마이크로소프트가 비트로커(BitLocker) 키를 수사기관에 제공하면서 기업 데이터 통제에 대한 우려가 커지고 있다. 마이크로소프트 클라우드에 저장된 복구 키가 법원의 영장에 따라 접근 대상이 될 수 있음을 보여주는 사례다.

마이크로소프트가 윈도우 사용자의 비트로커 암호화 키를 미국 법 집행 기관에 제공해 암호화된 데이터에 접근할 수 있게 허용했다는 보도가 나왔다.

보도에 따르면 미국 연방수사국은 2025년 초 괌에서 발생한 코로나 실업 지원 프로그램 관련 사기 혐의 사건과 관련해 노트북 3대에 저장된 암호화 데이터를 해제하기 위한 키를 요구하는 수색 영장을 마이크로소프트에 제시했다. 해당 키가 마이크로소프트 서버에 저장돼 있었던 만큼, 마이크로소프트는 법적 명령을 준수해 암호화 키를 제공했으며, 이 사실은 지난 금요일 포브스를 통해 전해졌다.

마이크로소프트는 논평 요청에 즉각 응답하지 않았다. 과거에도 대형 기술 기업이 수사기관으로부터 기기 접근 요청을 받은 사례는 있었지만, 암호화 키 제공에는 저항해 온 경우가 적지 않았다.

비트로커는 개인 사용자부터 수백, 수천 대의 윈도우 기기를 관리하는 기업까지 폭넓게 사용하는 저장 데이터 보호 도구다. 기본 설정 상태에서는 많은 윈도우 설치 환경이 비트로커 복구 키를 마이크로소프트 클라우드 서비스에 백업하며, 마이크로소프트는 유효한 법적 명령이 있을 경우 해당 키를 회수할 수 있다.

비트로커 문제가 아닌 키 보관 문제

비트로커는 분실·도난·부적절하게 폐기된 기기로 인한 데이터 유출 위협을 막기 위해 전체 볼륨 암호화를 제공하도록 설계됐다. 여러 전문가는 비트로커가 윈도우 10과 윈도우 11에 기본 포함되면서 윈도우 엔드포인트 전반에서 사실상의 기본 전체 디스크 암호화 계층이 됐다고 설명했다.

그레이하운드 리서치 최고 애널리스트 산칫 비르 고기아는 “비트로커 자체가 실패한 것은 아니다. 소프트웨어는 설계 목적에 맞게 디스크를 암호화하고, 윈도우에 통합되며, 복구도 용이하게 한다”라고 말했다.

다만, 고기아는 이번 사례가 보여주듯 기업은 암호 키의 보관 주체가 누구인지에 각별히 주의해야 한다고 강조했다.

고기아는 비트로커의 암호화 엔진이 AES-128 또는 AES-256 XTS 모드를 사용해 현대 암호 분석을 견디도록 설계됐으며, 미국 국토안보부조차 이를 직접 해독할 수 있는 포렌식 도구가 없다고 인정한 바 있다고 설명했다. 다만 대다수 기업의 윈도우 환경에서는 인튠과 오토파일럿 같은 도구를 통해 기기를 배포·관리하는 과정에서, 명시적으로 비활성화하지 않으면 복구 키가 자동으로 마이크로소프트 엔트라 ID에 백업되고, 해당 키가 관리자 센터나 스크립트를 통해 조회·회수될 수 있다고 덧붙였다.

대다수 기업이 놓치는 지점

비트로커를 사용하는 기업은 복구 키를 고도의 민감 정보로 취급하고, 명확한 비즈니스 요구와 위험 완화 방안이 없는 한 기본 클라우드 백업을 피해야 한다.

가장 안전한 구성은 키를 온프레미스 액티브 디렉터리나 통제된 기업용 키 저장소로 이전하는 방식이다. 마이크로소프트 엔트라 ID나 인튠 같은 기업 관리 서비스에 저장하더라도, 키를 조회할 수 있는 주체에 대해 강력한 거버넌스와 로그 관리, 적시 접근 통제가 필요하다고 앵쿠라 컨설팅 글로벌 파트너 아밋 자주는 말했다. 자주는 이 방식으로 마이크로소프트를 복구 과정에서 배제할 수 있다고 덧붙였다.

