BitLocker 드라이브 암호화와 시스템 예약 파티션

BitLocker 와 BitLocker To Go(운영 체제 드라이브와 데이터 드라이브)

BitLocker 에 대해서 알아보기 이전에 반드시 개념을 잡고 가야 할 내용이 있습니다. 그것은 BitLocker 는 BitLocker 와 BitLocker To Go 라는 두 가지로 나뉜다는 것 입니다. 이 둘을 통틀어 BitLocker 드라이브 암호화라고 부르고 있습니다.

BitLocker 는 윈도우가 설치된 운영 체제 드라이브를(부팅 파티션을) 암호화하는 기능을 의미하며 BitLocker To Go 는 데이터 저장용 일반 고정 데이터 드라이브와 이동식 데이터 드라이브를 암호화하는 기능을 의미합니다.(엄밀히 말하자면 BitLocker To Go 는 이동식 데이터 드라이브에만 국한되지만 이해의 편의를 위해 제 글에선 그냥 데이터 드라이브라는 하나의 개념으로 묶었습니다.) 둘은 동일한 기능이지만 구성과 사용 조건 등에 약간의 차이가 있게 됩니다.

[BitLocker - 운영 체제 드라이브]

[BitLocker To Go - 고정 & 이동식 데이터 드라이브]

 



어떤 종류의 드라이브를 암호화하느냐에 따라 선결 조건과 설정 방법, 설정 후 복호화 과정이 미묘하게 다르기 때문에 글을 시작하기에 앞서 이 둘의 구별을 확실하게 인지하시길 바랍니다.

BitLocker 드라이브 암호화의 설정 조건

BitLocker 드라이브 암호화를 사용할 때 갖춰야 할 조건으로는 다음과 같은 것들이 있습니다. (윈도우 7 을 기준으로 합니다.)

공통 조건

1. BitLocker 를 설정하려는 윈도우 7 이 Ultimate 에디션 또는 Enterprise 에디션이어야 합니다.

운영 체제 드라이브(윈도우 드라이브, 부팅 파티션)을 암호화 할 때의 조건

1. 메인보드에 TPM 1.2 보안 칩이 내장 또는 장착되어 있어야 하며 바이오스에서 이를 지원해 주어야 합니다.
2. 또는 부팅시 바이오스에서 USB 장치(USB 메모리)를 인식하고 읽을 수 있어야 합니다.
3. 시스템 파티션과 부팅 파티션이 분리되어 있어야 합니다.

고정 & 이동식 데이터 드라이브를 암호화 할 때의 조건

1. 공통 조건만 만족하면 설정하는데에는 아무런 문제가 없습니다.
2. 드라이브 암호화 자동 해제 설정은 운영 체제 드라이브가 BitLocker 로 암호화 되어 있어야 사용할 수 있습니다.

일단 지난 포스팅에서 신나게 다루어 봤던 TPM 1.2 보안 칩은 사실 고정 & 이동식 데이터 드라이브를 암호화 하는 BitLocker To Go 기능과는 전혀 상관이 없습니다. TPM 1.2 보안 칩은 오직 윈도우 7 이 설치된 드라이브를 암호화 하는 운영 체제 드라이브 암호화 기능과 관련이 있을 뿐 입니다.

굳이 운영 체제 드라이브까지 암호화하여 사용하지 않으실 분들이라면 TPM 1.2 칩 따위는 사치일 뿐이죠. 더불어 TPM 1.2 칩이 없다고 할 지라도 USB 장치에 시작(기본) 키를 저장하여 BitLocker 기능을 충분히 사용할 수 있습니다.(물론 TPM 1.2 보안 칩과 연동하여 사용할 때와 같이 무결성 검사를 수행할 수 없으므로 보안적인 측면에선 좀 더 불리합니다. 자세한 내용은 - http://technet.microsoft.com/ko-kr/magazine/2007.06.bitlocker.aspx 글의 무결성 검사 부분을 참조)

한 가지 재미있는 것은 메인보드에서 부팅시 USB 장치를 인식하지 못하더라도 BitLocker 를 설정할 수 있고 사용할 수 있다는 것 입니다. 제가 지난 글에서 이러한 말을 한 적이 있습니다.

