데이터의 보안과 파일의 암호화
기존 자료 백업 2010. 2. 3. 08:00 |이곳은 백업 블로그 입니다. 현재 캐플이 활동 중인 블로그는 CAppleBlog.co.kr 입니다. 최신 정보들은 새로운 블로그에서 확인해 보세요. ^^
- 이곳은 기존 블로그들의 글을 한군데로 모아 놓은 백업 블로그입니다.
- 현재 링크는 대부분 올바르지 않으며 이러한 링크들은 모두 cappleblog.co.kr 로 이동합니다. (※ 링크 주의)
- 블로그와 커뮤니티는 서로 다른 공간입니다.(로그인을 따로 해야합니다.)
- 저는 윈티티(WinTT)이자 신비(ShinB)이며 캐플(CApple)입니다. 편한대로 불러주세요.
데이터의 보안이 중요시되는 시대
데이터 보안이란 최근에서야 대두되기 시작한 새로운 주제는 아닙니다. 이미 기업과 같은 곳에서는 데이터의 보안을 위해 관련 솔루션이나 여러가지 보안 정책을 통해 철저하게 관리를 하고 있습니다. 이는 데이터가 곧 자산이며 실수 또는 고의로 유출되는 경우 회사에 막대한 손해를 입히기 때문입니다. 그렇기 때문에 진작부터 데이터의 보안이 얼마나 중요한지 인식이 잘 되어 있고 따로 이를 관리하는 보안 전문 팀을 꾸리기도 하며 사원들에게도 철저하게 보안 교육을 시키기도 합니다.
하지만 회사의 영역에서 개인의 영역으로 넘어오면 이러한 데이터의 보안에 대한 인식은 처참할 지경이 되어 버립니다. 아직까지도 데이터 보안은 대부분의 일반인들에게 무지의 영역이며 무관심의 영역으로 남아 있습니다. 이렇듯 개인 유저의 경우 일종의 데이터 보안의 사각지대라고 할 수 있었습니다. 아니 정확하게 말하자면 예전부터 많은 전문가와 파워 유저들이 데이터의 보안에 대해 많은 글들을 작성하고 관련 프로그램들을 소개하고 때론 가이드를 제공해가며 그 중요성을 피력하였지만 단지 그동안 일반인들에겐 씨알이 안 먹혔을 뿐 입니다.
노트북 잃어버리고 자료 털려봐야~
하아~~~ 이래서 암호를 1234 로 하지 말라고 하는 거구나~~ 할끼야~
하지만 시대가 변하여 인터넷이 광속을 달리고 노트북과 USB 메모리, 외장 디스크와 같은 이동형 기기의 보급이 확대 되면서 슬슬 개인 유저들도 데이터의 보안에 대해서 신경을 쓰기 시작하고 있습니다. 유명인들의 개인 자료가 유출 되어 곤란한 상황을 겪는 경우를 심심치 않게 목격하게 되었고 이동형 기기의 보급 확대와 맞물려 이러한 기기를 도난 당하거나 유실하는 경우도 많이 접함으로써 이러한 기기에 저장 되어 있는 자신의 데이터도 혹시 유출 되지 않을까 하는 걱정이 당장 자신에게도 현실이 되었기 때문이죠.
이놈이 데이터 보안에 대해 일말의 관심이라도 있었다면 지금도 이미지 관리하면서 쿵떡대며 잘 살고 있었을 지 모른다. 그러나 그는 깔끔하게 털렸다. 그는 단지 여타의 사람들과 마찬가지로 데이터의 보안에 무지했을 뿐이지만 그 무지는 그를 잘생긴 배우에서 들판을 내달리는 한 마리 야색마로 전락시켜 버리는 후폭풍을 가져왔다. 더 큰 문제는 자기 혼자 추락했으면 상관없지만 많은 여자 배우들까지 함께 보듬어 안고 동반 추락하는 결과를 가져왔다는 것이다. 이렇듯 단 한 번의 데이터 유출이 누군가의 인생을 송두리채 흔들어 버리는 사건이 될 수도 있다.
