker 암호를 묻습니다. 데이터 드라이브인 경우 백그라운드에서 암호화가 시작되어 작업을 계속할 수 있습니다.

마음이 바뀌면 Explorer에서 암호화된 드라이브를 마우스 오른쪽 버튼으로 클릭하고 'BitLocker 관리'로 가서 해당 컴퓨터에서 BitLocker를 비활성화하거나, 비밀번호를 변경하거나, 복구 키를 재생성하거나, 자동 잠금 해제를 활성화하세요. BitLocker는 적어도 하나의 인증 방법이 없으면 작동하지 않습니다..

TPM 없이 BitLocker 사용: 그룹 정책 및 시작 옵션

TPM이 없는 경우, 'gpedit.msc'(Windows + R)를 사용하여 로컬 그룹 정책 편집기를 열고 '컴퓨터 구성' > '관리 템플릿' > 'Windows 구성 요소' > 'BitLocker 드라이브 암호화' > '운영 체제 드라이브'로 이동합니다. '시작 시 추가 인증 필요'를 열고 '사용'으로 설정합니다. '호환되는 TPM 없이 BitLocker 허용' 옆의 확인란을 선택합니다. 변경 사항을 적용하고 'gpupdate /target:Computer /force'를 실행하세요. 강제로 적용하려고 합니다.

시스템 디스크에서 BitLocker 마법사를 시작하면 두 가지 방법이 제공됩니다. 'USB 플래시 드라이브 삽입'(.BEK 부팅 키가 저장되어 부팅 시마다 연결해야 함) 또는 '암호 입력'(부팅 전 PIN/암호)입니다. USB를 사용하는 경우 BIOS/UEFI 설정에서 부팅 순서를 변경하여 컴퓨터가 USB 드라이브에서 부팅되도록 하세요. 해당 USB 드라이브에서 부팅을 시도하지 마세요.과정이 진행되는 동안 모든 것이 완료될 때까지 USB 드라이브를 제거하지 마세요.

암호화하기 전에 BitLocker는 다음을 수행할 수 있습니다. '시스템 테스트' 시작 시 키에 액세스할 수 있는지 확인하세요. 부팅 메시지가 나타나면서 실패하는 경우, 부팅 순서와 보안 옵션(보안 부팅 등)을 확인하고 다시 시도하세요.

BitLocker To Go: USB 드라이브 및 외장 하드 드라이브 보호

외부 장치를 연결하고 파일 탐색기에서 드라이브를 마우스 오른쪽 버튼으로 클릭한 후 'BitLocker 켜기'를 선택하세요. 암호를 설정하고 복구 키를 저장하세요. '이 PC에서 다시 묻지 않음'을 선택하면 자동 잠금 해제가 활성화됩니다. 다른 PC에서는 접속 시 비밀번호를 요청합니다. 내용을 읽을 수 있기 전에.

매우 오래된 시스템(Windows XP/Vista)에서는 잠금 해제 기능이 기본적으로 지원되지 않지만, Microsoft는 FAT 포맷 드라이브에서 읽기 전용으로 사용할 수 있는 'BitLocker To Go Reader'를 출시했습니다. 이전 버전과의 호환성을 고려한다면 다음을 사용하는 것이 좋습니다. '호환' 암호화 모드 마법사에서.

암호화 알고리즘과 강도, 그리고 성능에 미치는 영향

기본적으로 BitLocker는 내부 드라이브에는 128비트 키의 XTS-AES를, 외부 드라이브에는 128비트 키의 AES-CBC를 사용합니다. 암호화를 256비트로 높이거나 설정에서 알고리즘을 조정할 수 있습니다. 'BitLocker 드라이브 암호화' > '암호화 방법 및 강도 선택…'. Windows 버전에 따라 드라이브 유형(부팅, 데이터, 이동식)별로 구분됩니다. XTS-AES가 권장됩니다 견고성과 성능을 위해.