"BitLocker 는 드라이브를 암호화를 진행한 후 이 암호를 해독할 수 있는 기본(시작) 키와 응급 상황에서 기본 키의 역활을 하는 복구 키(복구 암호)로 구성이 되어 있습니다"

즉, TPM 도 없고 부팅 시 USB 장치를 인식하지 못해도 48 자리의 숫자로 구성된 복구 키를 외워서 입력하는 방식으로 충분히 사용할 수 있다는 것 입니다.(부팅 시 입니다. 윈도우에서는 USB 장치를 인식할 수 있어야 합니다.) 물론 48 자리 위우는 게 쉬운 것은 아니죠. 하지만 숫자로만 구성이 되어 있기 때문에 그리 어려운 것도 아닙니다. 크리스챤이라면 주기도문을 불자라면 마하반야바라밀다심경을 외울 수 있는 수준의 분들이라면 충분히 외우실 수 있을 거라고 확신합니다. -_-;


여튼 이러한 이유로 저는 TPM 1.2 와 부팅시 USB 인식 여부는 BitLocker 의 필수 조건이 아니라고 분류하고 있습니다. 그렇다면 BitLocker 를 통해 드라이브를 암호화 하는데 남게 되는 필수 조건은 무엇이 있을까요?

그것은 일단 공통적으로 BitLocker 기능이 포함된 Ultimate 에디션이나 Enterprise 에디션을 사용해야 한다는 것이 남습니다. 그리고 운영 체제 드라이브를 암호화 할 경우에 부팅 파티션과 시스템 파티션이 분리 되어 있어야 한다는 것이 남습니다. 전자는 설명할 게 없고 후자에 대해 한 번 파고들어가 보도록 하죠.



p.s 그 전에 윈도우 7 의 도움말에서 밝히는 BitLocker 드라이브 암호화에 대한 하드웨어 요구 사항에 대한 내용을 올려드립니다. 48 자의 복구 키를 모두 외워서 사용하려는 경우 굳이 부팅시 USB 메모리를 인식하지 못해도 상관없다.(하지만 윈도우에선 인식해야 함) 라는 제 나름의 보충 설명을 빼고는 다른 내용은 동일합니다. 윈도우 도움말에서 말한 최소 200MB 의 시스템 파티션에 대해서는 이따 설명 드립니다.

BitLocker 와 시스템 파티션

윈도우 7 을 설치할 때면 윈도우 7 설치 DVD 는 디스크의 가장 앞 자리에 무조건적으로 100MB 크기의 시스템 예약 파티션이라는 것을 생성하려 합니다. 시스템 예약 파티션이란 말 그대로 시스템 파티션 용도로 사용하는 파티션입니다. 여기에서 시스템 파티션이란 무엇인가요? 바로 BOOTMGR 과 BCD 와 같은 윈도우 7 의 부트 매니저가 설치되어 있는 활성 파티션을 의미합니다. 즉, 윈도우의 부팅을 관리하는 매우 중요한 파티션입니다. 시스템 파티션(활성 파티션)에 대한 설명은 아래의 두 글에 자세하게 설명이 되어 있습니다. 참고해 보세요.

부팅의 첫 관문 - 활성 파티션이란? 바꾸는 방법과 윈도우의 변화
윈도우 7 과 윈도우 XP 의 멀티 부팅 종합



운영 체제 드라이브를 BitLocker 로 암호화하려는 경우 필수 조건으로 제가 무엇이 있다고 했죠? 바로 시스템 파티션과 부팅 파티션의 분리를 이야기했습니다. 이는 실제로 윈도우가 설치되어 구동되는 부팅 파티션과(운영 체제 드라이브와) 이러한 윈도우를 로딩할 수 있는 부트 매니저가 설치되는 시스템 파티션이 분리되어 있어야 함을 의미합니다.