이렇듯 데이터 보안은 더이상 기업과 같은 곳에서만 취급하는 먼 곳의 비현실적인 이야기가 아닌 당장 자기 자신부터 챙겨야하는 아주 현실적인 이야기가 되었습니다. 하지만 아직까지도 일반인들에게 데이터 보안이란 굉장히 먼 이야기처럼 들리는 게 사실입니다. 굉장히 어렵고도 복잡할 것이라는 막연한 두려움 때문이지요. 하지만 데이터 보안은 그렇게 어렵거나 복잡한 분야가 아닙니다. 집의 안전을 위해 자물쇠를 달고 열쇠를 사용하는 것처럼 여러분의 데이터에 그저 자물쇠를 하나 달고 열쇠를 가지고 사용하는 것 뿐 입니다.
데이터 보안의 두 가지 방식
데이터를 타인이 열어볼 수 없게 만드는 프로그램은 매우 많은 종류가 있지만 거의 대다수의 프로그램이 선택하는 방식은 두 가지로 압축할 수 있습니다. 하나는 데이터로 접근하는 길목을 가로 막고 데이터에 접근할 수 있는 암호를(키를) "가지고 있거나" "알고 있는" 사용자만 데이터에 접근할 수 있도록 하는 방식이며 다른 하나는 아예 데이터 자체를 암호화하여 이 암호를 해독할 수 있는 키를 "가지고 있거나" "알고 있는" 사람만 읽을 수 있도록 만드는 것 입니다. 서로 다른 방식을 취하고 있지만 같은 것은 두 방식 모두 암호라는 열쇠를 통해 데이터를 보호한다는 것 입니다. 그리하여 이 열쇠(키)를 가지고 있지 않거나 알지 못하는 사용자는 해당 데이터에 접근하지 못하게 또는 접근할 수 있어도 알 수 없게 만드는 것 입니다. 두 방식에는 모두 장단점이 있기 때문에 어느 한 방식만을 사용하는 것이 아니라 둘을 함께 사용하는 것이 보통입니다.
다른 사람이 접근할 수 없게 - 사용자 계정과 비밀 번호
윈도우 계정이나 바이오스에 비밀 번호를 설정하여 사용하는 것은 데이터로 가는 길목을 차단하는 전자의 방식이라고 할 수 있습니다. 즉, 집이라면 대문이나 현관문 정도가 되는 것이죠.
들어올 수 있으면 들어와 봐!
이러한 방식은 컴퓨터 본체에 직접 접근할 수 없는 내부의 물리적인 사용자나 네트워크를 통해 침입하는 악의적인 사용자로부터 데이터를 지키는 데에 효과적이라고 할 수 있습니다.
이런 악의적인 사용자가 친히 방문해도 로그온 암호를 모른다면 데이터에 접근할 수 없다.
우리 주변엔 언제나 이런 놈들이 득실거리고 있다. 윈도우 계정을 암호없이 사용한다는 것은 특히나 네트워크에 연결한다는 것은 이런 놈들이 내 컴퓨터에 방문했을 때 마음껏 자료를 가져가라는 것과 마찬가지이다.
이러한 방식의 경우 안에 담긴 데이터는 변조되지 않은 원본 상태이기 때문에 데이터를 읽기 위한 추가적인 과정이 필요치 않아 속도가 저하되거나 하는 문제가 발생하지 않습니다. 하지만 이 방식의 가장 큰 문제점이라면 역시나 데이터 자체는 암호화 되어있지 않기 때문에 정상적인 과정을 거치지 않고 우회하여 데이터에 접근한다면 답이 없다는 것 입니다. 대표적인 예로 악의적인 사용자가 큰 맘 먹고 집에 직접 침입하여 컴퓨터나 저장 장치 자체를 들고 튄다면 답이 없다는 것이죠. 서류를 금고에 안전하게 보관했다고 할 지라도 직접와서 금고 자체를 들고 튀면 무슨 답이 있을까요?
이러한 문제가 발생한 경우 악의적인 사용자는 굳이 계정을 해킹하는 복잡한 과정을 거칠 필요없이 하드 디스크를 떼어내어 다른 컴퓨터에 연결해 버림으로써 데이터에 직접 접근할 수 있게 됩니다. 이러한 문제점을 보완하는 방식이 바로 데이터 자체를 암호화하여 이러한 데이터의 물리적 도난에 대비하는 것 입니다.