자주는 키가 마이크로소프트 클라우드에 반드시 저장돼야 한다면, 관리자 역할에 강력한 다중 인증과 조건부 접근, 특권 접근 전용 워크스테이션을 적용해 관리자 자격 증명 침해가 전체 키 침해로 이어지지 않도록 해야 한다고 설명했다.

또한 접근 권한과 역할 분리를 엄격히 적용해야 한다. 자주는 “보안 운영이나 엔드포인트 엔지니어링 등 검증된 소수 인원만 복구 키 조회·내보내기 권한을 가져야 하며, 승인 절차는 임의가 아니라 워크플로 기반이어야 한다. 모든 키 회수는 감사 가능한 변경 불가 기록을 남기고, 이상적으로는 사고나 티켓 ID와 연계돼야 한다”라고 말했다.

정보보안 책임자는 기기가 재사용·폐기되거나 관할 구역을 이동할 때 기존 키가 사용되지 않도록 워크플로에 따라 키를 재생성하도록 해야 한다.

고기아는 취약한 설정이 장기적으로 남는 위험을 경고했다. 초기 설정 과정에서 개인 계정이 연결되거나, 개인 소유 기기가 사용자용 대시보드로 키를 동기화하는 경우 기업의 가시성 밖에서 유출 경로가 생길 수 있다. 고기아는 “키가 경계 밖에 존재한다면, 명확한 관리 연속성이 사라진다. 이는 이론적 위험이 아니라 감사 대상이 되고 있다”라고 말했다.

자주는 다수의 침해 사고가 암호 기술이 아니라 절차 문제에서 발생한다며, 복구 키 사용 가능 상황과 불가 상황을 명확히 정의한 공식 지침이 필요하다고 강조했다. 예를 들어 분실된 PIN, 법적 승인 하의 내부 조사, 합법적 명령은 허용 대상이지만, 관리자의 비공식 요청에 따른 직원 데이터 접근은 허용돼서는 안 된다는 설명이다.

지정학이 바꾸는 기업 데이터와 키 통제

지정학적 긴장이 글로벌 무역과 기술 정책의 방향을 바꾸고 있으며, 기업 보안 전략에도 반영돼야 할 요소로 떠오르고 있다. 각국 정부가 데이터 통제 권한을 강화하면서 영업 비밀과 독점 정보가 국가 이익과 얽힐 위험이 커지고 있다.

고기아는 “미국 클라우드법은 데이터가 유럽이나 아시아에 호스팅돼 있더라도 미국 기반 업체에게 데이터와 키 제공을 강제할 수 있다. 중국은 데이터 현지화 규칙을 통해 키와 데이터에 대한 국가 접근을 요구하고 있으며, 인도 역시 최근 법률을 통해 보안 기관의 광범위한 접근 권한을 도입했다. 유럽연합은 데이터 거주성뿐 아니라 설계 단계부터 키 주권을 포함해야 하는지 논의 중”이라고 말했다.

복구 키가 클라우드 업체에 저장돼 있다면, 업체는 본국 관할에서 내려진 합법적 명령에 따라, 기업에 통보하지 않은 채 키를 제공해야 할 상황에 놓일 수 있다. 이 문제는 제약사, 반도체 기업, 방위 산업체, 핵심 인프라 운영사 입장에서 국경 간 수사 과정에서 영업 비밀이 노출될 위험으로 이어진다.

자주는 “기업은 키가 저장된 위치에서 강제력이 행사될 수 있다는 점을 전제로 접근해야 한다. 가능하다면, 가장 신뢰하는 법체계와 절차 기준이 적용되는 관할에 키 통제 주체를 두는 것이 바람직하다”라며 “이사회 차원의 감독 아래 국경 간 데이터 접근 요청 기록을 관리하고, 다국적 기업은 법무와 보안 기업이 함께 상호 사법 공조, 클라우드법 영향, 지역별 감청 법규를 이해해야 한다”라고 말했다.

dl-itworldkorea@foundryco.com