운영 체제 드라이브를 암호화하는 BitLocker 는 윈도우 7 의 부팅 과정에서 드라이브의 암호를 해독할 수 있는 기본(시작) 키를 윈도우를 로딩하는 단계에서 읽어들이게 됩니다. 즉, BCD 에서 부팅 항목을 읽어들인 후의 과정에서(멀티 부팅을 꾸며놓고 사용 중이라면 부팅할 운영 체제를 선택한 직후) 읽어들이는 것 입니다. 쉽게 암호를 해독하는 기본(시작) 키를 읽어들이는 과정은 윈도우의 부트 매니저 단계에서 실행되는 과정이라고 생각하시길 바랍니다. 그렇다면 어떡해야 할까요? 바로 일단 시스템 파티션에서 윈도우 부트 매니저를 읽어 들일 수 있어야 합니다.

윈도우의 시스템 파티션에서 윈도우 부트 매니저를 읽어들이기 위해선 당연하게도 시스템 파티션은 암호화가 되어 있지 않아야 합니다. 왜냐하면 이 단계는 BitLocker 로 암호화된 드라이브의 암호를 해독할 수 있는 기본(시작) 키를 읽어들이는 즉, 기본(시작) 키를 읽어들이기 이전의 단계이기 때문입니다. 그렇기 때문에 당연하게도 바로 드라이브를(파티션을) 읽을 수 있도록 시스템 파티션은 암호화 되어 있지 않아야 하는 것 입니다.

만약 이 이전의 단계에서 기본(시작) 키를 읽어들일 수 있다면 이러한 제한이 없을 지 모릅니다. 하지만 이 이전의 단계는 바이오스에서 관장하는 단계입니다. 즉, 바이오스 차원에서 드라이브(디스크)를 암호화 하는 기능이 설치가 되어 있고 이 기능을 사용하는 것이라면 이렇게 할 수도 있습니다. 하지만 BitLocker 는 윈도우에서 지원되고 관리되는 기능입니다. 그렇기 때문에 윈도우로 부팅의 제어권이 넘어온 시점 즉, BOOTMGR 로 부팅의 제어권이 넘어온 후 부터 제어할 수 있습니다. 그러니 일단 BitLocker 의 기본(시작) 키를 제어할 수 있는 BOOTMGR(부트 매니저) 를 읽을 수 있어야 합니다. 그래서 시스템 파티션은 암호화되어 있지 않아야 합니다. 이제 왜 부트 매니저가 설치되어 있는 시스템 파티션과 윈도우가 설치되어 있는 운영 체제 드라이브(부팅 파티션)이 분리되어야 하는지 아시겠죠?(아셔야 합니다. -_-)

분할-로드(split-Load) 구성 - 시스템 예약 파티션의 등장

다음의 스크린 샷을 보시죠.

이러한 파티션 구성 방식이 바로 윈도우 비스타 때 까지의 파티션 구성의 모습이었습니다. 즉, 사용자가 특별히 설정하지 않는 이상 부트 매니저가 설치되는 시스템 파티션과 윈도우가 설치되는 부팅 파티션의 구분없이 윈도우가 설치가 되었습니다.

BitLocker 는 윈도우 비스타부터 새롭게 추가된 기능이라는 설명을 드렸었죠? 위에서 신나게 말씀드린 것과 같이 BitLocker 는 시스템 파티션을 암호화할 수 없습니다. 당연히 위와 같이 시스템 파티션과 부팅 파티션이 하나의 파티션으로 존재하는 경우엔 BitLocker 를 바로 사용할 수 없습니다. 애초에 설치할 때 부터 사용자가 직접 시스템 파티션과 부팅 파티션을 분리하여 설치하거나 설치 후 시스템 파티션과 부팅 파티션을 분리해 준 후 사용이 가능하죠.

