개인 데이터 암호화는 Windows에 파일 기반 데이터 암호화 기능을 제공하는 보안 기능입니다. 비즈니스용 Windows Hello 활용하여 데이터 암호화 키를 사용자 자격 증명과 연결합니다. 사용자가 Windows Hello 사용하여 디바이스에 로그인하면 암호 해독 키가 해제되고 사용자가 암호화된 데이터에 액세스할 수 있게 됩니다. 반대로 사용자가 로그아웃하면 암호 해독 키가 삭제되어 다른 사용자가 디바이스에 로그인하더라도 데이터에 액세스할 수 없게 됩니다. 이렇게 하면 중요한 정보가 항상 보호됩니다.
개인 데이터 암호화의 이점은 매우 중요합니다. 암호화된 콘텐츠에 액세스하는 데 필요한 자격 증명 수를 줄이면 사용자는 Windows Hello 사용하여 로그인해야 합니다. 또한 Windows Hello 사용할 수 있는 접근성 기능은 개인 데이터 암호화 보호 콘텐츠로 확장됩니다.
전체 볼륨과 디스크를 암호화하는 BitLocker와 달리 개인 데이터 암호화는 개별 파일에 중점을 두어 또 다른 보안 계층을 제공합니다. 이 기능은 데이터 보호를 향상시킬 뿐만 아니라 개인 정보 보호에 대한 강력한 의지를 보여줍니다.
알려진 폴더에 대한 개인 데이터 암호화
Windows 11 버전 24H2부터 알려진 폴더에 대한 개인 데이터 암호화를 사용하여 개인 데이터 암호화가 더욱 향상됩니다. 사용하도록 설정되면 콘텐츠와 함께 Windows 폴더 데스크톱, 문서 및 그림이 자동으로 암호화됩니다. 이 기능은 일반적으로 사용되는 폴더에 추가 보안 계층을 추가하는 빠르고 쉬운 방법을 제공합니다.
필수 구성 요소
개인 데이터 암호화를 사용하려면 다음 필수 조건을 충족해야 합니다.
- Windows 11 버전 22H2 이상
- 알려진 폴더에 대한 개인 데이터 암호화는 Windows 11 버전 24H2 이상에서만 사용할 수 있습니다.
- 디바이스를 Microsoft Entra 조인하거나 하이브리드 조인을 Microsoft Entra 합니다. 도메인에 가입된 디바이스는 지원되지 않습니다.
- 사용자는 Windows Hello 사용하여 로그인해야 합니다.
- ARSO(자동 다시 시작 로그온) 를 사용하지 않도록 설정해야 합니다.
중요
암호 또는 FIDO2 보안 키로 로그인하는 경우 개인 데이터 암호화로 보호된 콘텐츠에 액세스할 수 없습니다.
참고
필수 구성 요소가 충족되지 않으면 시스템은 DPAPI(Data Protection API)로 대체됩니다.
Windows 버전 및 라이선싱 요구 사항
다음 표에는 개인 데이터 암호화를 지원하는 Windows 버전이 나와 있습니다.
| Windows Pro | Windows Enterprise | Windows Pro Education/SE | Windows Education |
|---|---|---|---|
| 아니오 | 예 | 아니오 | 예 |
개인 데이터 암호화 라이선스 권한은 다음 라이선스에 의해 부여됩니다.
| Windows Pro/Pro Education/SE | Windows Enterprise E3 | Windows Enterprise E5 | Windows Education A3 | Windows Education A5 |
|---|---|---|---|---|
| 아니오 | 예 | 예 | 예 | 예 |
Windows 라이선싱에 대한 자세한 내용은 Windows 라이선싱 개요를 참조하세요.
개인 데이터 암호화 보호 수준
개인 데이터 암호화는 256비트 키와 함께 AES-CBC를 사용하여 콘텐츠를 보호하고 두 가지 수준의 보호를 제공합니다. 보호 수준은 조직의 요구 사항에 따라 결정됩니다. 이러한 수준은 개인 데이터 암호화 API를 통해 설정할 수 있습니다.
| 항목 | 수준 1 | 수준 2 |
|---|---|---|
| 사용자가 Windows Hello 통해 로그인할 때 액세스할 수 있는 보호된 데이터 | 예 | 예 |
| 보호된 데이터는 Windows 잠금 화면에서 액세스할 수 있습니다. | 예 | 잠금 후 1분 동안 데이터에 액세스할 수 있으므로 더 이상 사용할 수 없습니다. |
| 사용자가 Windows에서 로그아웃한 후 보호된 데이터에 액세스할 수 있습니다. | 아니오 | 아니오 |
| 보호된 데이터는 디바이스가 종료될 때 액세스할 수 있습니다. | 아니오 | 아니오 |
| 보호된 데이터는 UNC 경로를 통해 액세스할 수 있습니다. | 아니오 | 아니오 |
| 보호된 데이터는 Windows Hello 대신 Windows 암호로 서명할 때 액세스할 수 있습니다. | 아니오 | 아니오 |
| 원격 데스크톱 세션을 통해 보호된 데이터에 액세스할 수 있습니다. | 아니오 | 아니오 |
| 삭제된 개인 데이터 암호화에서 사용하는 암호 해독 키 | 사용자가 Windows에서 로그아웃한 후 | Windows 잠금 화면이 설치된 후 1분 후 또는 사용자가 Windows에서 로그아웃한 후 |
개인 데이터 암호화 보호된 콘텐츠 접근성
파일이 개인 데이터 암호화로 보호되면 해당 아이콘에 자물쇠가 표시됩니다. 사용자가 Windows Hello 로컬로 로그인하지 않았거나 권한이 없는 사용자가 보호된 콘텐츠에 액세스하려고 하면 액세스가 거부됩니다.