다른 사람이 읽을 수 없게 - 데이터 암호화와 복원 키
윈도우에서 지원하는 EFS 나 BitLocker 또는 TrueCrypt 와 같은 프로그램은 데이터 자체를 암호화하는 후자의 방식이라고 할 수 있습니다. 데이터 자체가 암호화 되어 변조 되어 있기 때문에 암호를 풀 수 있는 키를 소유하지 못하거나 알지 못하는 사용자는 절대 해당 데이터를 다시 원본의 상태로 되돌릴 수 없고 이로써 데이터를 가지고 있지만 절대 그 내용을 알 수는 없게 만드는 것 입니다.
줄리어스 시저(카이사르, 케사르)는 가족이나 친지들에게 서신을 보낼 때 시저 암호라는 단순하지만 고전적인 치환형 암호 방식을 사용하였다. 이러한 암호를 해독하는 키를 모르는 다른 사람은 시저의 글을 보고도 그 내용을 알 수 없었다. 즉, 물리적인 데이터는 가질 수는 있었지만 그 데이터의 내용까지는 확인할 수 없었던 것이다.
이러한 데이터 자체의 암호화 방식은 데이터 자체를 변조하기 때문에 데이터를 물리적으로 갈취하더라도 이를 복호화할 수 있는 키를 소유하지 못하거나 알지 못할 경우 절대 해당 데이터의 내용을 확인할 수 없습니다. 즉, 데이터를 물리적으로 도난 당하더라도 데이터의 내용이 유출될 위험이 없어진다는 것 입니다.
읽을 수 있으면 읽어봐!
하지만 처음 데이터를 암호화하기 위해 데이터를 변조하는 과정을 거쳐야하기 때문에 적용하는데에 다소의 시간이 걸리며 추후에 데이터를 사용하기 위해선 변조된 데이터를 해독하는 과정을 반드시 거쳐야하기 때문에 데이터를 읽고 사용하는 속도가 느려질 수 밖에 없다는 단점이 존재합니다.
이러한 데이터의 암호화에는 개별적인 파일이나 폴더에 암호화를 적용하는 방식과 데이터를 저장하는 디스크나 드라이브 전체를 통채로 암호화하는 방식으로 나눌 수 있습니다. EFS 암호화가 전자의 방식이라면 BitLocker 와 TrueCrypt 가 후자의 방식이라고 할 수 있습니다.
EFS 와 BitLocker 의 차이점
이번 주제 포스팅에서 알아볼 BitLocker 를 논하기 이전에 EFS(파일 시스템 암호화) 를 논하지 않을 수 없습니다. 앞에서도 말했다시피 EFS 는 개별적인 파일과 폴더를 암호화하는 기능입니다. 이러한 EFS 의 특징이라면 파일을 암호화하는 데에 사용자 계정에 따라 파일을 암호화 한다는 것 입니다. 즉, 사용자 계정에 따라 별도로 파일들을 암호화 할 수 있고 악의적인 다른 사용자는 물론 동일한 컴퓨터를 사용하는 다른 계정의 사용자로부터도 데이터를 보호를 할 수 있습니다. 하지만 암호화 키가 윈도우에 저장되기 때문에 사용자 계정의 비밀 번호가 뚫리면 답이 없습니다. 즉, EFS 는 사용자 계정의 보안과 밀접한 관련이 있는 암호화 기능 입니다.
반면 BitLocker 는 컴퓨터나 저장 장치를 도난당하거나 인증되지 않은 사용자가 컴퓨터 또는 저장 장치에 엑세스하려는 경우에 대비하여 윈도우가 설치된 드라이브 및 데이터 드라이브, 이동식 저장 장치를 통채로 암호화하는 기능입니다. 사용자 계정과는 무관하게 작동하기 때문에 계정 별로 암호화 한다거나 하는 따위의 기능은 없습니다. 또한 BitLocker 의 암호화 키는 TPM 칩이나 USB 메모리와 같은 외부에 저장되고 관리되기 때문에 윈도우의 사용자 계정과는 상관이 없습니다. 즉, BitLocker 는 사용자 계정과는 무관한 기능 입니다. EFS 가 사용자 계정과 밀접한 관련이 있다면 BitLocker 는 사용자 계정과 아무런 상관이 없습니다.
또한 EFS 는 NTFS 파일 시스템에서만 사용할 수 있는 반면 BitLocker 는 FAT 파일 시스템에서도 사용할 수 있다는 것도 다른 점 입니다.
