설치시 자동 생성되는 200MB 빈 파티션의 진실은? Windows 7 BitLocker와 BitLocker To Go

image

Windows 7을 설치하시기 위해, 빈 하드 디스크에 새 파티션을 생성하시면, 알 수 없는 200MB의 NTFS 파티션이 자동 생성됩니다. 많은 분들께서 도대체 이건 뭐지? 하면서 지우시고, 다시 파티션을 만드셔도, 또 200MB의 파티션이 생성되게 되죠. 도대체 이 200MB의 사용 용도는 무엇일까요?

Windows Vista에서 소개된 보안 기능 중에 하나인 BitLocker(비트락커)를 기억하시나요?

3년전쯤인가요? 제가 어떤 세미나에서 발표를 마치고 가방을 싸고 있는데, 장내 방송으로 모 하드웨어 벤더 사장님의 노트북이 분실되었다고 하시면서, 사례금까지 거시고, 이를 찾는 것을 보았고요. 그리고 제가 일하는 건물에 1달여전쯤, 이동식 USB를 분실하였다고, 이를 찾고자 하시는 분도 보았던 것 같습니다.

노트북을 많이 사용하시는데, 해당 노트북을 분실하셨을 때, 노트북 자체의 가치보단, 해당 노트북 안에 저장된 데이터의 가치가 천문학적으로 크다는 것에는 이제 동의를 하실거라 봅니다.

보통 컴퓨터를 분실하거나, 습득했을 경우, 해당 컴퓨터에서 하드 디스크를 빼서, 딴 컴퓨터를 이용해서 열어보면, 하드 디스크내 데이터가 모두다 접근이 가능하게 됩니다. 당연한 이야기죠. 하드 디스크의 포맷 방식은 해당 포맷 방식을 사용하는 운영 체제에서 로딩하면 다 볼 수가 있기 때문입니다.

BitLocker는 크게 두가지 일을 하고 있습니다. 첫번째는 초기 부팅 구성 요소와 부팅 구성 데이터의 무결성을 확인하여, 시스템이 악성 코드나 외부에 의해 위변조되지 않았는지를 확인하고, 두번째로는 하드웨어와 연계하여, 운영 체제 볼륨과 데이터 볼륨에 대한 암호화를 지원하는 기술입니다. BitLocker를 통해서 암호화된 하드 디스크는 암호화를 진행한 컴퓨터가 아니라면, 해독이 불가능하고, 하드 디스크만 뽑아서 다른 컴퓨터에 연결하더라도, 데이터를 인식시킬 수가 없게 합니다.

BitLocker는 하드 디스크를 암호화한 후, 암호화에 관련된 키를 하드웨어, 정확하게 말하면 TPM(Trusted Platform Module)에 저장하여, TPM내 저장된 키가 없으면, 하드 디스크를 읽어볼 수 없게하는 기술입니다. Windows Vista 출시 이후, 대부분의 노트북은 TPM 버전 1.2이상을 지원하고 있고, 이를 통해 BitLocker를 사용하여, 자신의 데이터를 안전하게 보호할 수 있죠. 기업내 기밀 사항을 많이 접하시는 법률 전문가나 중역분들같은 경우엔 필수적으로 구현하셔야할 기능입니다.

Windows Vista에서 BitLocker를 사용하시려면, 시스템을 킨 후, Windows를 로드하고, BitLocker 모듈을 읽어들이기 위한 최소한의 공간이 필요하였고, 이를 위해서는 설치시 하드 디스크의 파티션을 별도로 잡아놓고, 운영 체제 볼륨을 만들었어야 합니다.(대략 1.5GB) 그러나, 대부분 설치시 이러한 사항을 생각하지 않고(사실 어려웠죠, BitLocker를 위해 설치 시, 명령어 프롬프트를 열고, 파티션을 잡아야 했으니까요, 이에 대한 정보는 여기를 참고하세요.)