윈도우 비스타에서는 설치 단계에서 윈도우 설치 프로그램이 자동으로 설치 프로그램을 구성해 주지 않습니다. 다음의 내용을 보시죠.

Windows BitLocker Drive Encryption Step-by-Step Guide
To partition a disk with no operating system for BitLocker

1. Start the computer from the Windows Vista product DVD.
2. In the initial Install Windows screen, choose your Installation language, Time and currency format, and Keyboard layout, and then click Next.
3. In the next Install Windows screen, click Repair your computer, located in the lower left of the screen.
4. In the System Recovery Options dialog box, make sure no operating system is selected. To do this, click in the empty area of the Operating System list, below any listed entries. Then click Next.
5. In the next System Recovery Options dialog box, click Command Prompt.
6. Use Diskpart to create the partition for the operating system volume. At the command prompt, type diskpart, and then press ENTER.
7. Type select disk 0.
8. Type clean to erase the existing partition table.
9. Type create partition primary size=1500 to set the partition you are creating as a primary partition.
10. Type assign letter=S to give this partition the S designator.
11. Type active to set the new partition as the active partition.
12. Type create partition primary to create another primary partition. You will install Windows on this larger partition.
13. Type assign letter=C to give this partition the C designator.
14. Type list volume to see a display of all the volumes on this disk. You will see a listing of each volume, volume numbers, letters, labels, file systems, types, sizes, status, and information. Check that you have two volumes and that you know the label used for each volume.
15. Type exit to leave the diskpart application.
16. Type format c: /y /q /fs:NTFS to properly format the C volume.
17. Type format s: /y /q /fs:NTFS to properly format the S volume.
18. Type exit to leave the command prompt.
19. In the System Recovery Options window, use the close window icon in the upper right (or press ALT+F4) to close the window to return to the main installation screen. (Do not click Shut Down or Restart.)
20. Click Install now and proceed with the Windows Vista installation process. Install Windows Vista on the larger volume, C: (the operating system volume).

Windows BitLocker Drive Encryption Step-by-Step Guide 라는 윈도우 비스타에서 BitLocker 드라이브 암호화를 사용하기 위한 스텝 바이 스텝 가이드 글에서 윈도우 비스타를 설치할 때 BitLocker 를 정상적으로 사용하기 위해 파티션을 어떻게 구성해야 하는지를 나타내고 있는 내용입니다.

DiskPart 를 사용할 줄 아시는 분들이라면 이 내용이 무엇인지 바로 이해가 되실 겁니다. 요약하자면 "네가 알아서 DiskPart 파티션 관리 툴을 이용해서 시스템 파티션과 운영 체제 드라이브(부팅 파티션)을 나눈 후에 설치해라" 라는 내용입니다. (이 때 드라이브와 볼륨은 같은 의미로 해석하십시요.)

즉, 비스타에서는 BitLocker 를 사용하려는 사용자 정도라면 시스템 파티션과 부팅 파티션(운영 체제 드라이브)에 대해서 인지하고 있고 윈도우 설치 단계에서 충분히 이를 분할 구성할 수 있을 사용자라고 판단했던 겁니다. 그래서 비스타 설치 프로그램에서 따로 이에 대한 지원을 하지 않았던 것 입니다.



하지만 애초에 BitLocker 를 사용할 것을 전제 조건으로 비스타를 설치하는 사용자는 사실 그렇게 많지 않습니다. 그래서 비스타에서는(윈도우 7 도 마찬가지) BitLocker 드라이브 준비 도구라는 것을 준비해 주었습니다.