이렇듯 EFS 와 BitLocker 는 서로의 성질이 다르기 때문에 상황에 맞게 적용을 달리하거나 함께 사용하여 보안을 보다 강하게 할 수 있습니다. 이러한 BitLocker 드라이브 암호화와 EFS 파일 시스템 암호화의 차이점이 윈도우 도움말에 아주 잘 설명이 되어 있습니다. 아래는 윈도우 도움말에서 발췌한 내용입니다.
BitLocker 드라이브 암호화와 EFS(파일 시스템 암호화) 간에는 몇 가지 차이점이 있습니다. BitLocker는 컴퓨터를 도난당하거나 인증되지 않은 사용자가 컴퓨터에 액세스하려는 경우 Windows가 설치된 드라이브(운영 체제 드라이브)의 모든 개인 및 시스템 파일을 보호하도록 만들어졌습니다. BitLocker를 사용하여 내부 하드 드라이브와 같은 고정 데이터 드라이브의 모든 파일을 암호화하고 BitLocker To Go를 사용하여 외부 하드 드라이브 또는 USB 플래시 드라이브와 같은 이동식 데이터 드라이브의 파일을 암호화할 수도 있습니다. EFS는 사용자 단위 드라이브에서 개별 파일을 보호하는 데 사용됩니다. 다음 표에서는 BitLocker와 EFS 간의 기본 차이를 보여 줍니다.
|
BitLocker |
EFS(파일 시스템 암호화) |
|---|---|
|
BitLocker는 운영 체제 드라이브, 고정 데이터 드라이브 및 이동식 데이터 드라이브의 모든 개인 파일과 시스템 파일을 암호화합니다. |
EFS는 개인 파일과 폴더를 개별적으로 암호화하지만 드라이브의 전체 내용은 암호화하지 않습니다. |
|
BitLocker은 파일과 관련된 개별 사용자 계정과 상관이 없습니다. BitLocker는 모든 사용자나 그룹에 대해 설정되거나 해제됩니다. |
EFS는 파일과 관련된 사용자 계정에 따라 파일을 암호화합니다. 컴퓨터에 여러 사용자나 그룹이 있다면 각 사용자나 그룹이 고유한 파일을 별도로 암호화할 수 있습니다. |
|
BitLocker는 여러 컴퓨터에서 고급 보안 기능을 지원하는 특수 마이크로칩인 TPM(신뢰할 수 있는 플랫폼 모듈)을 사용하여 운영 체제 드라이브를 암호화합니다. |
EFS는 특별한 하드웨어를 필요로 하거나 사용하지 않습니다. |
|
Windows가 설치된 드라이브 및 고정 데이터 드라이브에서 BitLocker를 설정하거나 해제하려면 관리자여야 합니다. |
EFS는 관리자가 아니더라도 사용할 수 있습니다. |
BitLocker 드라이브 암호화와 EFS를 함께 사용하여 양쪽 기능 모두를 통해 보호를 받을 수 있습니다. EFS를 사용하면 컴퓨터의 운영 체제에 암호화 키가 저장됩니다. EFS와 함께 사용된 키가 암호화된 경우에도 해커가 운영 체제 드라이브에 액세스할 수 있으면 해당 보안 수준이 손상될 수 있습니다. BitLocker를 사용하여 운영 체제 드라이브를 암호화하면 다른 컴퓨터에 설치된 경우에 운영 체제 드라이브를 부팅하거나 액세스할 수 없도록 방지하여 이러한 키를 보호할 수 있습니다.
그럼 이러한 다양한 데이터 암호화 기능 및 프로그램들 중 다음 글부터는 본격적으로 윈도우 7 의 기본 드라이브 암호화 기능인 BitLocker 기능을 알아보도록 하겠습니다. 이 글은 여기까지 입니다. ^ㅡ^*
BitLocker 의 활용
데이터의 보안과 파일의 암호화BitLocker 드라이브 암호화와 TPM 하드웨어 보안 기술
BitLocker 드라이브 암호화와 시스템 예약 파티션
윈도우 드라이브에 BitLocker 설정하기
윈도우 드라이브의 BitLocker 관리하기
데이터 & 이동식 드라이브에 BitLocker To Go 설정하기
데이터 & 이동식 드라이브의 BitLocker To Go 관리하기
다른 컴퓨터에서 BitLocker 로 암호화된 드라이브의 잠금 해제하기
이전 버전의 윈도우에서 BitLocker To Go 로 암호화된 이동식 드라이브의 엑세스에 대하여
BitLocker 드라이브 암호화를 좀 더 강력하게