Windows7_h_rgb

이러한 중요한 보안 기술을 Windows 7에서는 좀더 쉽게 사용하실 수 있도록, 신규 파티셔닝시, 200MB의 공간을 BitLocker를 설정하기 위한 공간으로 미리 할당해놓는 것입니다. 이제 200MB의 진실을 아시겠죠? 그렇다고! 기본적으로 BitLocker를 설정하는 것은 아닙니다.

image

이를 위해서는 제어판 내 BDE(BitLocker Drive Encyption) 애플릿을 통해서 설정할 수 있으며, 단순하게 TPM과 BitLocker를 설정하는 것이 아니라, 시스템 구동시 개인 PIN을 물어보거나, BitLocker 해독을 위해 별도의 USB를 삽입하도록 요청할 수 있습니다.

자, 그렇다면 Windows Vista나 Windows 7에서 BitLocker를 쓰기 위한 최소 요구 사항은 무엇일까요? 네.. 맞습니다. 하드웨어 TPM 버전 1.2 이상 지원 (TPM이 없는 경우, USB를 이용할 수도 있지만, 당연히 보안은 떨어집니다.)을 해야 합니다.

image

암호화 기술이므로, 복구에 대한 철저한 준비가 필요합니다. 액티브 디렉터리를 사용하는 조직에서는 그룹 정책을 이용하여 복구용 키를 별도로 액티브 디렉터리내 저장하도록 할 수 있습니다. 이를 통해 관리자는 사용자가 BitLocker를 사용하는데 문제가 있다면(대표적인 것이 하드웨어의 교체나, 손상), 이를 통해 복구할 수 있습니다. 개인적으로 사용한다면, 복구용 키에 대해 별도로 저장하시는 센스(!)가 필요합니다.

Windows 7에서 개선된 사항이 단순히 BitLocker에 대한 사용 편의성만이 아닙니다. BitLocker To Go라는 기능인데요. 많이들 사용하시는 USB나 외장형 저장소에 대한 암호화를 지원하는 것입니다. 이를 통해 분실시, 해당 데이터를 안전하게 지킬 수 있습니다. 또한 하위 버전과의 호환성을 위해 Windows XP SP3, Windows Vista SP1에서는 해당 외장형 저장소를 사용할 수도 있습니다.

image image

이는 앞서 보셨던 제어판내 BDE 애플릿이나, Windows 탐색기를 이용하여, 손쉽게 BitLocker를 적용할 수 있습니다. BitLocker To Go는 앞서 설명드렸던 BitLocker와는 달리, 암호화를 위해 암호(Password)나 스마트 카드를 사용할 수 있습니다. TPM과 연계되어져 있다면, 해당 컴퓨터가 아님 못쓰겠죠? 손쉽게 해제도 가능하고요.

image

보통 공기관 같은경우, 보안 USB라고 해서, 데이터에 대한 보호 장치를 사용하는 경우에만, 사용이 가능하다고 들었습니다만, Windows 7에서는 BitLocker To Go를 이용해서, 해당 요구 사항을 만족할 수 있을거라 생각합니다.

설치시 생성된 200MB의 진실을 알고 나니, 속 시원해지셨나요? 기술 문서에는 BitLocker를 사용하다가, 하드 디스크를 폐기시에도 혹시 모를 데이터 유출에 대해서 방어가 가능하다고 적혀있는데, 그것도 이제 이해되시죠? BitLocker를 이용하여, 혹시 모를 사태에 사전 대비하여, 보안을 강화하는 것도 당연히 필요하겠죠? 이 사항은 Windows 7뿐만 아니라, Windows Vista에서도 가능하답니다. :)

글꼬리 : Windows Server 2008에서도 BitLocker를 이용하여 서버의 데이터를 보호할 수 있습니다. 별도의 서버 관리자가 없는 지사 환경에서 서버를 도둑맞았을 때(?), BitLocker를 통해 사내 데이터 유출을 막을 수 있습니다.