"혹시 BitLocker 를 염두해 두지 않고 윈도우를 설치했더라도 BitLocker 를 사용할 수 있도록 시스템 파티션과 부팅 파티션을 분리할 수 있는 도구를 제공해 주니 이걸 사용해라"

라는 것이죠. 이 도구는 사실 간단한 겁니다. 사용자가 일일히 DiskPart 통해 파티션을 축소하여 시스템 파티션으로 사용할 공간을 확보한 후 파티션을 생성하고 활성 파티션으로 마크하는 작업, 사용되지 않은 공간을 사용하여 파티션을 생성하고 활성 파티션으로 마크하는 작업, 기존의 파티션을 새로운 활성 파티션으로 마크하는 작업을 한 후 부트 매니저를 설치하고(윈도우 7 에서는 BCDBOOT 로 손쉽게 설치 가능) BCDEDIT 를 통해 새롭게 생성된 시스템 파티션으로 BCD 를 옮기는 작업 WinRE 를 옮기는 작업을 한 번에 해줄 수 있도록 해 준 도구입니다. 이렇게 적어놓고 나니 간단한 게 아니네요. ^ㅡ^;;



아무튼 이렇게 비스타에서는 BitLocker 를 사용하기 위해선 모든 것을 사용자가 직접 챙겨야 했습니다. 하지만 윈도우 7 에 이르러서는 윈도우 설치 프로그램이 기본적으로 시스템 예약 파티션이라는 100MB 크기의 시스템 파티션으로 사용 될 전용 파티션을 생성하는 것을 지원합니다.

이로써 사용자가 힘겹게 수동으로 시스템 파티션과 운영 체제 드라이브(부팅 파티션)을 분리하지 않아도 바로 BitLocker 를 사용할 수 있게 되었습니다.



하지만 윈도우 7 설치 프로그램은 저 시스템 예약 파티션을 무조건 생성하려 한다는 문제가 있습니다. 제 견식이 짧아서인지는 모르겠지만 저는 BitLocker 를 제외하고 시스템 예약 파티션이 사용되는 곳을 보질 못했습니다. 혹시나 제가 미처 모르고 있는 부분이 있다면 알려 주시길 바랍니다. 저 시스템 예약 파티션이 도대체 BitLocker 를 제외한 다른 어떤 기능에서 추가적으로 요구하는 지를 말이죠.(부팅할 때 사용되요 는 사절입니다. -_-;;)

BitLocker 를 제외한 딱히 사용처를 발견하지 못한 많은 사용자들은 이 시스템 예약 파티션을 생성하지 않는 방법으로 윈도우 7 을 설치하여 사용하고 있습니다. 아직까지 이러한 방식으로 문제가 발생하였다는 경우를 보지를 못했습니다. 지금까지의 제 견식으로는 시스템 예약 파티션은 BitLocker 를 위한 것 입니다. 그렇다면 당연히 BitLocker 를 사용하지 않는 사용자들도 많을테니 설치 프로그램에서 단일-로드 방식(시스템 파티션과 부팅 파티션이 한 파티션에 구성된 방식)을 사용할 것인지 분할-로드 방식(시스템 파티션과 부팅 파티션이 두 개의 파티션으로 분리되어 구성된 방식)을 사용할 것인지를 결정할 수 있게 했어야 하는 게 아닌가 싶습니다. 뭐 지금 당장은 BitLocker 를 제외한 다른 곳에서는 사용되지 않고 있더라도 마이크로소프트사에서 이 시스템 예약 파티션을 다른 곳에서 어떤 식으로 활용할려고 준비해 둔 것인지 모르기 때문에 일단 까진 않겠습니다.



자 시스템 예약 파티션을 포함하여 윈도우 7 을 설치한 사용자라면 BitLocker 를 사용하기 위한 기본 준비가 모두 된 상태입니다. 문제는 시스템 예약 파티션을 포함하지 않고 윈도우 7 을 설치한 사용자인데 이러한 사용자들이 BitLocker 를 사용하고자 하는 경우엔 어떻게 해야하는가에 대해서 또 이야기를 풀어보도록 하겠습니다.

