기기 암호화: 전체 디스크 및 파일 수준 보호

*상태: 레벨 1

대상: 모든 멤버 — 타협할 수 없는 기본 보안*

기기 암호화는 기기를 물리적으로 압수당했을 때의 마지막 방어선입니다. 이것이 없다면 휴대폰이나 노트북을 가져간 사람은 비밀번호 없이도 그 안의 모든 사진, 메시지, 문서, 자격 증명에 접근할 수 있습니다. 전체 디스크 암호화가 올바르게 구성된 경우, 압수된 기기는 암호(passphrase)를 입력해야만 접근할 수 있는 암호화된 벽돌에 불과합니다.

법과 암호화: 수정헌법 제5조는 비밀번호를 누설하도록 강요받는 것으로부터 당신을 보호할 수 있습니다 (법원의 의견이 분분합니다; 권리 알기 참조). 물리적 암호화는 기술적인 보호 수단이며, 법적 권리는 법적인 보호 수단입니다. 당신에게는 이 두 가지 모두가 필요합니다.

---

1. 모바일 기기 암호화

1.1 iPhone / iOS

기본 상태: iPhone 3GS(2009년) 이후의 모든 iPhone은 기기의 데이터를 암호화합니다. 그러나 이 암호화의 강도는 전적으로 귀하의 비밀번호에 달려 있습니다.

비밀번호가 중요한 이유: iOS는 귀하의 비밀번호를 암호화 키 파생의 일부로 사용합니다. 기기가 높은 보안 모드에 있지 않은 경우 6자리 숫자 PIN은 1,000,000개의 조합을 가지며, 이는 상업용 포렌식 도구(GrayKey, Cellebrite UFED)를 통해 몇 분 안에 해독될 수 있습니다.

iPhone 강화하기:

1. 설정 → Face ID 및 암호 → 암호 변경 → 암호 옵션 → 사용자 지정 알파뉴메릭 암호
2. 무작위 문자 8자 이상(대소문자, 숫자, 기호 혼합)의 암호(passphrase)를 설정합니다.
3. 기기 잠금 해제를 위한 Face ID 및 Touch ID를 비활성화합니다 (이는 물리적으로 강제될 수 있습니다).
   • Face ID: 설정 → Face ID 및 암호 → Face ID 사용 목적 → iPhone 잠금 해제 → 끔
   • Touch ID: 설정 → Touch ID 및 암호 → iPhone 잠금 해제 → 끔
4. 10번 암호 입력 실패 후 데이터 지우기를 활성화합니다 (설정 → Face ID 및 암호 → 데이터 지우기).
5. 암호 요구를 즉시로 설정합니다.

비상 잠금(Emergency lockdown):

• 전원 버튼과 볼륨 버튼을 빠르게 눌러 긴급 구조 요청(SOS) 모드를 작동시킵니다 — 이렇게 하면 암호를 입력할 때까지 생체 인식 잠금 해제가 비활성화됩니다.
• 또는, 경찰과의 접촉이 예상되기 전에 기기의 전원을 완전히 끄십시오.

암호화 활성 확인:

• 설정 → [사용자 이름] → iCloud → iCloud 백업 — 백업이 활성화된 경우 암호화되어 있는지 확인합니다.
• 설정 → 개인정보 보호 및 보안 → 분석 및 향상 — Apple과 공유되는 데이터를 줄이려면 비활성화합니다.

1.2 Android

상태: Android는 Android 5.0(2014년)부터 전체 디스크 암호화를, Android 7.0(2016년)부터 파일 기반 암호화를 지원했습니다. 대부분의 최신 Android 기기는 기본적으로 암호화를 사용하지만, 이는 제조업체마다 다릅니다.

확인 및 활성화:

1. 설정 → 보안 → 암호화 및 자격 증명 → 휴대폰 암호화
   • Samsung 기기: 설정 → 생체 인식 및 보안 → 기기 암호화
   • Pixel 기기: 설정 → 보안 → 암호화 및 자격 증명
2. “암호화됨” 또는 “기기가 암호화됨”이 표시되면 안전한 상태입니다.
3. 그렇지 않은 경우 암호화 프로세스가 프롬프트를 띄우며, 30~60분이 소요됩니다.

