Test Report | 풀 디스크 암호화 스위트
상태바
Test Report | 풀 디스크 암호화 스위트
  • 데이터넷
  • 승인 2007.03.22 00:00
  • 댓글 0
이 기사를 공유합니다

“모바일 장비의 데이터 누출을 방지하라”
비싸고 복잡해도 ‘안전’이 최고 … 「세이프부트」 직관적 관리 돋보여

도난당한 노트북 한 대에 민감한 정보가 들어 있다면 비즈니스 전체가 큰 타격을 입을 수 있다. 이러한 재앙을 피하기 위해서는 포괄적인 보안 전략에 반드시 모바일 장비로부터의 데이터 누출을 방지하는 수단을 포함시켜야 한다. 이러한 취지에서 이번에는 강력한 운영 및 관리 기능을 제공하는 풀 디스크 암호화 스위트 세 가지를 테스트해 봤다.

미국의 회사, 대학 및 정부 기관들은 모두 잃어버린 모바일 장비로부터의 데이터 누출을 막기 위한 무장 감시 체제하에 있다. 이번 호에는 하드웨어가 도난당했을 경우 데이터를 안전하게 지킬 수 있는 최선의 방안, 즉 풀 디스크 암호화(Full Disk Encryption)에 대해 보다 자세히 알아본다.
바이러스 피해 다음으로 모바일 기기 절도에 의한 피해가 큰 기업에서 풀 디스크 암호화 스위트를 이행하기는 쉽지 않으며, 가격또한 만만치 않다. 테스트한 제품 가운데 가장 저렴한 제품이 천개의 자리에 대해 장비당 70달러에 육박한다. 물론 비용과 복잡성도 중요하긴 하지만 위험도 마찬가지다.
2006년 CSI/FBI 조사에 따르면, 노트북/모바일 하드웨어 절도는 바이러스에 이어 두 번째로 많은 거의 절반에 가까운 응답자들이 지난 12개월 간 가장 많이 경험한 공격 유형이라고 답했다. 응답자당 손실액은 2005년 1만9천562달러에서 2006년에는 3만57달러로 증가했다. 언론에서 계속해서 노트북 절도를 자세히 조사한다는 것은 곧 암호화에 들어가는 돈이 좋은 PR이라는 보답을 받을 수 있음을 의미한다.
그리고 이제 마이크로소프트가 이 시장에 참여함에 따라 기업에서는 곧 얼마간의 가격 하향조정의 압박을 경험할 수 있을 것이다. 우리는 이번 기사를 준비하면서 비스타의 엔터프라이즈 및 얼터미트 버전에서 선보일 풀 디스크 암호화 유틸리티인 비트로커(BitLocker)가 사용하기 꽤 간편하다는 사실을 알 수 있었다. 디스크 암호화 전문 제품으로서는 이것이 그리 시급한 위협은 아닌데, 그 이유는 모든 컴퓨터에 비트로커가 크게 의존하고 있는 TPM(Trusted Platform Module)이 있는 것은 아니기 때문이다. 하지만 몇 년 안에 이것은 경쟁자가 될 수 있을 것이다.
물론, 풀 디스크 암호화는 소중하긴 하지만 이것이 모든 것을 해결해주는 데이터 보호 솔루션은 아니다. 이것은 장비를 분실했을 때 하드 드라이브가 훼손되는 것을 막아주지만 애플리케이션 및 OS 레벨이나 바이러스 공격은 막지 못할 것이다. 따라서 안티바이러스와 호스트 방화벽이 여전히 필요하며, 백업 암호화 스위트와 데이터 누출 탐지 메커니즘도 마찬가지로 필수다.
게다가 이런 제품은 아직 성숙하고 있는 중이다. 우리가 이야기해 본 몇몇 업체들은 앞으로 몇 개월 안에 새 릴리즈를 계획하고 있었다. 하지만 직원들이 민감한 데이터를 들고 다녀야 하는 조직이라면 현재 나와 있는 제품들이 고려 대상이 될 것이다.