시스템 파티션 분리 - BitLocker 마법사를 통한 자동 작업

사실 중요한 설명은 위에서 모두 마쳤습니다. 윈도우 파티션과 시스템 파티션을 나누세요~! 라고 넘어가 버리면 전 편합니다. 하지만 그럴 순 없죠. 일단 현재의 파티션 구성을 보시죠.

시스템 파티션과 부팅 파티션이 하나의 파티션에 설정이 되어 있죠. 이러면 운영 체제 드라이브를 BitLocker 로 암호화 할 수 없습니다. 잊어버리셨을까봐 다시 이야기 드립니다. 위의 파티션 구성에서 데이터 드라이브인 D: 드라이브를 BitLocker 로 암호화 하는 데에는 이딴 설정 아무 필요없습니다. 우리는 운영 체제 드라이브인 C: 드라이브를 BitLocker 로 암호화 하여 사용하기 위해 이짓을 하고 있는 겁니다.

자 이 상태에서 C: 드라이브를 BitLocker 로 암호화하려 하면 어떻게 될까요? 일단 설명하는 부분이니 BitLocker 를 설정하는 내용은 설명드리지 않도록 하겠습니다. (나중에 설정하다 이 화면 나오면 그냥 따라하세요.)

바로 이렇게 드라이브 암호화와 함께 BitLocker 드라이브 준비를 해야 한다고 뜨게 됩니다. BitLocker 드라이브 준비가 뭔가요? 제가 위에서 실컷 설명 드린 BitLocker 드라이브 준비 도구를 통해 자동으로 시스템 파티션과 운영 체제 드라이브(부팅 파티션)을 분리하는 작업을 진행한다는 의미입니다. 그럼 진행해 보죠.

아래는 해당 부분에 대한 윈도우 도움말의 설명입니다. 이건 뭐 위에서도 계속 이야기 했으니 접어두고 일단 윈도우 도움말에서는 200MB 의 사용가능한 디스크 공간을 사용하여 시스템 파티션을 만든다고 설명하고 있습니다. 근데 설명이 약간 잘못된 부분이 있습니다. 이는 작업을 마친 후 이야기 드리죠. 중요한 것은 아래의 문구 입니다.

"C: 드라이브의 사용 가능한 공간에서 새 시스템 드라이브가 만들어집니다."

즉, BitLocker 드라이브 준비 도구를 통해 C: 드라이브를 축소하여 새 활성 파티션을 만들고 새로 만들어진 활성 파티션으로 부트 매니저와 WinRE 를 옮기겠다는 이야기 입니다.

이를 BitLocker 드라이브 준비 도구를 통하지 않고 수동으로 하려는 경우라면 C: 드라이브 파티션을 DiskPart 의 Shrink 명령을 통해 200MB 의 할당되지 않은 공간이 남도록 축소한 후 이렇게 확보된 공간에 새로운 파티션을 생성하고 NTFS 로 포맷한 후 Active 명령을 통해 활성으로 마크하여 시스템 파티션을 준비한 후 BCDBOOT 명령을 통해 새로운 부트 매니저를 설치하고(BCDEDIT 라면 Createstore, Exprot, Import 를 통해) Bootsect 를 통해 nt60 방식으로 수정하여 부팅을 구성한 후 WInRE 를 옮기겠다는 이야기 입니다. 짧은 말에 참 많은 의미가 담겨 있죠. ^^;

그럼 작업을 모두 마친 후 디스크의 모습을 보도록 하겠습니다.

어떻습니까? 파티션의 배치는 참 지랄 맞지만 어쨌든 운영 체제 드라이브(부팅 파티션)과 시스템 파티션이 정상적으로 분리되었죠? 그리고 모양에 상관없이 기능은 정상적으로 작동합니다. 그러니 걱정은 마세요. 참고로 여기에서 말씀드리고 싶은 것은 새롭게 생성된 시스템 파티션의 위치가 저딴식으로 나올 수 밖에 없었던 것은 윈도우 7 의 기본 디스크 관리에서 파티션을 축소하는 규칙에 따라 어쩔 수 없는 것 입니다. 잠깐만! - 파티션의 확장과 축소에 관한 조건과 규칙 글에서 파티션의 축소 방향에 대해서 설명드렸었습니다. 다시 한 번 곱씹어 보세요.