Android 강화하기:

1. 강력한 영숫자 PIN 또는 암호를 설정합니다 (설정 → 보안 → 화면 잠금).
2. 지문 및 얼굴 잠금 해제를 비활성화합니다.
3. 화면이 꺼지면 즉시 잠금을 활성화합니다.
4. (기기에서 지원하는 경우) 10번 시도 실패 후 자동으로 공장 초기화를 활성화합니다.
5. 크게 강화된 암호화와 개인정보 보호를 위해 GrapheneOS 또는 CalyxOS를 고려하십시오 (별도 가이드 참조).

1.3 익스플로잇의 현실

상업용 포렌식 도구(Cellebrite, GrayKey)는 때때로 다음을 사용하여 암호화된 기기에서 데이터를 추출할 수 있습니다:

• 알려진 운영 체제 취약점 (패치된 버전은 면역력을 가짐)
• 비밀번호 무차별 대입 크래킹 (영숫자 암호는 이에 저항하지만 4~6자리 PIN은 그렇지 않음)
• 기기가 “최초 잠금 해제 후(AFU, After First Unlock)” 상태에 있을 때 기기 메모리에서 데이터 추출

핵심: 마지막 부팅 이후 잠금 해제된 적이 있는 기기(AFU 상태)는 전원이 완전히 꺼진 기기보다 훨씬 더 취약합니다. 경찰과의 접촉이 예상되기 전에 기기의 전원을 끄십시오. “최초 잠금 해제 전(BFU, Before First Unlock)” 상태의 전원이 꺼지고 암호화된 기기는 포렌식 분석을 하기가 훨씬 더 어렵습니다.

---

2. 랩톱 및 데스크톱 암호화

2.1 macOS: FileVault 2

FileVault는 macOS에 내장된 Apple의 전체 디스크 암호화입니다. AES-256 암호화를 사용합니다.

FileVault 활성화:

1. 시스템 환경설정(또는 시스템 설정) → 개인정보 보호 및 보안 → FileVault → 켜기
2. 비밀번호를 잊어버린 경우 디스크 잠금을 해제하기 위해 iCloud 계정을 사용할지 로컬 복구 키를 사용할지 선택합니다.
   • 고위험 사용자의 경우: 로컬 복구 키를 생성하여 비밀번호 관리자에 저장하고, iCloud에 절대 연결하지 마십시오. iCloud 복구 키는 잠재적으로 법적 절차를 통해 Apple에서 얻을 수 있습니다.
3. FileVault가 디스크를 암호화하도록 허용합니다 (백그라운드에서 진행되며 구형 컴퓨터에서는 몇 시간이 걸릴 수 있습니다).
4. 재부팅하여 설정을 완료합니다.

확인: 시스템 설정 → 개인정보 보호 및 보안 → FileVault → FileVault 켜짐

보안 참고 사항:

• FileVault는 컴퓨터의 전원이 꺼져 있거나 최대 절전 모드에 있을 때만 데이터를 보호합니다.
• 로그인하여 실행 중일 때 디스크는 메모리에서 해독됩니다.
• 화면 보호기나 잠자기 모드 작동 후 즉시 비밀번호를 요구하도록 Mac을 설정하십시오 (시스템 설정 → 잠금 화면 → 화면 보호기가 시작되거나 디스플레이가 꺼진 후 비밀번호 요구 → 즉시).
• 시동 디스크와 민감한 데이터가 포함된 모든 외부 드라이브에 FileVault를 활성화하십시오.

2.2 Windows: BitLocker

BitLocker는 Windows 10/11 Pro, Enterprise, Education에서 사용할 수 있는 Windows에 내장된 전체 디스크 암호화입니다. (Windows Home에는 전체 BitLocker가 포함되어 있지 않지만, 지원되는 하드웨어에서는 “장치 암호화”를 지원합니다.)