타협하지 말라
풀 디스크 암호화는 침략적(invasive)인데 왜 단순히 파일 레벨의 암호화를 사용하지 않는 것일까? 그 이유는 아무리 동기 부여가 잘 된 엔드 유저라 할지라도 모든 민감한 데이터 인스턴스가 존재하는 곳을 알 수는 없기 때문이다.
마이크로소프트 아웃룩과 인기 있는 웹 브라우저들은 하나의 파일 시스템 여기저기 첨부 파일들을 남겨 놓으며, 심지어 IT에서 볼 것이라고 생각지도 않는 장소에 남기기도 한다. 그리고 폴더 레벨 암호화는 IT가 모든 파일과 애플리케이션을 타이트하게 제어할 수 있을 경우에만 도움이 된다. 그렇다. 풀 디스크 암호화만이 도난당한 장비에 존재하는 데이터의 유출을 막을 수 있는 최상의 방어 라인이 될 수 있다.
하지만 풀 디스크 암호화가 잘못 행해지면 비즈니스 프로세스가 중단될 수 있다. 어떠한 새로운 애플리케이션이든 배치를 할 때는 신중한 준비가 필요하다는 것이야 두 말할 나위가 없지만, 이번에도 역시 이 말을 빼놓을 수가 없다. 반드시 정책 구성에 대해, 하드 드라이브가 잘못됐을 때 어떻게 할지, 암호화 제품이 훼손됐을 경우 OS 재설치에 대해, 이 경로로 갈 경우 마스터 키나 패스워드를 어디에 저장해야 할지 등에 대해 포괄적인 계획을 세워야 한다. 그리고 헬프데스크로 하여금 패스워드를 잊어버려서 자신들의 랩탑에 들어가지 못하는 사용자로부터의 도움 요청을 처리할 수 있게 준비시켜야 한다.
물론 전사적인 풀 디스크 암호화 배치에서 강력한 운영 및 관리 기능은 매우 중요하기 때문에, IT는 사용자나 관리자의 패스워드 및 PIN 재설정과 가능한 경우에는 마스터 패스워드 재설정 같은 일일 업무를 쉽게 수행할 수 있다.
어떤 제품이 가장 기업에서 사용하기 좋게 준비가 돼 있는지를 알아보기 위해 우리는 6개 업체에게 데스크톱과 노트북용 풀 디스크 암호화를 제공하는 제품을 보낸줄 것을 요청했다. 이들 가운데 제품을 우리 네오햅시스 파트너 랩으로 보내 준 업체는 PGP, 세이프부트(Safeboot) 및 세이프넷(SafeNet)이었다. 인트러스트(Entrust)와 볼티지 시큐리티(Voltage Security)는 각각 포인트섹 모바일 테크놀로지스(PointSec Mobile Technologies)와 세이프부트 제품을 재판매한다는 이유로 거절을 했으며, 포인트섹은 우리 요청에 응답하지 않았다.
우리가 검토해 본 세 가지 제품은 우리 테스트 시스템에서 성공적으로 데이터를 암호화시켰지만, 세이프부트의 디바이스 인크립션(Device Encryption)이 특히 두드러졌다. 그 관리 콘솔은 사용이 간편하고 직관적이다. 사용자 복구는 간편했으며, 그 웹 리커버리(Web Recovery) 애플리케이션은 헬프데스크들이 많이 감사하게 될 멋진 시도였다. 여기서는 사용자가 셀프 서비스 웹 리커버리 애플리케이션으로 로그인을 해서 수하 응답(challenge-response) 질문을 설정할 수 있다. 스스로 잠겨서 못 들어가게 될 경우(lock out)에는 헬프데스크를 부를 수 있으며, 헬프데스크에서는 애플리케이션에 로그인을 해서 수하 응답에 액세스를 하고, 일회용 키를 발급할 수 있다.
PGP의 홀 디스크 인크립션(Whole Disk Encryption)은 감사와 로깅에서 좋은 점수를 받았으며, 가장 낮은 가격이었다. 하지만 PSP는 자사의 유니버설 서버(Universal Server) 관리 인터페이스에 풀 디스크 암호화 옵션을 통합시키는 데 있어 보다 나은 모습을 보여주어야 했다.
세이프넷의 프로텍트드라이브(ProtectDrive) 7.2는 엔터프라이즈에서 쓰기는 적합지 않은 것 같다. 이 제품은 관리 및 통합 기능이 부족할 뿐 아니라, 테스트 환경에 있는 액티브 디렉토리 스키마를 실제로 변경시켰다. 생산 환경에서 이것은 용서받을 수 없는 결함이다.
세 개 제품이 모두 윈도만 지원하는 것은 실망스러운 점이었다. 너무 낙관적으로 생각했는지는 모르겠지만 우리는 맥 OS X 기계와 심지어 리눅스 장비에서도 작동되는 게 있으리라 기대했기 때문이다. 아마도 비트록커의 출현이 이런 업체들로 하여금 지평을 넓힐 수 있게 자극이 될 수도 있을 것이다.

