윈도우 비트라커 설정법 — 복구 키를 MS에 안 맡기는 방법
BitLocker를 켜는 법부터 복구 키 로컬 저장, Microsoft 계정 백업 삭제, TPM 없이 설정하는 법까지. 암호화의 열쇠를 내가 쥐는 실전 가이드.
노트북을 잃어버리거나 반납할 때 파일이 새어나갈까 봐 — 지금 당장 디스크 암호화를 해두고 싶은 거다. 설정을 미뤄도 딱히 탈 없을 것 같지만, 암호화는 사고가 난 뒤에 켜봤자 소용없다.
비트라커(BitLocker)를 켜고 싶은데, 검색하면 복구 키가 마이크로소프트 서버로 올라간다는 얘기가 나온다. 실제로 FBI가 영장 한 장으로 그 키를 넘겨받아 노트북을 풀어버린 사건도 있었다.
“그러면 비트라커를 어떻게 걸어야 안전한 건데?” — 이 글은 그 질문에 대한 답이다.
복구 키를 마이크로소프트에 안 넘기고, 내 손에만 두는 설정법을 처음부터 끝까지 정리했다.
먼저 확인 — Pro 에디션인가?
BitLocker 전체 기능은 Windows Pro 이상에서만 쓸 수 있다. Home 에디션에서는 설정 메뉴 자체가 나오지 않는다.
내 에디션 확인법: 설정 → 시스템 → 정보 → “Windows 사양” 항목에 에디션이 적혀 있다.
Home이면 두 가지 선택지가 있다. 하나는 Pro로 업그레이드하는 것(MS 스토어에서 유료), 다른 하나는 VeraCrypt 같은 오픈소스 암호화 도구를 쓰는 것이다. VeraCrypt는 에디션 제한이 없고, 복구 키가 클라우드에 올라가는 구조 자체가 없다.
TPM이 뭔지, 있는지 확인
TPM(Trusted Platform Module)은 메인보드에 박혀 있는 보안 칩이다. 암호화 키를 하드웨어 수준에서 보관해서, 디스크를 뽑아 다른 PC에 꽂아도 못 읽게 만드는 역할을 한다.
BitLocker는 기본적으로 TPM 1.2 이상을 요구한다.
내 PC에 TPM이 있는지 확인하려면: Win + R → tpm.msc 입력 → Enter. “TPM을 사용할 준비가 되었습니다”라고 뜨면 있는 거다. 버전도 여기서 확인된다. 2016년 이후 출시된 노트북 대부분은 TPM 2.0을 탑재하고 있다.
TPM이 없다고 나오면? 아래 “TPM 없이 BitLocker 쓰는 법” 섹션에서 다룬다.
BitLocker 켜기 — 단계별
1단계: 드라이브 우클릭
파일 탐색기 → “내 PC” → C: 드라이브(운영체제가 설치된 드라이브) 우클릭 → “BitLocker 켜기” 선택.
D: 드라이브나 다른 데이터 드라이브가 있으면 그것도 따로 걸어야 한다. BitLocker는 드라이브 단위로 작동한다.
2단계: 잠금 해제 방식 선택
“암호를 사용하여 드라이브 잠금 해제”를 선택한다.
비밀번호 규칙: 대소문자 + 숫자 + 특수문자 조합, 8자 이상. 길수록 좋다. 이 비밀번호를 잊으면 복구 키 없이는 디스크를 영영 못 연다.
3단계: 복구 키 저장 — 여기가 핵심
복구 키 백업 방법을 묻는 창이 나온다. 보통 세 가지 선택지가 뜬다.
- Microsoft 계정에 저장
- 파일에 저장
- 복구 키 인쇄
“Microsoft 계정에 저장”을 누르면 안 된다. 이걸 누르는 순간 48자리 복구 키가 MS 클라우드로 올라가고, 영장 한 장이면 넘어간다.
