Term
전체 디스크 암호화(Full disk Encryption)
2016 12 29
  • Facebook
  • Twitter
  • Copy URL

최근 몇 년 동안 암호화와 관련하여 FBI가 ‘going dark’ 문제에 대해 많은 이야기가 있었다. Going dark란 영장이 집행된 후 용의자나 테러리스트에 대한 정보를 수집하려 할 때 이를 수행할 권리가 있음에도 적절한 기술이 부족해 수사를 진행하는데 어려움을 겪는 상황을 말한다. 이는 그만큼 암호화 기술이 발달하면서 정보기관들이 정보를 수집하기 힘들어지고 있다는 것을 빗대어 말하고 있다. 더욱이 FBI에서도 용의자의 통화내역이나 이메일, 문자메시지, 채팅 내역 등 많은 것에 암호화를 하고 기술도 고도화되면서 갈수록 정보 수집이 어려워지고 있다며 말하기도 했다.

이미지를 불러오는데 실패했습니다.

언론매체에 많이 노출된 WhatApp에서 적용한 종단간 암호화 방식은 일부분만 암호화를 하는 것이 아니라 전체적으로 암호화를 적용하도록 하는 것이 이 암호화 방식의 가장 큰 핵심이었다. 그런 의미로 많은 이들이 이런 암호화 시스템을 적용하여 보안을 좀 더 높이고자 하기도 했다. 오늘 이야기할 전체 암호화 방식도 종단간 암호화처럼 전체 디스크를 암호화하도록 설계된 시스템이다.

데이터를 보호하는 것은 몇 년 전부터 상당한 이슈거리였다. 특히나 샌 버나디노 (San Bernardino) 아이폰 사건으로 인한 애플(Apple)과 FBI의 공방은 이러한 데이터 보호를 큰 이슈거리로 만들었다. 간단하게 샌 버나디노 아이폰 사건은 버나디오에서 일어난 총격사건에서 FBI는 용의자의 핸드폰인 아이폰5를 얻게 되었다. 이후, 다음에 비슷한 사건이 발생할 것을 대비하여 FBI는 애플 기기에 보호 장치를 해제할 수 있는 기능을 넣고 싶어했다. 하지만 애플은 사용자의 정보를 마음대로 확인할 수 있는 이러한 기능에 대해 직접 거부하는 공개서한을 온라인에 게재하였다. 이러한 사건으로 FBI에 손을 들어주는 무리와 애플에 손을 들어주는 무리가 편이 갈라지면서 상당한 이슈거리가 되었다. 혹자는 이러한 애플의 거부에 마케팅 전략이라며 애플은 자신들의 모바일 기기에 저장된 데이터에 대한 회사 암호화 시스템의 강점을 강조했다고 하기도 한다.

이미지를 불러오는데 실패했습니다.

여기서 애플이 강조한 것은 최근 나오는 최신 기기에서는 애플이 디스크 암호화를 원상복구 하지 않고서는 FBI도 애플도 아이폰의 비밀번호 잠금을 우회할 수 없다고 이야기했다. 하지만 안드로이드 기기에서는 이러한 이야기가 꼭 들어맞는 이야기는 아니다. 실제로 안드로이드 운영체제에서 무차별 공격(brute-force attack)으로 전체 디스크 암호화가 깨지기도 했다. 당시 이 이야기는 스크립트를 사용하여 수천 개의 암호로 추정되는 암호를 기기에 전송하고 암호화를 해제시키는 것이었다.

전체 디스크 암호화(Full disk encryption)는 네트워크를 통해 전송되는 이메일이나 메시지 데이터와는 달리 컴퓨터나 모바일 기기에 직접 적용된다. 이런 암호화 방식이 제대로 적용되면 제조업체, 전화선을 포함한 권한 없는 사용자는 디스크에 저장된 데이터에 접근하지 못한다. 즉, 공항이나 다른 국경에 있는 사람 혹은 정부의 사람이더라도 기기 사용자의 도움 없이는 기기 내에 저장된 데이터에 접근할 수가 없을 것이다. 물론 하드드라이브를 분리하여 다른 컴퓨터에 설치하여도 마찬가지다.

이런 전체 디스크 암호화는 주로 사용되는 운영체제에 내장되어 있다. 사용자로서는 이를 사용하려면 단순하게 강력한 암호나 문장을 설정하기만 하면 된다. 전체 디스크가 암호화된 잠긴 시스템에 접근하려면 전원을 켜고 완전히 부팅하기 전에 암호나 문장을 입력하라는 메시지가 사용자에게 표시된다. 사용자가 암호 혹은 문장을 입력하면 시스템에서 암호화가 해제되고 파일에 대한 접근 권한이 부여된다. 일부 전체 디스크 암호화 시스템에서는 이중 인증이 필요할 때도 있다. 사용자의 암호 입력뿐만 아니라 스마트 카드를 이용해 컴퓨터에 연결된 리더기에 넣거나 보안 토큰에 의해 무작위로 생성된 번호를 입력하는 것이다.

이미지를 불러오는데 실패했습니다.

전체 디스크 암호화는 특정 파일만 암호화하는 파일 암호화와는 다르다. 또한, 전체 디스크 암호화가 꺼져있다면 시스템만 보호하겠지만 전체 디스크 암호화가 설정되어 있으면 시스템에 있는 모든 데이터를 보호한다. 하지만 권한이 있는 사용자가 컴퓨터에 로그인하면 전체 디스크 암호화가 해제되어 데이터나 파일이 그대로 노출된다. 따라서 컴퓨터에 접근할 수 있는 모든 사용자에게 사용자가 로그인된 동안에는 사용자가 개별 파일을 따로 암호화하지 않는 이상 접근이 가능하다. 또한, 네트워크를 통한 해커 공격으로부터 시스템을 보호하지 못한다. 결국 장치에 실제로 접근할 수 있는 사람에 대해서만 보호한다.

그렇다고 접근하는 사람에 한에서 완전한 보안을 제공한다고 보기에는 어렵다. 전체 디스크 암호화는 단지 암호화 시스템만 작동한다. 즉, 약한 암호화 알고리즘을 사용하거나 시스템이 디스크를 암호화하는 방법에 취약점이 있다면 시스템은 잘못된 보안을 제공할 것이다. 최근에는 안드로이드 운영체제 커널에 대한 취약성에 대하여 안드로이드 취약점이 이러한 문제를 잘 보여주고 있다. 또한 수백만 개의 안드로이드 장치에서 사용되는 Qualcomm 프로세서가 안드로이드 디스크 암호화에 손상시키기도 하다. 하지만 여전히 이렇게 간혹 나타나는 취약점을 제외하고는 전체 디스크 암호화 시스템은 데이터를 보호하는데 있어서 가장 중요한 도구 중 하나인 것은 분명하다.

유성경 yuopboy@grayhash.com