내보내기(0) 인쇄
모두 확장

파일 시스템 암호화

업데이트 날짜: 2008년 5월

적용 대상: Windows Server 2008

EFS(파일 시스템 암호화)는 클라이언트 컴퓨터 및 원격 파일 서버의 파일과 폴더를 암호화하기 위한 강력한 도구입니다. EFS를 통해 사용자는 다른 사용자나 외부 공격자의 무단 액세스로부터 데이터를 보호할 수 있습니다.

EFS의 기능

EFS는 사용자 수준의 파일 및 폴더 암호화에 유용합니다. EFS는 Microsoft(R) Windows(R) 2000 운영 체제에서 처음 도입되었으며, 이후에 출시된 운영 체제에서 기능이 향상되었습니다.

이 기능의 대상 사용자

EFS에 관심을 가질 수 있는 그룹은 다음과 같습니다.

  • 기밀 데이터가 무단으로 공개되지 않도록 할 책임이 있는 관리자, IT 보안 전문가 및 준수 담당자

  • 휴대용 Windows Vista® 클라이언트 컴퓨터 또는 서버를 담당하는 관리자

  • 컴퓨터를 공유하고 기밀 정보를 사용하는 사용자

특별 고려 사항

EFS를 구현하기 전에 관리자는 키나 인증서가 손실될 경우의 정보 복구를 계획해야 합니다. EFS는 Windows의 이번 릴리스에서 세 가지 주요 변경 내용을 포함하는 강력한 복구 메커니즘을 지원합니다.

  • KRA(키 복구 에이전트) 변경

  • 이제 DRA(데이터 복구 에이전트)가 스마트 카드에 위치할 수 있으므로 오프라인 복구 스테이션이 필요하지 않으며 원격 복구가 가능합니다.

처음 두 항목은 모두 관리자에게 중요한 변경 내용입니다.

  • ntbackup 도구는 더 이상 운영 체제에 포함되어 있지 않습니다. 대신 Robocopy 유틸리티가 Windows Server® 2008에 추가되었으며, 암호 해독 키가 없어도 EFS로 암호화된 파일을 복사할 수 있습니다. 이런 방식으로 만든 복사본은 암호화된 상태로 유지됩니다. SafeDocs 엔진은 Windows Server 2008에서 EFS 파일 백업을 지원합니다.

이러한 모든 변경 내용에 의해 EFS 배포 계획이 크게 변경될 수 있습니다.

새로운 기능

Windows Server® 2008에서는 EFS에 대한 몇 가지 중요한 기능이 향상되었습니다. 여기에는 스마트 카드에 암호화 인증서를 저장하는 기능, 클라이언트 쪽 캐시에서 파일의 사용자 단위 암호화, 추가 그룹 정책 옵션 및 새로운 키 다시 대조 마법사가 포함됩니다.

스마트 카드 키 저장소

EFS 암호화 키와 인증서를 스마트 카드에 저장하여 암호화 키를 좀 더 강력하게 보호할 수 있습니다. 이 기능은 특히 휴대용 컴퓨터나 공유 워크스테이션을 보호하는 데 유용할 수 있습니다. 또한 스마트 카드를 사용하여 암호화 키를 저장하면 대기업에서 키 관리 업무를 개선할 수 있습니다.

이 기능이 중요한 이유

스마트 카드를 사용하여 EFS 키를 저장하면 해당 키를 컴퓨터 하드 디스크가 아닌 위치에 보관할 수 있습니다. 따라서 다른 사용자나 컴퓨터 절도범이 키를 공격할 수 없으므로 키가 더욱 강력하게 보호됩니다.

차이점

Windows Server 2008 및 Windows Vista의 EFS에서는 사용자가 스마트 카드에 개인 키를 저장할 수 있습니다.

키 캐싱

그룹 정책 설정을 사용하면 캐시되지 않은 모드나 캐시된 모드로 개인 키를 스마트 카드에 저장하도록 EFS를 구성할 수 있습니다.

  • 캐시되지 않은 모드. 일반적인 EFS 작동 방식과 유사하게, 사용자의 개인 키가 필요한 모든 암호 해독 작업이 스마트 카드에서 수행됩니다.

  • 캐시된 모드. 대칭 키가 사용자의 개인 키에서 파생되어 보호된 메모리에서 캐시됩니다. 사용자 키가 필요한 암호화 및 암호 해독 작업은 이 파생된 키를 사용하여 해당하는 대칭 암호화 작업으로 대체됩니다. 이 경우 스마트 카드를 항상 연결된 상태로 유지하거나 모든 암호 해독에 스마트 카드 프로세서를 사용할 필요가 없으므로 성능이 훨씬 향상됩니다.