암호화를 너머
우리는 전사적으로 풀 디스크 암호화를 고려하고 있는 IT관리자와 데스크톱 운영자들이 걱정할 만한, 다음의 다섯 가지 문제를 중심으로 테스트를 구성했다.

1. 암호화가 OS 부팅 이전에 시작되는가, 이후에 시작되는가?
보통 부트 시퀀스의 진행 절차는 이러하다. 전원이 켜지면 CPU가 초기화 된다. 바이오스가 메모리를 스캐닝하며, 비디오 카드와 하드 드라이브 같은 하드웨어를 확인한 다음 로딩할 마스터 부트 레코드를 찾는다. 테스트한 모든 제품은 여기서 마지막 단계를 변경했다. 즉 바이오스가 로딩할 마스터 부트 레코드를 찾을 때 암호화 제품이 그 자체의 부트 로더를 로딩함으로써 제어권을 넘겨 받는 것이다. 그런 다음 암호화 제품은 사용자 이름이나 패스워드/PIN/패스프레이즈를 요구한다. 세이프부트와 세이프넷 제품은 사용자 이름과 패스워드를, PGP는 패스프레이즈만 요구했다.
모든 제품은 OS 부팅 이전에 풀 디스크 암호화 보호를 시작했는데 이러한 프로세스는 인증받은 사용자만 OS를 부팅할 수 있게 해준다. 이것은 또한 인증받은 사용자가 포렌식스(forensics)용으로, 혹은 드라이브를 고스팅(ghosting)하기 위해 유틸리티를 실행할 수 있음을 의미한다.

2. 암호화가 하이버네이션/서스펜드(hibernation/suspend) 모드를 지원하는가?
바쁜 사용자는 종종 하루 일을 끝내고 노트북을 끄지 않곤 한다. 장비를 서스펜딩, 혹은 하이버네이팅하기 때문에 중단했던 데서 다시 시작할 수 있기 때문이다. 보안 관점에서 보자면 이것은 문제의 소지가 있다. 하드드라이브에 기록이 되고 있을 때 디스크 암호화 제품이 메모리를 암호화하지 않고 노트북이 도난당할 경우, 드라이브를 장착해서 메모리에서 기록된 데이터를 읽는 사람에 의해 당신의 데이터가 위태로울 수 있기 때문이다. 다행히도 테스트한 모든 제품은 하드 드라이브에 기록되고 있는 데이터를 계속해서 암호화 해줬다. 따라서 침입자가 노트북을 훔칠 경우 드라이브를 빼서 이것을 다른 기계에 장착한다고 해도 액세스는 불가능하다.
세이프부트의 디바이스 인크립션에는 보안 스크린세이버가 포함돼 있으며, 허가받은 사용자만 이것을 풀 수 있게 돼있다.

