완전한 디스크 암호화

완전한 디스크 암호화(完全한 磁碟暗號化, 영어: Full Disk Encryption, FDE)는 저장 장치(하드 디스크, SSD 등)의

모든 데이터를 운영 체제, 응용 프로그램, 사용자 데이터를 포함한 전체 볼륨 단위로 암호화하는 기술이다.

이를 통해 저장 매체가 분실되거나 도난당했을 때 운영 체제 외부에서 데이터에 접근하더라도 평문으로 노출되지 않는다.

개요

완전한 디스크 암호화는 운영 체제가 시작되기 전, 즉 부팅 단계에서 인증을 수행하여 암호화 키를 해독한다.

사용자는 인증을 통과해야만 운영 체제와 데이터에 접근할 수 있으며, 운영 체제 구동 이후에는 읽기·쓰기 작업이 실시간으로 암호화/복호화된다.

동작 방식

• 부팅 전 인증(Pre-Boot Authentication): 사용자 암호, TPM(Trusted Platform Module), 스마트카드, USB 키 등으로 암호화 키를 해독.
• 실시간 암·복호화: 운영체제가 구동되면 디스크 드라이버 수준에서 데이터 블록 단위로 암호화/복호화가 투명하게 수행된다.
• 암호화 범위: 운영 체제 파일, 응용 프로그램, 사용자 데이터, 스왑/페이징 파일, 임시 파일까지 포함. (단, 부트 로더 등 최소한의 부팅 코드 영역은 암호화되지 않는다.)

장점

• 저장 매체 분실·도난 시 기밀성 보장
• 라이브 USB나 다른 OS에서의 비인가 접근 차단
• 사용자와 응용 프로그램은 평문 데이터처럼 투명하게 접근 가능

단점 및 고려 사항

• 부팅 전 인증 단계로 인한 부팅 시간 지연
• 암·복호화 연산으로 인한 성능 저하 가능 (현대 CPU의 AES-NI 등 하드웨어 가속 기능으로 완화)
• 복구 키 관리가 중요하며 분실 시 데이터 복구가 불가능할 수 있음
• 시스템이 켜져 있는 동안 메모리에 존재하는 키 탈취 공격(예: 콜드 부트 공격)에 취약할 수 있음

구현 예시

• 비트로커(BitLocker) - 마이크로소프트 윈도우
• 파일볼트(FileVault) - macOS
• LUKS/dm-crypt - 리눅스
• VeraCrypt - 오픈 소스

같이 보기

• 디스크 암호화
• 파일 단위 암호화
• TPM