마이크로소프트, FBI에 비트로커 키 제공 확인: 클라우드 기반 암호화의 데이터 주권 리스크 부각

트렌드 키워드

• 비트로커 (BitLocker):

  윈도우 운영체제에 내장된 디스크 전체 암호화(Full-Disk Encryption) 기능. 장치 도난 또는 분실 시 하드 드라이브의 모든 데이터를 암호화하여 무단 접근으로부터 보호하는 역할을 수행. 최신 윈도우 PC에서는 사용자 편의를 위해 이 암호화 복구 키(48자리 코드)를 마이크로소프트 계정의 클라우드 서버에 백업하도록 기본 설정되어 있어, 사용자가 비밀번호를 잊거나 로그인 시도 실패로 장치가 잠겼을 때 데이터 복구를 용이하게 하는 시스템. 이 키가 클라우드에 저장되어 있을 경우 마이크로소프트가 법적 명령을 준수하기 위해 키를 당국에 제공할 수 있는 기술적 능력을 보유하게 되어 데이터 주권에 대한 논란을 야기하는 지점

  “이 데이터는 비트로커로 보호되었는데, 이 소프트웨어는 많은 최신 윈도우 PC에서 하드 드라이브의 모든 데이터를 보호하기 위해 자동으로 활성화되는 기능”
• 데이터 주권 (Data Sovereignty):

  <

  데이터가 생성되고 저장되는 방식에 대해 개인이 자신의 데이터를 통제하고 관리할 수 있는 권리. 이 개념은 데이터가 저장된 물리적 위치의 법률과 규제를 따르며, 사용자의 동의 없이 제3자(기업 또는 정부)가 데이터에 접근할 수 없어야 한다는 원칙을 강조. 마이크로소프트의 사례에서 보듯이, 편리성을 위해 암호화 키를 클라우드에 저장하는 것은 사용자 통제권을 약화시켜 개인 정보 보호 및 디지털 권리에 심각한 위협을 초래하며, 이는 특히 인권 기록에 문제가 있는 외국 정부의 데이터 요구에 노출될 위험을 높이는 결과

  >

  1 / 4

  “기술 기업들이 사용자들의 암호화 키를 비밀리에 넘겨줄 수 있는 방식으로 제품을 출시하는 것은 단순히 무책임한 행동데이터 주권”
• 클라우드 키 에스크로 (Cloud Key Escrow):

  암호화된 데이터의 복구 키를 데이터 소유자 외의 제3자(일반적으로 서비스 제공업체)가 보관하는 방식. 이 방식은 사용자가 키를 분실했을 때 데이터를 복원하기 위한 '편의' 목적으로 제공되지만, 이 키를 보관하는 주체가 법 집행기관의 유효한 법적 명령에 따라 키를 제출할 의무가 생겨 데이터 접근 권한을 잃을 수 있는 심각한 보안 및 프라이버시 위험을 내포. 마이크로소프트는 이러한 편의성을 강조하는 설계 방식을 채택하고 있으며, 이로 인해 연평균 약 20건의 비트로커 키 요청을 당국으로부터 받고 있는 상황

  “키 복구는 편리성을 제공하지만, 원치 않는 접근의 위험도 수반되므로 마이크로소프트는 고객이 키 관리 방법을 결정하는 데 가장 좋은 위치에 있다고 믿는다클라우드 키 에스크로”
• 제로 지식 아키텍처 (Zero-Knowledge Architecture):

  서비스 제공업체가 사용자의 데이터나 암호화 키를 보유하더라도, 기술적으로 그 내용을 해독할 수 없도록 설계된 시스템. 서비스 제공업체는 데이터에 대한 '지식(knowledge)'이 '제로(zero)'인 상태를 유지하며, 오직 사용자만이 자신의 마스터 비밀번호나 장치 특정 키를 통해 데이터를 해독할 수 있도록 보장. 이는 클라우드 서비스의 편리성을 유지하면서도, 서비스 제공업체가 법적 명령을 받거나 해킹을 당하더라도 사용자 데이터의 프라이버시를 보호하는 강력한 방법으로, 애플이나 메타 등 주요 IT 기업들이 보안 강화 목적으로 채택하고 있는 방식

  “애플과 메타는 사용자들에게 클라우드에 키를 암호화된 파일로 보관하도록 허용하여, 법 집행기관의 키 요청이 무용지물이 되도록 한다제로 지식 아키텍처”