3. 사용자가 자신들의 패스워드나 PIN을 어떻게 재설정할 수 있는가?
헬프데스크가 잊어버린 패스워드와 PIN 재설정에 쓰게 될 시간과 노력이 얼마나 되겠는가? 조직이 풀 디스크 암호화를 이행할 만큼 충분히 보안을 의식하고 있다면, 아마도 사용자로 하여금 몇 개월 지나지 않아 패스워드를 매번 바꾸도록 요구하는 강력한 패스워드 정책을 갖고 있을 것이며, 이는 곧 필요한 재설정 수가 꽤 많다는 의미다.
세이프부트 디바이스 인크립션과 세이프넷 프로텍트드라이브는 수하 응답 시스템을 이용해 키를 만들며, 사용자는 패스워드를 잊어버릴 때 이것을 헬프데스크에게 준다. 그러면 헬프데스크는 드라이브를 부팅할 일회용 키를 만들며, 그런 다음 사용자는 자신들의 패스워드를 변경해야 한다. 세이프넷에서는 그 지원이 느슨하긴 했지만 세 제품 모두 액티브 디렉토리 통합을 지원했다.
세이프부트 디바이스 인크립션은 웹 헬프데스크(Web Helpdesk)를 만들 수 있게 해주었는데, 이것은 헬프데스크 직원이 로그인을 해서 사용자 패스워드를 재설정할 수 있는 웹 애플리케이션이다. 디바이스 인크립션에도 또한 유용한 웹 리커버리 기능이 있다. 세이프넷는 어떠한 웹 기반 헬프데스크나 웹 자가 복구 옵션을 지원하지 않는다. 그리고 PGP의 접근 방식은 다른 것들과는 달랐다. 사용자는 자신들의 패스프레이즈를 쉽게 바꿀 수 있지만, 자신들의 계정에 로그인을 해서 PGP 데스크톱 소프트웨어가 그렇게 하도록 해야 한다. 또한 PGP 유니버설 서버에서 키 복구를 가동시켰을 경우에는 헬프데스크가 사용자의 패스워드를 복구할 수 있다. 이 옵션이 가동되지 않았을 경우에는 관리자가 사용자의 패스프레이즈를 복구하거나 재설정할 수 없을 것이다.

4. 관리자가 패스워드나 PIN을 어떻게 재설정하는가?
IT 그룹에서는 소프트웨어 패치 및 업데이트, 운영 시스템 복구/재설치, 그리고 포렌식스 등 다양한 작업을 위해 엔드유저 기계에 정기적으로 관리자 액세스를 해야 할 필요가 있다. 따라서 관리자로 하여금 정기적으로 이들의 패스워드를 바꾸도록 요구하는 정책이 좋은 정책이다.
세이프부트는 이 부문에서 두드러졌는데, 그 관리 인터페이스 안에서 우리는 특정 관리자 권한을 사용자나 그룹에 허용할 수 있었다. 그러면 패스워드나 PIN을 변경하는 프로세스가 엔드유저에 대한 것과 동일하다. PGP에서는 관리자가 PGP 유니버설 서버로 로그인을 해서 여기서 자신들의 패스워드를 바꿀 것이다. 세이프넷에는 관리자 패스워드가 없다. 세이프넷를 설치하는 사용자가 그 기계의 관리자기 때문이다.

