비트라커 걸어놨는데 MS가 FBI한테 키를 넘겼다 — 디스크 암호화의 진짜 약점

노트북에 비트라커(BitLocker)를 걸어놨다. 디스크 전체가 암호화됐으니 누가 훔쳐가도, 압수해도, 비밀번호 없이는 데이터를 못 본다 — 그렇게 생각했을 거다.

2025년, FBI가 그 전제를 깨버린 사건이 터졌다.

무슨 일이 있었나

괌(Guam)에서 팬데믹 실업 지원금 사기 수사가 진행됐다. FBI가 용의자 노트북 3대를 압수했는데, 전부 BitLocker로 암호화되어 있었다. 비밀번호를 모르니 열 수가 없다.

FBI는 마이크로소프트에 영장을 보냈다. “이 노트북들의 BitLocker 복구 키를 달라.”

마이크로소프트가 넘겼다. 노트북 3대 전부 열렸다.

이게 가능한 이유는 단순하다. BitLocker 복구 키가 마이크로소프트 클라우드에 저장되어 있었기 때문이다.

복구 키가 왜 MS 서버에 있나

BitLocker를 활성화하면 48자리 숫자로 된 복구 키가 생성된다. 이 키는 비밀번호를 잊었거나, 하드웨어가 바뀌었거나, 시스템에 문제가 생겼을 때 디스크를 풀 수 있는 마스터 키다.

문제는 이 키의 기본 저장 위치다.

마이크로소프트 계정으로 윈도우에 로그인한 상태에서 BitLocker를 켜면, 복구 키가 자동으로 마이크로소프트 클라우드에 업로드된다. 사용자에게 “키를 클라우드에 올리겠습니다”라고 묻지 않는다. 기본 동작이다.

Windows 11 24H2부터는 상황이 더 심해졌다. 마이크로소프트 계정으로 로그인하면 BitLocker가 자동으로 활성화된다. Home 에디션 포함이다. 직접 켜지 않았는데 암호화가 걸리고, 복구 키는 클라우드로 올라간다.

정리하면 이렇다. “내가 암호화했으니 나만 열 수 있다”가 아니라, “마이크로소프트도 열 수 있고, 영장 들고 오면 정부도 열 수 있다.”

MS는 연평균 20건의 복구 키 요청을 받는다

마이크로소프트는 이 사건이 보도된 후 공식 입장을 냈다. TechCrunch 보도에 따르면, 마이크로소프트는 “유효한 법적 명령(valid legal orders)을 가진 정부 기관에 복구 키를 제공한다”고 인정했다.

연평균 약 20건의 요청을 받는다고도 밝혔다. 다만 모든 요청에 응하는 건 아니다 — 사용자가 키를 클라우드에 업로드하지 않은 경우에는 줄 키가 없기 때문이다.

존스 홉킨스 대학 암호학 교수 매튜 그린(Matthew Green)은 이 구조의 위험성을 지적했다. 핵심은 두 가지다.

첫째, 마이크로소프트 클라우드가 해킹당하면 복구 키도 같이 털린다. 마이크로소프트 클라우드 인프라는 최근 몇 년간 여러 차례 침해 사고를 겪었다.

둘째, 영장 없이도 내부자 접근이 가능한 구조라는 점이다. 키가 존재하는 한, 키에 접근할 수 있는 경로도 존재한다.

위험도 — 내 상황에 맞게 판단하기

🟢 일반 사용자

노트북 분실이나 도난 방어가 목적이라면, BitLocker 기본 설정으로도 충분하다. 길에서 주운 사람이 마이크로소프트에 영장을 보낼 일은 없다.

다만 하나는 알고 있어야 한다. 복구 키가 클라우드에 있다는 건, 암호화의 열쇠를 제3자가 보관하고 있다는 뜻이다. 이게 불편하면 아래 해결책을 따르면 된다.

🟡 민감한 상황 — 회사 기밀, 의료 기록, 세무 자료

마이크로소프트가 영장에 응한다는 건 법적 절차가 있으면 데이터가 열린다는 뜻이다. 업무용 노트북에 고객 개인정보나 기밀 자료가 있다면, 복구 키를 클라우드에서 삭제하고 로컬로만 관리하는 게 맞다.