최신 CPU(AES-NI)를 사용하는 경우 일반적으로 영향은 미미하지만, 특히 Windows 11 Pro를 사용하는 특정 SSD에서 하드웨어 암호화가 적용된 드라이브에 소프트웨어를 통해 BitLocker를 적용하면 성능이 저하되는 경우가 있습니다. 특정 모델(예: Samsung 990 Pro 4TB)의 임의 읽기 성능은 최대 45%까지 저하되는 것으로 측정되었습니다. 심각한 성능 저하가 발생하는 경우 다음을 수행할 수 있습니다. 1) BitLocker 비활성화 해당 볼륨에서 (보안을 희생하면서) 또는 2) SSD가 안정적이라면 다시 설치하고 SSD 자체의 하드웨어 암호화를 강제로 실행합니다(더 복잡한 과정이며 제조업체에 따라 다름).

암호화가 더 강력할수록(256비트) 부하가 약간 더 커지지만, 현재 장비에서는 그 차이가 일반적으로 관리 가능합니다. 안전을 우선시하다 민감하거나 규제되는 데이터를 다루는 경우.

복구 키: 저장 위치 및 사용 방법

BitLocker를 활성화할 때는 항상 복구 키를 생성하고 저장하세요. 사용 가능한 옵션: 'Microsoft 계정에 저장'(중앙 집중식 액세스), 'USB 플래시 드라이브에 저장', '파일에 저장' 또는 '키 인쇄'. 키는 비밀번호를 잊어버렸을 때 계정을 잠금 해제할 수 있는 48자리 코드입니다. BitLocker가 부팅 이상을 감지하는 경우 시스템 장치에.

여러 드라이브를 암호화하는 경우 각 키에는 고유 식별자가 있습니다. 키 파일 이름에는 일반적으로 BitLocker가 복구 중에 요청하는 GUID가 포함됩니다. Microsoft 계정에 저장된 키를 보려면 로그인한 상태에서 onedrive.live.com/recoverykey를 방문하세요. 동일한 암호화된 드라이브에 키를 저장하지 마세요. 오프라인 사본을 보관하세요.

BitLocker는 다음을 통합합니다. 관리 콘솔 여기서는 비밀번호 변경, 보안 조치(비밀번호, PIN+TPM, 스마트 카드) 추가 또는 제거, 복구 키 재생성, 더 이상 필요하지 않을 때 암호화 비활성화가 가능합니다.

암호로 보호된 ISO: Windows 11의 안정적인 대안

Windows는 기본 '암호로 보호된 ISO'를 제공하지 않습니다. 일부 유틸리티는 자체 형식(예: PowerISO의 '.DAA')으로 변환하는데, '.ISO' 파일을 보관해야 하는 경우에는 적합하지 않습니다. 대신 VeraCrypt로 암호화된 컨테이너 필요에 따라 마운트할 수 있습니다. 암호로 보호된 '가상 드라이브'로 작동하며 휴대가 간편합니다.

가볍고 공유하기 편한 파일을 원한다면 최신 압축 프로그램은 AES 암호화를 지원합니다. 7-Zip이나 WinRAR 같은 도구를 사용하여 암호로 보호된 '.zip' 또는 '.7z' 압축 파일을 만들고 파일 이름 암호화 옵션을 선택하세요. 외장 드라이브의 경우 Windows Pro에서는 BitLocker To Go를 권장하며, Home에서는 VeraCrypt는 그 목적을 완벽하게 달성합니다..

위의 모든 사항을 통해 EFS로 폴더를 암호화할지, BitLocker로 전체 드라이브를 암호화할지 또는 컨테이너를 생성할지 결정할 수 있습니다. VeraCrypt중요한 것은 자신의 Windows 버전과 하드웨어에 맞는 방법을 선택하고, 복구 키를 안전하게 보관하고, 우선순위에 따라 알고리즘/길이를 조정하는 것입니다. 이 세 가지 사항을 잘 지키면 삶을 복잡하게 만들지 않고도 데이터를 보호할 수 있습니다..