사용자가 개인 데이터 암호화 보호 콘텐츠에 대한 액세스가 거부되는 시나리오는 다음과 같습니다.
- 사용자가 Windows Hello(생체 인식 또는 PIN)을 사용하는 대신 암호로 로그인합니다.
- 수준 2 보호를 통해 보호되는 경우 디바이스가 잠겨 있는 경우
- 원격으로 디바이스의 콘텐츠에 액세스하려고 할 때 예를 들어 UNC 네트워크 경로
- 원격 데스크톱 세션
- Windows Hello 통해 로그인하고 개인 데이터 암호화 보호된 콘텐츠로 이동할 수 있는 권한이 있더라도 콘텐츠 소유자가 아닌 디바이스의 다른 사용자
개인 데이터 암호화와 BitLocker의 차이점
개인 데이터 암호화는 BitLocker와 함께 작동합니다. 개인 데이터 암호화는 BitLocker를 대체하는 것이 아니며 BitLocker가 개인 데이터 암호화를 대체하는 것도 아닙니다. 두 기능을 함께 사용하면 BitLocker 또는 개인 데이터 암호화만 사용하는 것보다 더 나은 보안을 제공합니다. 그러나 BitLocker와 개인 데이터 암호화와 작동 방식에는 차이가 있습니다. 이러한 차이점은 이러한 차이점을 함께 사용하면 더 나은 보안을 제공하는 이유입니다.
| 개인 데이터 암호화 | BitLocker | |
|---|---|---|
| 암호 해독 키 릴리스 | Windows Hello 통해 사용자 로그인 시 | 부팅 시 |
| 삭제된 암호 해독 키 | 사용자가 Windows에서 로그아웃하거나 Windows 잠금 화면이 설치된 후 1분 후에 로그아웃하는 경우 | 종료 시 |
| 보호된 콘텐츠 | 보호된 폴더의 모든 파일 | 전체 볼륨/드라이브 |
| 보호된 콘텐츠에 액세스하기 위한 인증 | 비즈니스용 Windows Hello | TPM + PIN이 있는 BitLocker를 사용하도록 설정하면 BitLocker PIN과 Windows 로그인 |
개인 데이터 암호화와 EFS의 차이점
EFS 대신 개인 데이터 암호화를 사용하여 파일을 보호하는 기본 차이점은 파일을 보호하는 데 사용하는 방법입니다. 개인 데이터 암호화는 비즈니스용 Windows Hello 사용하여 파일을 보호하는 키를 보호합니다. EFS는 인증서를 사용하여 파일을 보호하고 보호합니다.
파일이 개인 데이터 암호화 또는 EFS로 보호되는지 확인하려면 다음을 수행합니다.
- 파일의 속성 열기
- 일반 탭에서 고급...을 선택합니다.
- 고급 특성 창에서 세부 정보를 선택합니다.
개인 데이터 암호화 보호 파일의 경우 보호 상태:개인 데이터 암호화가 켜짐으로 나열된 항목이 있습니다.
EFS로 보호된 파일의 경우 이 파일에 액세스할 수 있는 사용자:에서 파일에 액세스할 수 있는 사용자 옆에 인증서 지문 이 있습니다. 복구 정책에 정의된 대로 이 파일에 대한 복구 인증서라는 섹션도 있습니다.
파일을 보호하는 데 사용되는 암호화 방법을 포함한 암호화 정보는 명령을 사용하여 cipher.exe /c 가져올 수 있습니다.
개인 데이터 암호화 사용에 대한 권장 사항
다음은 개인 데이터 암호화를 사용하기 위한 권장 사항입니다.
- BitLocker 드라이브 암호화를 사용하도록 설정합니다. 개인 데이터 암호화는 BitLocker 없이 작동하지만 BitLocker를 사용하도록 설정하는 것이 좋습니다. 개인 데이터 암호화는 BitLocker를 대체하는 것이 아니라 보안을 강화하기 위해 BitLocker와 함께 작동합니다.
- Microsoft 365의 OneDrive와 같은 백업 솔루션. TPM 재설정 또는 파괴적인 PIN 재설정과 같은 특정 시나리오에서는 개인 데이터 암호화에서 콘텐츠를 보호하는 데 사용하는 키가 손실되어 보호된 콘텐츠에 액세스할 수 없게 됩니다. 이러한 콘텐츠를 복구하는 유일한 방법은 백업입니다. 파일이 OneDrive에 동기화된 경우 액세스 권한을 다시 사용하려면 OneDrive를 다시 동기화해야 합니다.
- PIN 재설정 서비스를 비즈니스용 Windows Hello. 파괴적인 PIN 재설정으로 인해 개인 데이터 암호화에서 사용하는 키가 손실되는 콘텐츠를 보호하므로 개인 데이터 암호화로 보호되는 모든 콘텐츠에 액세스할 수 없습니다. 파괴적인 PIN 재설정 후에는 개인 데이터 암호화로 보호되는 콘텐츠를 백업에서 복구해야 합니다. 이러한 이유로 비즈니스용 Windows Hello PIN 재설정 서비스는 비도급 PIN 재설정을 제공하므로 권장됩니다.
- Windows Hello 향상된 로그인 보안은 생체 인식 또는 PIN을 통해 Windows Hello 인증할 때 더 많은 보안을 제공합니다.
다음 단계
- 개인 데이터 암호화를 구성하는 사용 가능한 옵션과 Microsoft Intune 또는 CSP(구성 서비스 공급자)를 통해 개인 데이터 암호화를 구성하는 방법에 대해 알아봅니다. 개인 데이터 암호화 설정 및 구성
- 개인 데이터 암호화 FAQ 검토