마이크로소프트, 법원 명령에 따라 FBI에 BitLocker 복구 키 제공

마이크로소프트, 법원 명령에 따라 FBI에 BitLocker 복구 키 제공

마이크로소프트는 연방수사국(FBI)에 BitLocker로 암호화된 장치의 데이터를 복호화하기 위한 BitLocker 복구 키를 제공하고 있음을 확인했다. 이 조치는 연간 약 20회 정도 유효한 법원 명령(소환장 및 수색 영장 포함)에 따라 이루어지고 있다.

기술적 세부 사항 및 키 저장 방식

BitLocker는 Windows Pro, Enterprise, Education 에디션에 내장된 암호화 기능으로, 전체 볼륨을 암호화하여 저장 데이터(data at rest)를 보호한다. 사용자는 48자리 복구 키를 로컬에 저장하거나 마이크로소프트 서버에 업로드할 수 있다. 이는 사용자가 비밀번호를 잊거나 로그인 실패로 잠금이 발생했을 때 데이터에 다시 접근할 수 있도록 하지만, 동시에 법 집행기관이 접근할 수 있는 잠재적 경로를 제공하기도 한다.

마이크로소프트의 문서에서는 사용자가 복구 키를 마이크로소프트 계정에 백업할 것을 권장하며, 이는 회사가 법적 요청에 응할 수 있도록 한다. 그러나 마이크로소프트는 이러한 요청에 이의를 제기하는지, 또는 FBI나 다른 기관이 어떤 법적 권한에 따라 복구 키를 획득하는지는 공개하지 않았다.

영향 및 개인정보 보호 우려

이번 공개는 BitLocker를 데이터 보호 수단으로 의존하는 기업 및 개인 사용자에게 중대한 개인정보 보호 및 보안 우려를 제기한다. 법적으로 허용되는 조치이긴 하지만, 복구 키가 클라우드 제공업체와 같은 제3자에 저장될 경우 암호화의 한계를 드러낸다는 점을 강조한다.

보안 전문가들은 이 사례가 **합법적 접근(lawful access)**과 사용자 개인정보 보호(user privacy) 간의 광범위한 긴장 관계를 보여준다고 지적한다. 엄격한 데이터 주권(data sovereignty) 또는 기밀성 요구 사항이 있는 조직은 법적 경로를 통한 무단 접근 위험을 완화하기 위해 키 관리 전략을 재고해야 할 필요가 있다.

보안 팀을 위한 권장 사항

보안 전문가들은 다음 조치를 권장한다:

• BitLocker 키 저장 정책 검토: 복구 키가 필요한 경우가 아니라면 마이크로소프트 계정에 저장하지 않도록 한다.
• 대안 키 에스크로(key escrow) 솔루션 구현: 기업 환경에서는 온프레미스 Active Directory 또는 타사 키 관리 시스템을 활용한다.
• 사용자 교육: 특히 민감하거나 규제 대상 데이터를 다루는 장치의 경우, 클라우드 계정에 복구 키를 저장할 때의 영향을 사용자에게 교육한다.
• 암호화 및 합법적 접근 관련 법적 동향 모니터링: 향후 규정 준수 및 보안 전략에 영향을 미칠 수 있는 법적 변화에 주시한다.

마이크로소프트는 복구 키가 법 집행기관에 제공될 때 사용자에게 통지하는지 여부에 대해서는 언급하지 않았다. 일부 기술 기업은 투명성 강화를 위해 이러한 통지를 시행하고 있다.