🔴 OPSEC 필요 — 내부고발, 기자, 활동가

BitLocker 자체를 쓰지 않는 게 답이다. 클라우드 키 에스크로(key escrow — 제3자가 키를 보관하는 구조)가 존재하는 암호화 도구는 이 위협 모델에 적합하지 않다. VeraCrypt처럼 키가 본인 기기 밖으로 나가지 않는 도구를 써야 한다.

지금 당장 — 복구 키를 로컬로 가져오는 법

BitLocker를 계속 쓰되, 복구 키만 클라우드에서 빼는 방법이다.

1단계: 현재 복구 키 확인. account.microsoft.com/devices/recoverykey에 로그인한다. 내 기기에 연결된 복구 키 목록이 보인다.

2단계: 키를 따로 보관. 표시된 48자리 복구 키를 USB 드라이브에 텍스트 파일로 저장하거나, 종이에 적어둔다. 이 키를 잃어버리면 디스크를 영영 못 여니까 반드시 안전한 곳에 보관해야 한다.

3단계: 클라우드에서 삭제. 복구 키 옆의 점 3개 메뉴(⋯) → 삭제. “복구 키 사본을 저장했습니다” 체크 → 삭제 확인.

4단계: 복구 키 재생성. 클라우드 삭제 후에도 기존 키는 디스크에 여전히 유효하다. 완전히 새 키를 원하면 명령 프롬프트(관리자)에서:

manage-bde -protectors -delete C: -type RecoveryPassword
manage-bde -protectors -add C: -RecoveryPassword

새로 생성된 키를 USB나 종이에 저장한다. 이번에는 마이크로소프트 계정에 백업하지 않는다.

이 과정을 거치면 마이크로소프트 서버에 복구 키가 남지 않는다. 영장이 와도 줄 키가 없다.

아예 BitLocker 말고 다른 걸 쓰고 싶다면

VeraCrypt가 있다. TrueCrypt의 후속 프로젝트로, 오픈소스 디스크 암호화 도구다.

BitLocker와의 핵심 차이는 하나다. 키가 어디에도 업로드되지 않는다. 사용자가 설정한 비밀번호와 키 파일이 전부이고, 이걸 분실하면 개발자조차 복구할 수 없다. “줄 키가 없다”가 아니라 “키 자체가 존재하지 않는다”는 구조다.

Windows, macOS, Linux 전부 지원한다. 시스템 드라이브 전체 암호화도 가능하고, 특정 폴더만 암호화 컨테이너로 만들 수도 있다.

단점도 있다. 설정이 BitLocker보다 번거롭고, 윈도우 부팅 시 별도 비밀번호 입력이 필요하다. 편의성은 BitLocker가 낫다 — 대신 그 편의성의 대가가 클라우드 키 에스크로다.

구조를 아는 것과 악용하는 건 다르다

이 글은 “정부가 내 데이터를 못 보게 하는 법”을 다룬 게 아니다. 디스크 암호화라는 도구가 어떤 조건에서 풀릴 수 있는지, 그 구조를 설명한 거다.

FBI가 이 사건에서 밟은 절차는 합법이다. 영장을 발부받았고, 마이크로소프트는 유효한 법적 명령에 따라 키를 넘겼다. 수사 대상이 될 만한 행위를 하지 않았다면 현실적으로 걱정할 일이 아니다.

문제는 구조 자체다. 내가 건 암호화의 열쇠를 제3자가 들고 있다는 걸 대부분의 사용자가 모른다. 알았다면 다른 선택을 했을 수도 있다. 그 “알 권리”가 이 글의 핵심이다.

정리

BitLocker는 도난·분실 방어로는 충분하다. 하지만 “나만 열 수 있는 암호화”는 아니다.

마이크로소프트 계정으로 로그인한 상태에서 BitLocker를 켰다면, 복구 키가 MS 클라우드에 있다. 영장 한 장이면 열린다. MS는 이런 요청을 연평균 20건 받고 있고, 실제로 응하고 있다.

이게 불편하다면 지금 할 수 있는 건 명확하다. account.microsoft.com/devices/recoverykey에 들어가서, 키를 로컬로 옮기고, 클라우드에서 삭제하면 된다.