“파일에 저장”을 선택한다. USB 드라이브에 저장하는 게 가장 안전하다. 저장한 뒤 USB는 PC와 분리해서 보관한다. 같은 PC에 저장하면 의미가 없다 — 디스크가 잠기면 그 파일도 같이 잠기니까.
추가로 **“복구 키 인쇄”**도 해두면 좋다. 종이에 출력해서 금고나 서랍에 보관. 디지털과 물리적 백업 두 개를 갖고 있는 게 이상적이다.
4단계: 암호화 범위 선택
- “전체 드라이브 암호화” 를 선택한다.
“사용 중인 디스크 공간만 암호화”는 이미 삭제한 파일의 흔적이 암호화되지 않고 남을 수 있다. 처음 설정하는 거라면 전체 드라이브를 걸어야 한다.
5단계: 암호화 모드 선택
- “새 암호화 모드”(XTS-AES) 선택.
“호환 모드”는 USB 같은 이동식 장치용이다. PC 내장 SSD나 하드디스크에는 새 암호화 모드가 맞다.
6단계: 암호화 시작
“BitLocker 시스템 검사 실행” 체크 → “암호화 시작”. 드라이브 용량에 따라 수십 분에서 몇 시간 걸린다. 암호화 중에도 PC는 정상적으로 쓸 수 있다.
끝나면 C: 드라이브에 자물쇠 아이콘이 붙는다.
이미 BitLocker를 켰는데 키가 MS에 올라갔다면
Windows 11 24H2부터는 클린 설치(또는 재설치) 후 MS 계정으로 로그인하면 BitLocker가 자동 활성화되고, 복구 키도 자동으로 클라우드에 올라간다. 기존 Windows에서 24H2로 업그레이드한 경우에는 자동으로 켜지지 않지만, 이전에 직접 또는 OEM 설정으로 이미 걸려 있을 수 있다.
확인 + 삭제 절차는 이렇다.
1. 클라우드에 키가 있는지 확인. account.microsoft.com/devices/recoverykey에 로그인한다. 내 기기의 복구 키 목록이 뜬다.
2. 키를 로컬에 따로 저장. 표시된 48자리 복구 키를 USB 드라이브에 텍스트 파일로 저장하거나 종이에 적는다. 이 단계를 건너뛰면 키를 영영 잃을 수 있다.
3. 클라우드에서 삭제. 키 옆의 점 3개 메뉴(⋯) → 삭제. “복구 키 사본을 저장했습니다” 체크 → 삭제 확인.
4. 복구 키 재생성(선택). 클라우드에 올라갔던 키와 완전히 다른 새 키를 쓰고 싶다면, 관리자 권한 명령 프롬프트에서:
manage-bde -protectors -delete C: -type recoverypassword
manage-bde -protectors -add C: -recoverypassword새 키가 생성된다. 이걸 USB나 종이에 저장한다. 이번에는 MS 계정에 백업하지 않는다.
이 과정을 거치면 마이크로소프트 서버에 복구 키가 남지 않는다.
TPM 없이 BitLocker 쓰는 법
TPM이 없는 구형 PC에서도 BitLocker를 쓸 수 있다. 그룹 정책을 하나 바꾸면 된다.
Win + R → gpedit.msc → Enter.
로컬 그룹 정책 편집기가 열리면:
컴퓨터 구성 → 관리 템플릿 → Windows 구성 요소 → BitLocker 드라이브 암호화 → 운영 체제 드라이브
오른쪽 목록에서 “시작 시 추가 인증 요구” 를 더블클릭한다. 이름이 비슷한 항목이 두 개 있을 수 있는데, “(Windows Server 2008 …)” 이 붙은 게 아닌 쪽을 선택한다.
열리는 창에서:
- 왼쪽 상단 “사용” 선택
- “호환 TPM 없이 BitLocker 허용” 체크
- 확인
이제 위의 “BitLocker 켜기” 과정을 그대로 따르면 된다. TPM 대신 부팅할 때마다 비밀번호를 입력하게 된다. 편의성은 떨어지지만 보안 효과는 동일하다.