또한 EFS는 "스마트 카드 필요"를 적용하고 사용자 키의 매개 변수와 캐싱 동작을 제어하는 정책을 제공합니다.

스마트 카드 Single Sign-On

사용자가 스마트 카드를 사용하여 로그온하고 다음 조건 중 하나에 해당하는 경우에는 항상 스마트 카드 SSO(Single Sign-On)가 트리거됩니다.

  • 사용자의 컴퓨터에 유효한 EFS 암호화 키가 없으며, 정책 설정에 따라 EFS에 스마트 카드가 필요합니다.

  • 사용자에게 유효한 EFS 암호화 키가 있으며, 이 키는 로그온에 사용되는 스마트 카드에 있습니다.

SSO가 트리거되면 EFS는 로그온 시 사용자가 입력한 PIN(개인 ID 번호)을 캐시하고 EFS 작업에도 사용합니다. 따라서 세션 중에 EFS의 PIN 프롬프트가 사용자에게 표시되지 않습니다.

암호화 작업을 수행하기 전에 로그온에 사용되는 스마트 카드를 스마트 카드 판독기에서 제거하면 Single Sign On을 사용할 수 없습니다. 처음 EFS 작업을 수행할 때 사용자에게 스마트 카드와 PIN을 입력하라는 메시지가 표시됩니다.

이 변경의 준비 방법

스마트 카드를 사용하여 EFS 인증서를 저장할 준비를 하려면 기존 PKI(공개 키 인프라) 구현을 검사하고 PKI에 EFS 인증서 계획을 포함해야 합니다. 조직에 PKI가 구현되어 있지 않으면 스마트 카드를 사용하여 EFS 인증서를 저장할 수 없습니다.

오프라인 파일의 사용자 단위 암호화

EFS를 사용하여 원격 서버의 오프라인 파일 복사본을 암호화할 수도 있습니다. 이 옵션을 사용하면 오프라인 캐시의 각 파일이 파일을 캐시한 사용자의 개인 키를 사용하여 암호화됩니다. 따라서 해당 사용자만이 파일에 액세스할 수 있으며, 로컬 관리자도 사용자의 개인 키에 대한 액세스 권한이 없으면 파일을 읽을 수 없습니다.

Important중요
여러 사용자가 컴퓨터를 공유하며 둘 이상의 사용자가 특정 파일의 암호화되고 캐시된 복사본을 사용하려고 하면 파일을 캐시할 첫 번째 사용자만이 오프라인 파일 복사본에 액세스할 수 있습니다.

이 기능이 중요한 이유

사용자 단위 암호화를 추가하면 보안이 강화됩니다. 이전에는 컴퓨터의 모든 사용자가 오프라인 캐시의 모든 파일에 액세스할 수 있었습니다.

차이점

이전에는 시스템 키를 사용하여 암호화가 수행되었으므로 한 사용자가 다른 사용자의 오프라인 파일을 읽을 수 있었습니다. 이제는 각 사용자의 개인 키를 사용하여 암호화가 수행되므로 이러한 상황이 발생하지 않습니다.

이 변경의 준비 방법

새로운 EFS 설정을 알아보고 회사의 특정 보안 요구에 맞는 옵션을 선택합니다.

그룹 정책을 통해 EFS의 구성 가능성 향상

그룹 정책을 사용하여 EFS 보호 정책을 한 곳에서 제어하고 회사 전체에 대해 구성할 수 있습니다.

관리자가 EFS에 대한 조직 정책을 정의하고 구현할 수 있도록 다양한 새 그룹 정책 옵션이 추가되었습니다. 여기에는 EFS에 스마트 카드를 요구하는 기능, 페이지 파일 암호화를 적용하는 기능, EFS에 대해 최소 키 길이를 규정하는 기능, 사용자의 문서 폴더의 암호화를 적용하는 기능 및 자체 서명된 인증서를 금지하는 기능이 포함됩니다.

이 기능이 중요한 이유

구성 가능성이 증가하여 관리자가 엔터프라이즈 단위로 EFS 정책을 구성하고 제어할 수 있으므로 관리자의 업무 효율성이 향상됩니다.