근데 윈도우 도움말과는 약간 다른 내용이 있죠. 도움말에선 분명 시스템 파티션의 크기를 200MB 로 생성한다고 하였지만 실제론 300MB 로 생성한 것 입니다.

200MB 는 윈도우 비스타에서의 크기입니다. 제가 링크로 걸어드린 자료의 대부분은 비스타 시절의 테크넷 자료들 입니다. ^^; 그러니 그곳에서도 줄기차게 200MB 를 이야기하고 있죠. 하지만 윈도우 7 에서는 이를 새롭게 300MB 로 규정하고 있습니다. 아무래도 도움말을 작성하면서 이러한 변화를 정상적으로 반영하지 못한 듯 싶습니다. 실제로 윈도우 7 의 BitLocker 드라이브 준비 도구의 명령어 도움말을 보면 시스템 파티션의 기본 생성 사이즈로 300MB 를 이야기하고 있는 것으로 이를 확인할 수 있습니다. 결국 윈도우 도움말 작성한 새끼 월급을 까거나 마이크로소프트사를 까야만 된다는 결론에 도달했습니다. 그래서 깔렵니다.

"형이 애정이 있어서 니들을 까는 거야! 형은 애플은 안 까! 왜냐! 애정이 없으니까 관심도 없어! 그러니까 일 똑바로 해라!"



그럼 시스템 파티션에 임시로 드라이브 문자를 할당하여 내용을 살펴보도록 하겠습니다.

부트 매니저와 WinRE(Recovery 폴더) 가 정상적으로 이동된 모습이죠? 이와 같이 BitLocker 드라이브 준비 도구를 사용하여 시스템 파티션을 분리시키는 경우에는 WinRE 까지 이동시킵니다.

여기에서 한 가지 강한 의문이 생기는데 WinRE 를 이동시키는 이유는 운영 체제 드라이브를 암호화하는 경우 부팅 단계에서 컴퓨터 복구로 부팅하지 못하기 때문이라고 합니다. 그럼 100MB 짜리 시스템 예약 파티션은 뭘까요? 제가 실험해 본 결과 시스템 예약 파티션 없이 윈도우 7 의 설치를 완료한 후 수동으로 100MB 짜리 파티션을 만들고 위에서 이야기했던 작업들을 수동으로 진행하고 BitLocker 를 설정하고자 하였을 때 컴퓨터 복구로 부팅하지 못하게 된다는 경고 문구가 떴었습니다. 하지만 시스템 예약 파티션을 포함하여 설치한 경우에 BitLocker 를 설정하더라도 그러한 메세지가 뜨질 않죠. 100MB 짜리의 시스템 예약 파티션에는 당연 173MB 짜리 WinRE 를 위치시킬 순 없습니다. 그러니 이건 뭘까요? 저는 아직 파악하지 못했습니다. -_-;

시스템 파티션 분리 - BitLocker 드라이브 준비 도구를 통한 수동 작업

아무튼 의문은 뒤로 하고 위와 같이 하나의 디스크에 윈도우 드라이브와 데이터 드라이브를 미리 나눠서 사용하는 경우 BitLocker 드라이브 암호화 마법사는 무조건 C: 드라이브를 축소하여 작업하기 때문에 윈도우 드라이브와 데이터 드라이브 사이에 시스템 파티션이 끼어있는 굉장히 보기 싫은 모습으로 설정이 되어 버립니다. 윈도우 설치 단계에서부터 설정한 것과 같이 깔끔하게 가장 처음에 위치시킬 수 없다면 마찬가지로 깔끔하게 가장 뒤에 위치시킨다가 제 기본 철학입니다. -_-;

아무튼 BitLocker 드라이브 준비 도구의 사용법도 배워야 하니 이를 통해 수동으로 작업을 진행해 보도록 하겠습니다.