내 상황에 맞는 수준
🟢 일반 사용자 — 노트북 분실·도난 방어
BitLocker 기본 설정으로도 충분하다. 핵심은 복구 키를 MS 계정이 아닌 USB나 종이에 저장하는 것, 이것 하나다. 길에서 주운 사람이 MS에 영장을 보낼 일은 없지만, 열쇠를 남한테 맡길 이유도 없다.
🟡 민감한 자료가 있는 경우 — 이직 준비 자료, 세무·의료 기록
복구 키를 MS 클라우드에서 완전히 삭제하고, 키를 재생성해서 로컬에만 보관한다. 위의 “이미 BitLocker를 켰는데 키가 MS에 올라갔다면” 섹션을 그대로 따르면 된다. 회사 PC에 개인 자료를 두고 있다면, 회사 IT가 관리자 권한으로 BitLocker 키에 접근할 수 있다는 점도 알아두자.
🔴 OPSEC 필요 — 수사 대상, 내부고발, 기자
BitLocker 대신 VeraCrypt를 쓰는 게 낫다. VeraCrypt는 복구 키가 클라우드에 올라가는 구조 자체가 없고, 오픈소스라 코드를 직접 검증할 수 있다. 숨겨진 볼륨(hidden volume) 기능도 있어서, 암호화된 디스크 안에 또 다른 암호화 영역을 만들 수 있다.
정리
BitLocker 자체는 괜찮은 도구다. 문제는 기본 설정이 복구 키를 MS 클라우드로 보내버린다는 것, 그리고 대부분의 사용자가 그 사실을 모른다는 거다.
지금 해야 할 건 세 가지다.
- account.microsoft.com/devices/recoverykey에서 복구 키가 올라가 있는지 확인한다.
- 올라가 있으면 USB나 종이에 따로 저장한 뒤, 클라우드에서 삭제한다.
- 아직 BitLocker를 안 걸었으면, 이 글 순서대로 — 복구 키를 “파일에 저장”으로 — 설정한다.
암호화는 걸었는데 열쇠를 남한테 맡겨뒀다면, 그건 현관문 잠그고 열쇠를 우편함에 넣어둔 거랑 같다.
자주 묻는 질문
- BitLocker는 Windows Home에서도 쓸 수 있나요?
- BitLocker 전체 기능은 Windows Pro, Enterprise, Education 에디션에서만 사용할 수 있습니다. Home 에디션은 Windows 11 24H2부터 "디바이스 암호화"라는 제한된 버전이 자동 활성화되지만, 복구 키 저장 위치를 직접 선택하는 등의 세부 설정은 불가능합니다.
- BitLocker 복구 키를 잃어버리면 어떻게 되나요?
- 복구 키를 분실하고, 비밀번호도 잊었거나 하드웨어 변경 등으로 잠기면 디스크의 데이터를 영영 복구할 수 없습니다. Microsoft에도 키가 없으면 개발사조차 풀 수 없는 구조입니다. 반드시 USB나 종이 등 오프라인 매체에 별도 보관해야 합니다.
- TPM이 없는 PC에서도 BitLocker를 쓸 수 있나요?
- 가능합니다. 로컬 그룹 정책 편집기(gpedit.msc)에서 "호환 TPM 없이 BitLocker 허용" 옵션을 켜면 됩니다. 이 경우 부팅할 때마다 비밀번호 또는 USB 키를 입력해야 하므로 편의성은 떨어지지만, 보안 효과는 동일합니다.
- BitLocker 복구 키가 Microsoft 클라우드에 올라갔는지 어떻게 확인하나요?
- account.microsoft.com/devices/recoverykey에 로그인하면 내 기기에 연결된 복구 키 목록을 확인할 수 있습니다. 키가 표시되면 클라우드에 업로드된 상태이며, 로컬에 따로 백업한 뒤 해당 페이지에서 삭제할 수 있습니다.