BitLocker 활성화:

1. 제어판 → 시스템 및 보안 → BitLocker 드라이브 암호화를 엽니다.
2. 드라이브를 선택하고 BitLocker 켜기를 클릭합니다.
3. 시작 인증 방법을 선택합니다:
   • TPM + PIN (권장): 하드웨어 신뢰 플랫폼 모듈(TPM)과 PIN을 결합하여 강력한 보호 기능을 제공합니다.
   • TPM 전용: 보안 수준이 낮음 — 컴퓨터가 켜져 있는 상태에서 접근하는 사람은 방어하지 못하며, 오직 물리적인 디스크 제거만 방어합니다.
4. 복구 키를 저장하거나 인쇄합니다 — 비밀번호 관리자에 보관하고, OneDrive나 모든 Microsoft 계정에는 보관하지 마십시오 (소환 대상이 될 수 있습니다).
5. 사용된 공간만 암호화(더 빠름)할지 또는 전체 드라이브(삭제된 데이터가 있는 드라이브에 더 철저함)를 암호화할지 선택합니다.

Windows 10/11 Home에서 활성화:

• 설정 → 업데이트 및 보안 → 장치 암호화 — Microsoft 계정으로 최신 대기 모드(Modern Standby) 요구 사항을 충족하는 기기에서 사용할 수 있습니다.
• 한계: 복구 키가 Microsoft 계정에 자동으로 백업됩니다 — 법적 영향을 고려하십시오.

2.3 Linux: LUKS (Linux Unified Key Setup)

LUKS는 Linux의 표준 디스크 암호화 방법입니다. 대부분의 배포판은 설치 중에 이 기능을 제공합니다.

설치 중 LUKS 설정:

• Ubuntu, Fedora, Debian 및 대부분의 주요 배포판은 설치 중에 “디스크 암호화(Encrypt the disk)” 확인란을 제공합니다. 그것을 선택하십시오. 강력한 암호(passphrase)를 설정하십시오.

확인: lsblk -f | grep LUKS

전체 디스크 LUKS:

• 운영 체제가 로드되기 전인 부팅 시 LUKS 암호를 입력합니다.
• 대기 시 전체 디스크가 암호화됩니다.
• 전원 끄기 = 완전히 암호화됨; 로그인 = 메모리에서 해독됨

Linux에서 휴대용 암호화를 위한 VeraCrypt:

• OS 간에 공유하는 암호화된 컨테이너나 외장 드라이브에 VeraCrypt를 사용하십시오 (섹션 3 참조).

2.4 Tails OS

Tails는 USB 드라이브에서 부팅하는 라이브 운영 체제입니다. 모든 트래픽을 Tor를 통해 라우팅하고 호스트 컴퓨터에 흔적을 남기지 않으며, 세션 간에 저장하는 모든 데이터에 암호화된 영구 저장소를 사용합니다.

가장 민감도 높은 작업 (정보원 처리, 유출된 문서 작업, 민감한 작전 계획)의 경우 Tails는 암호화 + 익명성 + 기억 상실(amnesia)을 하나의 패키지로 제공합니다. 전체 설정 지침은 Tails OS 가이드를 참조하십시오.

---

3. 외장 드라이브 및 휴대용 저장소

3.1 VeraCrypt (모든 플랫폼)

VeraCrypt는 무료 오픈 소스이며 Windows, macOS, Linux에서 호환되는 암호화된 컨테이너 또는 완전히 암호화된 드라이브를 생성합니다.

사용 사례:

• 외부 드라이브에 있는 민감한 문서의 암호화된 아카이브
• 클라우드 서비스의 암호화된 컨테이너 (영지식 저장소 — 클라우드가 침해되더라도 컨테이너는 암호화됨)
• 그럴듯한 부인(plausible deniability)을 위한 “숨겨진 볼륨(hidden volume)” 생성 (고급)

암호화된 컨테이너 만들기:

1. veracrypt.fr에서 VeraCrypt 다운로드 — 서명 확인
2. VeraCrypt 열기 → 볼륨 만들기 (Create Volume)
3. 암호화된 파일 컨테이너 만들기 (Create an encrypted file container) 선택
4. 표준 VeraCrypt 볼륨 (Standard VeraCrypt Volume) 선택
5. 위치와 파일 이름(어느 파일처럼 보여도 됨) 선택
6. 암호화 알고리즘 선택 (AES가 표준이며 빠름; 극단적 방어를 위해서는 AES-Twofish 캐스케이드)
7. 크기와 강력한 암호 설정
8. 포맷 및 마운트 — 컨테이너가 드라이브 문자/마운트 지점으로 표시됨
9. 완료되면 언마운트 — 대기 시 파일이 완전히 암호화됨

하드웨어 암호화 드라이브:

• Apricorn Aegis 시리즈: 물리적 PIN 패드가 있고 호스트 소프트웨어가 필요하지 않으며, 소프트웨어에서 무차별 대입으로 해독할 수 없는 하드웨어 암호화를 제공합니다. 현장 사용에 권장됩니다.
• iStorage datAshur: FIPS 140-2 인증을 받은 유사한 물리적 PIN 패드 하드웨어 암호화 드라이브.