5. 적용 가능할 경우, 관리자가 마스터 패스워드나 PIN을 어떻게 재설정하는가?
해고를 당한 사용자가 IT에게 자신의 하드 드라이브를 열 수 있는 인증서를 주려 하지 않을 경우, 조직에 있는 어떤 드라이브의 암호든 풀 수 있는 마스터 키가 없으면 데이터를 잃어버릴 수 있다.
반면 마스터키를 저장해 둔 드라이브가 훼손당할 경우에는 게임 끝이다. 우리는 지나치게 조심하는 편이 더 낫다고 생각한다.
세이프부트 디바이스 인크립션에는 마스터 패스워드가 없으며, 노트북 드라이브를 암호화하기 위한 공동 키도 사용하지 않기 때문에 마스터 키를 안전하게 저장하는 데 대해 염려할 필요가 없다. PGP 제품에도 또한 마스터 키가 없다.
반면 세이프넷 프로텍트드라이브는 정말이지 편치 못한 방법을 사용하고 있다. 제품을 어떻게 설치하느냐에 따라 같은 키를 사용해 모든 하드드라이브를 암호화하거나, 혹은 모든 설치 인스턴스용으로 하나의 새 키를 만들게 되는데, 이는 둘 다 받아들이기 힘든 방법이다. 하나의 키만 보호하거나, 아니면 1만5천개의 키를 보를 보호하거나 해야 하기 때문이다. 키를 잃어버릴 경우에는 데이터도 잃게 되며, 이는 어떤 관리자든 감수하기 힘들어 할 위험이다.

관리 능력 평가
관리는 모든 필요조건의 어머니다. 우리는 사용자를 로그아웃하고, 사용자에게 특정 허가를 주고, 사용자 그룹을 만들고, 업데이트를 푸싱하고, LDAP나 액티브 디렉토리 인프라로 통합을 하고, 그리고 사용자 패스워드, 패스워드 길이, 패스워드 강도, 재시도 횟수, 록아웃 시간 및 사용자 복구 등에 대한 허가를 설정할 수 있기를 원했다.
여기서도 세이프부트는 무리 중 최고였다. 세이프부트 어드미니스트레이터(Administrator)는 관리 작업을 사용자, 그룹 및 기계별로 나누며, 각 범주에는 패스워드 제한 설정이나 ACL(access-control list) 생성 같은 여러 가지 옵션이 있다. 우리는 한 번의 마우스 클릭으로 사용자를 로그아웃할 수 있었다.
세이프부트는 패스워드를 재설정할 수 있는 몇 가지 방법을 제공한다. 사용자는 조직의 헬프데스크로 전화를 하며, 여기서 직원은 액세스를 갖고 있을 경우 세이프부트 관리 인터페이스를 사용할 수 있다. 사용자는 또한 웹 헬프데스크를 사용할 수도 있는데, 이것은 헬프데스크에서 웹 애플리케이션에 접속할 수 있게 해준다. 이러한 기능은 세이프부트 관리 인터페이스로 액세스를 하는 별도의 그룹을 만들 필요가 없기 때문에 기업에게 큰 이점이 될 수 있다. 세이프부트의 편리한 진단 및 복구 유틸리티인 세이프테크(SafeTech)도 또한 드라이브가 훼손되기 시작할 때 유용하게 사용될 수 있어 마음에 들었다.
세이프부트에는 LDAP와 액티브 디렉터리 커넥터가 포함돼 있다. 우리는 액티브 디렉토리 커넥터를 이용해 사용자를 세이프부트 인프라로 파퓰레이팅시켰다. 세이프부트는 변경이 즉각적으로 이행이 될 경우 동기화 정책을 사용자에게 시행할 수 있게 해준다. 우리는 사용자를 로그아웃하고 동기화를 강요함으로써 이 기능을 시험해 봤으며, 로그인을 시도하자 OS로의 액세스를 거부당했다.
한 가지 약점이 있다면 사용자가 온라인이고 관리 인터페이스가 장비와 통신을 할 수 있을 때만 동기화를 할 수 있었다는 것이다. 사실 어떤 제품도 부트 레벨에서 네트워크 액세스를 제공하지 않기 때문에 이들이 네트워크로 로그온을 할 때까지는 변화(예를 들어 사용자 로그아웃)를 동기화할 수가 없다.
세이프넷 디바이스 인크립션의 관리 인프라는 많이 부족한 모습이었다. 세이프넷은 액티브 디렉토리로 통합되는 관리 서버를 제공했다. 우리는 이것이 테스트 환경에 있는 액티브 디렉토리 스키마를 변경시켰다는 사실에 소름이 끼쳤다. 대부분의 조직에서 아마 이것은 받아들이기 힘든 결점일 것이다. 설상가상으로 여기에는 사용자를 로그아웃시킬 수 있는 방법도 없으며, 서버 컴포넌트의 기능성도 또한 제한적이었다. 이것은 관리자가 액세스를 직렬 포트와 LPT 포트로만 허가, 혹은 제한할 수 있게 해주었다.
세이프넷은 기사가 나가는 시간까지 서버 컴포넌트의 관리 부분 기능성을 보강한 프로텍티브드라이브 업데이트 버전을 발표한다고 말했다. 그리고 부팅이 안되거나 훼손된 시스템을 복구시킬 수 있는 편리한 도스 유틸리티들을 상당수 제공하고 있다.
PGP 홀 디스크 인크립션 안에 있는 사용자 관리도 또한 실망스러운 수준이었다. PGP는 오랫동안 암호화 시장에 몸담아 왔으며, 그런 만큼 우리는 멋진 사용자 관리 인터페이스를 기대했다. 하지만 우리는 부족한 풀 디스크 암호화 기능성 옵션들밖에 발견할 수 없었다. 예를 들어 사용자가 액세스할 수 있는 것, 나아가 더 중요하게 이들이 할 수 있는 것을 제한할 수 있는 ACL 기능이 없었다.
PGP의 유니버설 서버는 분명 PGP의 다른 제품용으로 만들어진 것이며, 풀 디스크 암호화 관리는 배치에 필요한 모든 것에 대해 실질적인 배려가 전혀 없이 단순히 덧붙여진 것으로밖에 보이지 않았다. 자바 웹 인터페이스는 보기에는 멋졌지만 길을 잃기가 너무 쉬웠다.

