BitLocker vs EFS

BitLocker(비트락커)와 EFS(Encrypting File System, 파일 시스템 암호화)는 윈도우 운영체제에서 데이터를 안전하게 보호하기 위해 제공하는 데이터 암호화 솔루션이다.

두 기능 모두 "데이터 유출을 막는다"는 목적은 같지만, 암호화를 적용하는 범위(레이어)와 접근 권한의 기준이 완전히 다르다.

1. BitLocker (전체 드라이브 암호화)

개념: 드라이브(C드라이브, D드라이브, USB 등) 전체를 통째로 암호화하는 볼륨/디스크 레벨의 암호화 기술(FDE, Full Disk Encryption).
보안/실무 철학: "컴퓨터나 노트북, USB를 물리적으로 분실하거나 도난당했을 때의 데이터 유출을 막는다."
작동 원리:
- 운영체제가 부팅되기 전 단계(하드웨어 단)에서 암호화를 해제해야만 윈도우로 진입할 수 있다.
- 메인보드에 탑재된 하드웨어 보안 칩인 TPM(Trusted Platform Module) 또는 부팅 시 입력하는 암호(PIN), 복구 키를 이용해 드라이브 전체의 잠금을 해제한다.
특징:
- 일단 윈도우 로그인에 성공하면, 디스크 잠금이 완전히 풀린 상태이므로 PC를 쓰는 모든 사용자가 파일에 자유롭게 접근할 수 있다.
- 하드디스크를 강제로 떼어내어 다른 컴퓨터에 연결하더라도, 복구 키가 없으면 내부 데이터를 절대 읽을 수 없다.

개념: 디스크 전체가 아닌, 개별 '파일'이나 '폴더' 단위로 암호화를 적용하는 파일 레벨의 암호화 기술.
보안/실무 철학: "하나의 PC를 여러 사용자가 공유할 때, 타인이 내 민감한 파일에 접근하는 것을 막는다."
작동 원리:
- 윈도우의 NTFS 파일 시스템 기능을 기반으로 작동한다.
- 사용자가 로그인하면 해당 사용자의 계정 비밀번호와 연동된 암호화 인증서(개인키)가 메모리에 로드되어, 사용자가 파일을 열 때 실시간으로 복호화 해준다.
특징:
- 암호화를 적용한 당사자(로그인한 계정)는 평소처럼 파일을 더블클릭하면 아무 제약 없이 열린다.
- 하지만 동일한 PC에 다른 사용자 계정으로 로그인한 사람이나 외부인이 해당 폴더에 접근하면 "액세스가 거부되었습니다"라는 메시지와 함께 파일을 열 수 없다.
- 하위 폴더 자동 암호화, 파일을 읽는 동안 암호화 해제, 암호화 파일을 NTFS가 아닌 다른 볼륨으로 복사 시 복호화, 압축된 파일 및 폴더는 암호화가 불가능하다는 특징이 있음