3.2 암호화된 USB 드라이브

민감한 데이터에 암호화되지 않은 USB 드라이브를 절대 사용하지 마십시오. USB 드라이브는 쉽게 잃어버리고 쉽게 도난당하며 쉽게 압수됩니다.

옵션:

• 하드웨어 암호화 드라이브 (Apricorn, iStorage): 가장 모범적인 표준
• 일반 USB 드라이브의 VeraCrypt 컨테이너: 작동하지만 액세스하려면 VeraCrypt가 설치되어 있어야 함
• macOS: 디스크 유틸리티를 사용하여 암호화된 DMG를 생성하거나 USB 드라이브를 APFS(암호화됨)로 포맷
• Linux: LUKS를 사용하여 USB 드라이브 포맷 (cryptsetup luksFormat /dev/sdb)

---

4. 암호화된 백업

암호화되지 않은 백업은 기기 암호화의 목적을 무효화합니다.

4.1 iPhone 백업 (iTunes/Finder)

(iCloud가 아닌) 컴퓨터에 백업할 때:

• iTunes 또는 Finder에서 로컬 백업 암호화를 선택하고 강력한 암호를 설정합니다.
• 이 백업 암호는 기기 암호와는 별개입니다 — 비밀번호 관리자에 보관하십시오.
• 암호화된 로컬 백업은 이 암호 없이는 법 집행 기관이 백업 파일을 가지고 있더라도 읽을 수 없습니다.

iCloud 백업:

• iCloud 백업은 전송 중 및 보관 시 암호화되지만, Apple이 암호화 키를 보유하고 있어 법 집행 기관에 제공할 수 있습니다.
• 고위험 사용자의 경우: iCloud 백업을 비활성화하고(설정 → [사용자 이름] → iCloud → iCloud 백업 → 끔) 대신 암호화된 로컬 백업을 사용하십시오.

4.2 Android 백업

• 고위험 사용자인 경우 자동 Google 백업을 비활성화하십시오 (설정 → 시스템 → 백업 → 끔).
• 로컬 암호화 백업을 위해 로컬 암호화 백업 도구(GrapheneOS/CalyxOS에서 사용 가능한 Seedvault)를 사용하십시오.

4.3 컴퓨터 백업

• 암호화된 백업 드라이브와 함께 Time Machine(macOS)을 사용하십시오 (대상을 설정할 때 백업 암호화 활성화).
• 교차 플랫폼 암호화 백업에는 Duplicati 또는 Restic을 사용하십시오 — 이들은 업로드 전에 암호화하므로 클라우드 저장소에서도 안전하게 보호됩니다.
• 암호화된 외부 드라이브에 백업을 유지하십시오. (자택에서의 물리적 압수에 대비하여) 기본 기기와 지리적으로 분리된 별도의 위치에 보관하십시오.

---

5. 암호화 위생 체크리스트

월간 점검:

• 모든 기기(전화, 노트북, 외장 드라이브)의 암호화가 활성화되어 있고 확인됨
• 암호화 암호(passphrases)가 안전하게 저장됨 (비밀번호 관리자)
• 복구 키가 별도로 저장됨 (암호화된 기기 자체에 저장하지 않음)
• 운영 체제가 완전히 업데이트됨 (패치는 포렌식 도구가 이용하는 취약점을 수정함)
• 민감한 작업에 사용하는 기기에서는 생체 인식을 비활성화함

고위험 상황 전:

• 경찰과의 접촉이 예상되기 전에 기기 전원을 끔 (단순 잠금이 아님)
• 민감한 데이터를 삭제하거나 연결되지 않은 암호화된 드라이브에 옮김

---

이 가이드는 법률적 조언을 구성하지 않습니다. 법률은 관할 구역마다 다릅니다.

← 목차로 돌아가기