감사 추적
감사와 이벤트 로그는 계정으로의 실패한 로그인 시도가 있을 때나, 혹은 암호화된 드라이브에서 발생하고 있는 에러가 있을 때, 감사 추적(audit trail)을 세우고 사용자가 언제 패스워드를 바꾸고 있는지를 파악하는 데 결정적으로 중요하다. 포렌식스 관점에서 볼 때 로그는 의심스러운 활동을 계속해서 추적하는 데 필요하다.
여기서도 세이프부트가 가장 두드러졌다. 세이프부트는 모든 사용자, 그룹 및 기계의 로그를 보관하며, 발생을 하고서 완료되거나 실패한 모든 동기화의 로그도 보관한다. 우리가 감사 로그를 확인했을 때 여기에는 로그인한 사용자, 실패한 로그인 시도, 구성 업데이트 확인, 그리고 패스워드가 복구된 때 등 많은 정보가 포진된 감사 로그들이 있었다. 세이프부트는 또한 누가 로그를 보고, 엑스포팅하고, 삭제할 수 있는지를 지정할 수 있는 옵션도 제공했다. 한 가지 단점은 시스로그 서버로 로그를 엑스포팅하는 옵션이 없다는 점인데, 이것은 많은 모니터링 환경에서 중요한 기능이기도 하다.
PGP는 웹 인터페이스를 통한 로깅을 제공하며, 활동과 통계 그래프도 제공하고 있으며, 그 검색 옵션은 인상적이었다. 특정 로그나 시간을 찾았을 때 우리는 이벤트를 좁혀 내려가거나 핀포인팅할 수 있었다. PGP를 돋보이게 하는 또 한 가지 특징은 외부의 시스로그 서버로 로그를 보낼 수 있다는 것이다.
세이프넷에는 사용자가 로그인을 했을 때 나타나는 팝업 다이얼로그가 있는데, 여기에는 성공하지 못한 로그인 시도 횟수가 기록돼 있다. 하지만 로깅에 대한 중앙 집합 센터는 없었다. 강력한 로깅의 부재로 실망하는 조직들이 많을 것이며, 세이프넷은 다음 버전에서 반드시 이 부분을 해결해야 한다.