이 상태에서 C: 드라이브를 축소하여 확보한 공간에 시스템 파티션을 생성하면 윈도우의 기본 축소 규칙에 따라 위에서와 같이 C: 드라이브와 D: 드라이브 사이에 시스템 파티션이 끼어 있는 굉장히 보기 싫은 모습이 될 수 밖에 없습니다. 그렇다면 시스템 파티션을 깔끔하게 가장 마지막에 위치시키려면 어떻게 해야 하나요? 그렇죠! D: 드라이브의 공간을 축소하여 시스템 파티션을 생성하면 됩니다.(무슨 말인지 모르시겠으면 제 블로그의 디스크 관리와 DiskPart 프로젝트 포스팅을 정독하시길 추천해 드립니다.) 그럼 실제로 작업을 해보죠.

관리자 권한으로 명령 프롬프트를 실행하신 후 다음의 명령을 내려줍니다.

[명령 프롬프트 실행]

bdehdcfg -target d: shrink

D: 드라이브를 축소하여 300MB 짜리 시스템 파티션을 새롭게 생성한 후 BitLocker 용으로 설정합니다.

BitLocker 드라이브 준비 도구의 좀 더 자세한 사용법을 알고 싶다면 bdehdcfg /? 명령을 통해 도움말을 확인합니다.

어떻습니까? 파티션 정렬이 좀 더 깔끔하게 되었죠? 마찬가지로 임시로 드라이브 문자를 할당하여 안의 내용을 살펴본 모습입니다.

이와 같이 BitLocker 드라이브 준비 도구는 기존의 파티션의 크기를 축소하여 공간을 시스템 파티션용 공간을 할당하는 것 외에 기존의 주 파티션을 이용하는 방법, 또는 현재 존재하는 할당되지 않은 공간에 새로운 파티션을 생성하는 방법 등을 사용할 수 있습니다. 자세한 내용은 BitLocker 드라이브 준비 도구의 도움말을(bdehdcfg /?) 참고하시길 바랍니다.

BitLocker 드라이브 준비 도구를 통해 시스템 파티션을 분리하는 작업을 할 때 주의해야 할 점은 우리가 흔히 사용하는 MBR 기본 디스크의 경우 생성할 수 있는 주 파티션이 최대 네 개 또는 주 파티션 3 개 + 확장 파티션 1 개라는 점입니다. 이 기본을 벗어난 작업을 하려할 때는 오류가 발생하게 됩니다. MBR 기본 디스크의 파티션에 대한 좀 더 자세한 설명은 잠깐만! - 윈도우 7 에서 사용되는 디스크의 종류와 개념을 정리해보자 글을 참고하시길 바랍니다.

BitLocker 드라이브 준비 도구에 대한 좀 더 자세한 설명은 http://support.microsoft.com/kb/930063 글을 참고하시길 바랍니다. 다만 비스타의 BitLocker 드라이브 준비 도구에 대한 설명서이니 윈도우 7 과는 약간 다를 수 있습니다.





지금까지 BitLocker 와 시스템 파티션에 대해서 알아보았습니다. 운영 체제 드라이브와 시스템 파티션을 분리하는 것은 운영 체제 드라이브를 BitLocker 로 암호화 하고자 하는 경우 필수적으로 갖추어야 하는 선결 조건이기 때문에 운영 체제 드라이브를 BitLocker 로 암호화 하고자 하는 사용자는 필수적으로 이 내용을 숙지하여 운영 체제 드라이브와 시스템 파티션을 분리하시길 바랍니다. 글이 조금 지루하였을 텐데 끝까지 읽으시느라 수고가 많으셨습니다. 이 글은 여기까지 입니다. ^ㅡ^*