BitLocker에 백도어가 있다? 마이크로소프트의 디스크 암호화가 흔들리는 순간

노트북 분실해도 안전하다던 그 암호화

회사에서 노트북을 잃어버렸을 때 "BitLocker 켜놨으니까 괜찮을 거야"라는 말, 한 번쯤 들어보셨을 거예요. BitLocker는 마이크로소프트가 Windows에 기본 탑재한 디스크 전체 암호화(full disk encryption) 기능인데요, 이게 뭐냐면 디스크에 저장된 모든 데이터를 통째로 암호화해서 비밀번호나 키 없이는 읽을 수 없게 만드는 보안 기능입니다. 기업 보안 정책의 기본이고, 분실/도난 시 정보 유출을 막는 최후의 방어선이죠.

그런데 한 보안 연구자가 "BitLocker에 마이크로소프트가 의도적으로 만든 백도어가 있다"고 주장하면서 실제 작동하는 익스플로잇(공격 코드)까지 공개했다는 소식이 들려왔어요. 사실이라면 전 세계 수억 대의 Windows 기기에 영향을 미치는 심각한 문제입니다. 다만 "백도어"라는 단어 자체가 강한 표현이라, 마이크로소프트 측의 반응과 기술적 사실관계를 차분히 살펴볼 필요가 있어요.

무엇이 발견되었나

연구자가 주장하는 핵심은, BitLocker의 키 복구 메커니즘에 공격자가 물리적으로 기기에 접근했을 때 암호화 키를 추출할 수 있는 경로가 존재한다는 거예요. BitLocker는 보통 TPM(Trusted Platform Module)이라는 보안 칩에 마스터 키를 보관해요. TPM이 뭐냐면, 메인보드에 박혀 있는 작은 보안 전용 칩인데 비밀 키를 외부에서 읽지 못하도록 격리해서 보관하는 역할을 합니다. 부팅 과정에서 OS 무결성을 확인한 뒤에야 디스크 암호화 키를 풀어주는 거죠.

문제는 TPM과 CPU 사이의 통신 버스(LPC 버스나 SPI 버스)를 도청하면 키가 평문으로 오갈 수 있다는 점이에요. 이건 사실 새로운 발견은 아니에요. 2021년경부터 "TPM sniffing" 공격이 알려졌고, 라즈베리 파이 피코 같은 저렴한 장비로도 시연된 적이 있습니다. 다만 이번 연구자의 주장은 거기서 한 발 더 나아가, 마이크로소프트가 특정 키 복구 경로를 의도적으로 남겨뒀다고 본 거예요. 단순한 설계 결함이 아니라 의도된 백도어라는 강한 표현을 쓴 거죠.

이게 사실인지는 추가 검증이 필요한 영역이에요. 보안 업계에서는 "의도된 백도어"와 "우연한 설계 결함"을 가르는 기준이 까다롭거든요. 어쨌든 익스플로잇이 공개됐다는 건 적어도 "기술적으로 키를 빼낼 수 있는 경로"는 실재한다는 뜻입니다.

디스크 암호화는 어떻게 동작하나

조금 더 깊이 들어가 볼게요. BitLocker는 부팅 시퀀스가 이렇게 흘러갑니다. 전원이 켜지면 메인보드의 펌웨어(UEFI)가 부트로더를 실행하고, 부트로더는 TPM에 "내 상태가 정상이야, 키 줘"라고 요청해요. TPM은 PCR(Platform Configuration Register)이라는 측정값을 비교해서 부팅 환경이 변조되지 않았다고 판단하면 디스크 키를 풀어줍니다. 이 키가 CPU로 전달되어 메모리에 올라가면, 그때부터 디스크 읽기/쓰기가 자동으로 복호화되는 구조예요.

공격자는 노트북을 입수한 뒤 케이스를 열고 TPM 칩 주변의 핀에 로직 애널라이저를 클립으로 물려요. 그리고 노트북을 켜면 부팅 과정에서 키가 평문으로 잠깐 오가는 순간을 캡처합니다. 이렇게 빼낸 키로 디스크 이미지를 떠서 복호화하면 끝이에요. 시간은 길어야 수십 분이면 충분하다고 알려져 있죠. 이런 공격을 막으려면 사용자가 부팅 시 PIN을 입력하도록 설정(BitLocker pre-boot PIN)하거나, TPM 통신을 암호화하는 fTPM(firmware TPM)을 쓰거나, 키를 외부로 못 빼게 묶는 옵션을 켜야 합니다.

마이크로소프트의 입장과 업계 반응

마이크로소프트는 일반적으로 이런 공격을 "물리적 접근이 전제된 공격(physical attack)"으로 분류하면서 "우리 위협 모델 밖이다"라는 입장을 취해 왔어요. 즉 "노트북을 빼앗기면 어차피 안전을 보장하기 어렵다"는 거죠. 하지만 BitLocker의 마케팅은 정확히 그런 시나리오, 즉 "노트북을 잃어버려도 데이터는 안전하다"를 약속해 왔기 때문에 모순이라는 비판이 있어요.

업계에서는 Apple의 FileVault, Linux의 LUKS, Google ChromeOS의 verified boot 등 비슷한 디스크 암호화 기술들이 모두 비슷한 종류의 공격에 노출되어 있다는 점도 함께 봅니다. 다만 Apple은 T2/Apple Silicon에서 보안 칩과 CPU가 한 패키지에 통합되어 있어 버스 도청이 사실상 불가능에 가깝고, 그래서 상대적으로 안전하다는 평가가 많습니다. Microsoft Pluton이라는 새로운 보안 칩도 같은 방향이에요. TPM을 CPU 안쪽으로 끌고 들어가서 외부 버스 노출을 없애는 시도죠.

한국 개발자와 보안 담당자에게 주는 시사점

첫째, 회사에서 BitLocker만 켜놓고 "우리 안전해"라고 생각하면 안 됩니다. pre-boot PIN을 함께 쓰는 정책을 강하게 권장합니다. 부팅 시점에 사용자가 직접 PIN을 입력해야 키가 풀리도록 설정하면 TPM sniffing 공격으로도 키를 못 얻거든요. 약간의 사용자 불편이 있지만, 임원이나 개발자 노트북처럼 민감한 자산은 반드시 적용할 가치가 있어요.

둘째, 새로 도입하는 기기는 가능하면 Pluton 지원 CPU나 fTPM 기반 시스템을 우선 고려해 보세요. AMD나 Intel의 최신 칩셋에서 펌웨어 TPM이 기본인 경우가 늘고 있어요. 셋째, 분실/도난 시 원격 와이프가 빠르게 동작하도록 Intune이나 MDM 정책을 점검해야 합니다. 키를 빼앗기기 전에 디스크를 지워버리는 게 가장 확실하니까요.

그리고 개인적으로도 회사 외부에서 노트북을 호텔 방에 두고 외출하는 일이 잦은 출장자라면, 이번 사건을 계기로 보안 정책을 다시 점검해 볼 만합니다.

마무리

핵심은 "디스크 암호화는 만능이 아니다"라는 사실이에요. 물리적 접근이 가능한 상황에서는 추가 방어선(PIN, Pluton, 원격 와이프)이 반드시 함께 있어야 진짜 보호가 됩니다.

여러분 회사에서는 노트북 분실 시 데이터 유출을 막기 위해 어떤 정책을 운영하고 계신가요? BitLocker pre-boot PIN, 운영해 보셨나요?