차이점

추가 설정을 통해 그룹 정책의 효율성이 향상됩니다. 자세한 내용은 이 항목의 뒷부분에 있는 추가 또는 변경된 설정을 참조하십시오.

이 변경의 준비 방법

그룹 정책의 새로운 EFS 설정을 알아보고 회사의 특정 보안 요구에 맞는 옵션을 선택합니다.

파일 시스템 암호화 키 다시 대조 마법사

파일 시스템 암호화 키 다시 대조 마법사를 통해 사용자는 EFS에 대한 인증서를 선택할 수 있으며, 새로 선택한 인증서를 사용할 기존 파일을 선택하고 마이그레이션할 수 있습니다. 또한 이 마법사를 사용하여 기존 설치의 사용자를 소프트웨어 인증서에서 스마트 카드로 마이그레이션할 수 있습니다. 복구 상황에서 관리자나 사용자가 직접 마법사를 사용할 수도 있습니다. 이는 파일 암호를 해독하고 다시 암호화하는 것보다 더 효율적입니다.

이 기능이 중요한 이유

마법사는 인증서를 선택하거나 파일을 마이그레이션하는 효율적인 단계별 프로세스를 제공합니다.

차이점

파일을 열거나 업데이트할 때마다 자동으로 파일이 다시 암호화되지 않습니다. 마법사는 사용자에게 높은 수준의 유연성을 제공합니다.

이 변경의 준비 방법

테스트 컴퓨터에서 시작을 클릭합니다. 검색 시작 상자에 rekeywiz를 입력하고 Enter 키를 누릅니다. 이렇게 하면 파일 시스템 암호화 키 다시 대조 마법사가 시작되며 해당 작업을 알아볼 수 있습니다.

추가 또는 변경된 설정

Windows Server 2008의 이번 릴리스에서는 그룹 정책을 사용하여 추가 EFS 옵션을 관리할 수 있습니다. 다음 표에 나열된 그룹 정책 설정은 관리 템플릿에서 사용할 수 있습니다.

이 표에서는 각 설정에 대해 간략하게 설명합니다. 특정 설정에 대한 자세한 내용은 GPMC(그룹 정책 관리 콘솔)의 각 설정에 대한 설명 탭을 참조하십시오.

 

템플릿 및 설정 경로 및 설명 기본값

GroupPolicy.admx - EFS 복구 정책 처리 중

컴퓨터 구성\관리 템플릿\시스템\그룹 정책 - 암호화 정책의 업데이트 시기를 결정합니다.

구성되지 않음

EncryptFilesonMove.admx - 암호화된 폴더로 이동한 파일을 자동으로 암호화 안 함

컴퓨터 구성\관리 템플릿\시스템\ - Windows 탐색기에서 암호화된 폴더로 이동된 파일을 암호화하는 것을 방지합니다.

구성되지 않음

OfflineFiles.admx - 오프라인 파일 캐시 암호화

컴퓨터 구성\관리 템플릿\네트워크\오프라인 파일\ - 이 설정은 오프라인 파일의 암호화 여부를 결정합니다.

note참고
Windows XP에서는 이러한 파일이 시스템 키로 암호화되었지만 Windows Server 2008에서는 사용자 키로 암호화됩니다.

구성되지 않음

Search.admx - 암호화된 파일의 인덱싱 허용

컴퓨터 구성\관리 템플릿\Windows 구성 요소\검색\ - 이 설정은 Windows 검색에서 암호화된 항목을 인덱싱할 수 있게 합니다.

note참고
암호화된 파일을 인덱싱하고 EFS나 다른 수단으로 인덱스를 적절하게 보호하지 않으면 데이터 보안 문제가 발생할 수 있습니다.

구성되지 않음

GPMC 또는 로컬 그룹 정책 편집기(secpol.msc)를 사용하여 다음 EFS 옵션을 구성할 수도 있습니다. 이러한 옵션을 보거나 변경하려면 공개 키 정책 노드를 확장하고 파일 시스템 암호화를 마우스 오른쪽 단추로 클릭한 다음 속성을 클릭합니다.

일반 탭에서는 일반 옵션과 인증서 옵션을 구성할 수 있습니다. 다음과 같은 일반 옵션을 사용할 수 있습니다.

 

옵션 참고 기본값

EFS(파일 시스템 암호화)를 사용하여 파일 암호화

허용 안 함으로 설정하면 이 컴퓨터에서 EFS를 사용할 수 없습니다.