가격
우리 가격 점수는 1천 시트용으로 시트당 영구 라이선스 비용을 기준으로 했다. 여기서는 PGP 유니버설 매니지먼트 서버가 있는 PGP 홀 디스크 인크립션이 일년 유지보수비를 포함해 67.10달러로 가장 적합했다. 비스타를 기다리면서 위험을 피하고 싶어하는 사람들에게는 시트당 28달러짜리의 연간 계약도 고려해 볼만하다.
홀 디스크 인크립션은 다른 PGP 제품을 사용하는 조직에게는 좋은 선택이 될 것이다. 세이프넷 프로텍트드라이브 7.2는 우리 가격 시나리오에서 81달러였으며, 세이프부트 디바이스 인크립션은 123달러였다. 이들은 둘 다 유지보수나 가입자 기반 가격에 대한 세부 사항은 제공하지 않았다.


비스타가 디스크 암호화 전문 스위트들을 물리칠 수 있을까?

마이크로소프트는 새로운 데스크탑 OS인 윈도 비스타에서 강력한 보안성을 갖추기 위해 노력해 왔다. 그리고 이러한 노력의 일환으로 비스타 엔터프라이즈와 얼터미트 버전용 풀 디스크 암호화 애드온인 비트록커가 포함된다. 이것은 흥미로운 구성인데, 소프트웨어에 하드웨어를 결합시킴으로써 현재 나와 있는 어떠한 써드파티 소프트웨어도 따라잡을 수 없는 또 하나의 보안 계층을 추가해주기 때문이다.
비트록커의 한 가지 주요 구성요소는 TPM(Trusted Platform Module) 1.2의 사용인데, TPM은 마더보드에 들어 있는 하나의 마이크로칩으로 구성돼 있다. 이 모듈은 암호화 키를 안전하게 생성할 뿐만 아니라 키, 패스워드 및 전자 인증서를 보관한다.
몇몇 하드웨어 업체들이 새 시스템에 TPM을 포함시키고 있으며, 현재 레노보(Lenovo)의 씽크패드 R52, 씽크패드 T43 및 씽크패드 T43p가 모두 이들을 갖고 있다. 우리는 이러한 추세가 앞으로 더 확대될 것으로 보고 있다. 비트록커는 TPM이 없이 컴퓨터에서 사용될 수 있다. 하지만 사용자가 스타트업 키를 저장하기 위해서는 USB 장비를 사용해야 할 것이다. 바이오스는 부팅시 USB 키를 읽을 수 있어야 한다.
비트록커는 간단히 셋업할 수 있다. 우리가 이것을 구성하는 데는 두 개의 파티션이 필요했는데 첫 번째 것이 최소한 1.5GB는 돼야 했다. 이 파티션은 부팅 컴포넌트를 로딩하고, 암호해독 프로세스가 시작되기 전에 어떠한 컴포넌트가 변경됐는지 여부를 확인하는 데 사용된다.
두 번째 파티션은 메인 파티션으로서 운영 시스템과 사용자 데이터가 있는 곳이다. 우리는 전체 비스타 설치를 통과하고 비스타를 두 번째의 보다 큰 파티션에 두었다. 그리고 제어판으로 가서 비트록커를 클릭한 다음, 몇 단계를 밟아서 풀 디스크 암호화에 안전히 도달했다. 사용자 관리는 액티브 디렉토리를 통해 수행이 되는데, 액티브 디렉토리는 TPM 키뿐만 아니라 복구 키(비트록커 설치시에 생성되는 48자리 수의 키)까지 저장할 수 있다.
비스타의 비트록커에 대한 보다 상세한 정보는 microsoft.com/technet/itsolutions/msit/security/bde_note.mspx에서 찾을 수 있다.


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.