윈도우 PC 암호화 키, FBI가 가져간다면?

당신의 윈도우 PC에 저장된 모든 파일이 완벽하게 암호화되어 있다고 생각했다면, 다시 생각해봐야 할 때가 왔다. 포브스의 최근 보도에 따르면, FBI가 마이크로소프트에 영장을 제시해 여러 노트북의 BitLocker 암호화 복구 키를 요청했고, 마이크로소프트는 이에 응했다.

이 사건은 괌 지역 코로나19 실업 지원 프로그램 사기 수사 과정에서 발생했다. 수사기관이 증거가 담긴 것으로 추정되는 노트북들의 암호를 해독하기 위해 복구 키를 요청한 것이다. 문제는 이것이 개별 사건이 아니라는 점이다.

당신도 모르는 사이에 업로드된 키

BitLocker는 거의 20년 동안 윈도우에 포함된 전체 디스크 암호화 기술이다. 초기에는 윈도우 프로 에디션 사용자가 수동으로 활성화해야 했지만, 윈도우 8 시대부터 상황이 바뀌었다. 현재 마이크로소프트 계정으로 로그인하는 모든 윈도우 11 홈과 프로 PC에서 BitLocker가 자동으로 활성화된다.

여기서 핵심은 복구 키의 처리 방식이다. BitLocker가 활성화되면 복구 키가 자동으로 마이크로소프트 서버에 업로드된다. 이는 시스템 오류나 CPU 업그레이드 같은 하드웨어 변경으로 BitLocker가 작동하지 않을 때 데이터를 복구할 수 있게 하기 위함이다. 하지만 동시에 마이크로소프트가 사용자의 디스크를 잠금 해제할 수 있다는 의미이기도 하다.

마이크로소프트 대변인은 정부 기관으로부터 연간 약 20건의 유사한 BitLocker 복구 키 요청을 처리한다고 밝혔다. 흥미롭게도 이런 요청들은 사용자가 복구 키를 마이크로소프트 서버에 저장하지 않아서 실패하는 경우가 많다고 한다.

기술 기업들의 딜레마

이 상황은 기술 기업들이 직면한 복잡한 딜레마를 보여준다. 마이크로소프트를 포함한 대부분의 기술 기업들은 법 집행 기관을 위한 범용 암호화 백도어 설치 요청을 거부해왔다. 애플 같은 회사는 기기 암호화 키를 추가 암호화 계층으로 저장해 회사 자체도 접근할 수 없다고 주장한다.

하지만 BitLocker의 경우는 다르다. 사용자 편의를 위해 제공되는 복구 키 백업 서비스가 의도치 않게 정부 접근의 통로가 된 것이다. 이는 보안과 편의성 사이의 근본적인 트레이드오프를 보여주는 사례다.

한국 사용자들은 어떻게 해야 할까

국내에서도 윈도우 PC 사용자들이 대부분인 상황에서, 이 문제는 남의 일이 아니다. 한국 정부 역시 수사 과정에서 유사한 요청을 할 수 있고, 마이크로소프트는 법적 요구에 따라 응답할 가능성이 높다.

특히 기업이나 개인이 민감한 데이터를 다루는 경우, BitLocker의 기본 설정에 의존하는 것이 최선인지 재검토해야 할 시점이다. 복구 키를 로컬에만 저장하거나, 제3자 암호화 솔루션을 고려하는 것도 하나의 방법이다.