허용 또는 정의되지 않음으로 설정하면 이 컴퓨터에서 EFS를 사용할 수 있습니다.

정의되지 않음

사용자 문서 폴더의 내용 암호화

사용하면 이 컴퓨터에 있는 모든 사용자의 문서 폴더가 자동으로 EFS를 사용하여 암호화됩니다.

사용 안 함

EFS에 스마트 카드 필요

사용하면 EFS에 소프트웨어 인증서를 사용할 수 없습니다.

사용 안 함

스마트 카드에서 캐시 가능한 사용자 키 만들기

사용하면 사용자 세션 중에 처음으로 스마트 카드가 EFS에 필요할 때 이 항목의 앞부분에서 설명한 대로 필요한 키의 캐시된 버전이 만들어집니다.

사용하지 않으면 스마트 카드의 인증서로 보호된 파일을 암호화하거나 암호를 해독할 때마다 스마트 카드를 삽입해야 합니다.

사용

페이지 파일 암호화 사용

사용하면 Windows 메모리 페이징 파일이 EFS를 사용하여 암호화됩니다.

사용 안 함

사용자 키를 만들거나 변경할 때 키 백업 알림 표시

사용하면 새 키를 만들거나 키를 변경할 때마다 복구를 위해 EFS 키를 백업하라는 메시지가 사용자에게 표시됩니다.

도메인에 가입: 사용 안 함

작업 그룹 또는 독립 실행형: 사용

인증서 섹션에서는 다음 옵션을 사용할 수 있습니다.

 

옵션 참고 기본값

인증 기관을 사용할 수 없는 경우 EFS에서 자체 서명된 인증서를 생성하도록 허용

사용하지 않으면 사용자가 인증 기관의 인증서를 제외하고는 EFS를 사용할 수 없습니다.

사용

자체 서명된 인증서에 대한 키 크기

1024, 2048, 4096, 8192 또는 16384비트 키를 선택할 수 있습니다. 키 크기가 크면 보안은 강화되지만 성능이 저하될 수 있습니다.

2048

자동 인증서 요청에 대한 EFS 템플릿

인증 기관에서 EFS 인증서를 요청하는 데 사용되는 인증서 템플릿의 이름입니다.

기본 EFS

note참고
이제 사용자 및 복구에 사용되는 Windows Server 2008의 모든 EFS 템플릿과 자체 서명된 EFS 인증서 모두에서 기본적으로 2048비트 키 길이를 지정할 수 있습니다.

캐시 탭에서 EFS 인증서 캐시의 동작을 조정할 수 있습니다. EFS의 캐싱에 대한 자세한 내용을 보려면 캐시 탭에서 EFS 캐싱에 대해 자세히 알아봅니다. 링크를 클릭하십시오.

기존 코드 변경 여부

EFS에 대해 기존 코드를 변경할 필요는 없습니다.

이 기능의 배포 준비 방법

EFS를 사용하기 전에 다음을 고려해야 합니다.

  • 지정된 복구 에이전트와 복구 프로세스를 설정합니다.

  • 새로운 EFS 설정을 검토하고 특정 보안 요구 사항에 가장 적합한 구성을 결정합니다.

Windows Server 2008의 모든 버전에서 이 기능의 사용 가능 여부

EFS는 Windows Server 2008의 모든 버전에서 파일 시스템의 필수적인 부분이며, 버전 간의 기능상 차이가 없습니다. EFS는 32비트 및 64비트 플랫폼에서 사용할 수 있습니다.

EFS는 Windows Vista® Business, Windows Vista® Enterprise 및 Windows Vista® Ultimate에서 사용할 수 있으며 클라이언트 컴퓨터, 특히 휴대용 컴퓨터에 저장된 데이터를 보호하는 데 유용합니다.

추가 참조

  • EFS에 대한 자세한 내용은 Windows XP 및 Windows Server 2003의 파일 시스템 암호화(http://go.microsoft.com/fwlink/?LinkID=85746)(페이지는 영문일 수 있음)를 참조하십시오.

  • Microsoft 암호화 기술을 사용하여 데이터를 보호하는 방법에 대한 자세한 내용은 모바일 PC용 데이터 암호화 도구 키트(http://go.microsoft.com/fwlink/?LinkID=85982)(페이지는 영문일 수 있음)를 참조하십시오.

이 정보가 도움이 되었습니까?
(1500자 남음)
의견을 주셔서 감사합니다.

커뮤니티 추가 항목

추가
표시:
© 2014 Microsoft